DoS و DDoS چیست؟
DoS (Denial of Service) حملهای است که با ارسال حجم بالای ترافیک، سرور را از کار میاندازد. DDoS (Distributed DoS) همان حمله از صدها یا هزاران IP مختلف (botnet) است و مقابله با آن سختتر است.
انواع حملات
Volumetric: UDP Flood، ICMP Flood — پهنای باند اشباع. Protocol: SYN Flood، Ping of Death — منابع سرور اشباع. Application Layer: HTTP Flood — وبسرور اشباع.
علائم حمله
سایتها کند یا غیرقابل دسترس. Load بسیار بالا. تعداد اتصالات غیرعادی. پهنای باند مصرفی بالا.
بررسی
# اتصالات فعلی هر IP
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20
# تعداد اتصالات
ss -ntu | wc -l
# بررسی SYN_RECV
netstat -ntu | grep SYN_RECV | wc -lمحافظت
۱. فایروال CSF
SYNFLOOD = "1"
CT_LIMIT = 300
PORTFLOOD = "80;tcp;100;5"
CONNLIMIT = "80;50"۲. Cloudflare
فعالسازی Cloudflare (رایگان) محافظت DDoS لایه ۳/۴/۷ ارائه میدهد.
۳. Kernel Tuning
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.conf.all.rp_filter = 1۴. آنتی DDoS دیتاسنتر
Hetzner، OVH و Leaseweb محافظت DDoS سختافزاری رایگان دارند.
۵. fail2ban/LFD
مسدود خودکار IPهای مهاجم.
در صورت حمله
Cloudflare فعال و Under Attack Mode روشن کنید. IPهای مهاجم را در CSF مسدود کنید. از دیتاسنتر درخواست null route کنید. لاگها بررسی و الگوی حمله شناسایی نمایید.
سرور مجازی اروپا با آنتی DDoS سختافزاری. کانفیگ سرور شامل CSF و محافظت DDoS. هاست وردپرس با محافظت مدیریتشده.