Настройка Cloudflare от DDOS

[mamba]

Я раньше был наивен. Думал, что врубаешь Under Attack и сидишь на заборе спокойно, типа атака отбивается.
Оказалось, что нифига.

Атака вроде прекратилась, но мудак накатывает раз в сутки, ддосит час...

Вбил банковскую карту в разделе Rate Limiting. Кто может скинуть адекватные настройки рейт лимитинга? Чтобы гуглоботы не страдали и юзеры.

И вообще какие есть еще варианты и возможности отбивать атаки клаудом?

[Lord_Alfred]

Думаю, admin может рассказать как вообще живется за клаудфларой в условиях DDoS ))

[inferno[DGT]]

Нужно для начала заблокировать любые коннекты к серверы, оставив разрешенными только сети CF.

Затем нужно убедиться, что IP твоего сервера не утекает в сеть через DNS записи, MX и просто через отправку писем (SMTP host)

Затем на всякий случай изменить IP адрес.

Ну и включить Under attack. Rate лимит не особо помогал в свое время, нужно играться и подбирать параметры под себя.

[Lord_Alfred]

Цитата:

Сообщение от inferno[DGT]

Нужно для начала заблокировать любые коннекты к серверы, оставив разрешенными только сети CF.

Брать отсюда для IPv4 (и отсюда для IPv6), верно?

[mamba]

Цитата:

Сообщение от inferno[DGT

]Ну и включить Under attack. Rate лимит не особо помогал в свое время, нужно играться и подбирать параметры под себя.

Я просто прочитал тут их статью
https://support.cloudflare.com/hc/en...-Rate-Limiting


Типа они сами понимают, что under attack не всегда может выручить. Ибо кто бы им бабло платил, в случае если бы это 100% работало.

Меня ддосят не по IP. Смотрю логи апача... тупо долбят сайт POST запросами, потом GET запросами, потом определенный урл.
Т.е. там не стали вникать и искать реальный IP сайта\сервера.

От пост запросов и прочей хери помогает их Firewall
А вот остальное, как то проникает

[ddtop2k]

если есть возможность поставить nginx перед апачем то можно "размазать" нагрузку этим модулем http://nginx.org/ru/docs/http/ngx_ht...eq_module.html

[веломан]

L7 самый сладкий, поскольку именно на этом уровне плечо атаки (соотношение ресурсов затраченных атакующим к ресурсам потребленным жертвой) может достигать астрономических величин.

Цитата:

netstat -an|grep ESTABLISHED|wc -l кол-во установленных подключений
netstat -an|grep ESTABLISHED>connections.log
cat connections.log
Вы увидите на экране все активные соединения с сервером. Выберите такой IP адрес, который имеет (на глаз) максимальное количество соединений с вашим сервером

https://forum.nic.ru/showthread.php?t=937

[mamba]

веломан, по логам ипов дохера

Как я понял Андэ Атак по дефолту пропускает гуглобота и ботов из их вайтлиста. А вот правила фаервола нихера. Т.е. если вы сделаете правило блочить\делать Js challenge для всех стран, кроме России. То вы таким образом локните гуглоботов или на жсчеллендж их пошлете.

[inferno[DGT]]

Цитата:

Сообщение от Lord_Alfred

Цитата:

Брать отсюда для IPv4 (и отсюда для IPv6), верно?

Все верно

Цитата:

Сообщение от mamba

Цитата:

Я просто прочитал тут их статью
https://support.cloudflare.com/hc/en...-Rate-Limiting


Типа они сами понимают, что under attack не всегда может выручить. Ибо кто бы им бабло платил, в случае если бы это 100% работало.

Меня ддосят не по IP. Смотрю логи апача... тупо долбят сайт POST запросами, потом GET запросами, потом определенный урл.
Т.е. там не стали вникать и искать реальный IP сайта\сервера.

От пост запросов и прочей хери помогает их Firewall
А вот остальное, как то проникает

Я уже писал, что рейт лимит работает хреново, при крупных атаках сервер сильно напрягался, так как атака была на приложение. Приходилось сидеть в консоли, смотреть подсети и банить их дополнительно через iptables + заблокировать через CF доступ с определенных стран. То есть без ручек, нажатием пары волшебных кнопок магии не случится. В принципе с DDoS атаками всегда так. Нет волшебной кнопки "Защитить от всех атак"

[smsupport]

mamba, может тебя не ддосят, а парсят?))) это меняет подход к защите.