Анатолий

Сделать полноценную защиту от DDoS

То, что сделано сейчас использует только 

limit_req_zone $binary_remote_addr

Это позволяет организовать защиту только от наглецов (тупоголовых партнеров магазинов, которые не используют приготовленное для них API, а парсят сайт; подонков, которые делают зеркало чужого сайта).

От реального DDoS это не защищает потому, что такие атаки распределенные (первая буква D в аббревиатуре, как раз, об этом). Здесь нужно пользоваться защитой на уровне виртуального сервера:

limit_req_zone $server_name

Вот это и защищает сервер (если на всех виртуальных серверах так сделано).

В давние времена защита по $binary_remote_addr делалась делась на уровне всего виртуального сервера (что мгновенно тратило установленные лимиты на запросы статических файлов и приводило к неоправданному увеличению лимитов). Сейчас это делается только для тяжелых запросов. Спасибо. Но это только первый шаг.

04.07.2025 19:26

0
Flantru

Полноценную защиту от DDoS можно сделать только на сетевом уровне и многие провайдеры предоставляют такую услугу. На уровне же панели мы внедрили WAF, который призван защитить от ботов.

06.07.2025 11:48

Flantru
Полноценную защиту от DDoS можно сделать только на сетевом уровне и многие провайдеры предоставляют такую услугу. На уровне же панели мы внедрили WAF, который призван защитить от ботов.
Анатолий

Можно и "неполноценную" защиту. Она работает как надо.

Что касается WAF, то я ее не вижу в указанном месте. У меня панель Ispmanager Lite 6.106.0-2024.09.17_10:15 (COREmanager 5.401.0-2024.09.17_10:07). На Debian 11.11 (x86_64). Репозиторий 6-5.418-bullseye. С WAF абсолютно незнаком. Не знаю причем тут DDoS, а от взлома есть встроенный модуль в движке сайта (еще не факт, что они могут работать вместе).

06.07.2025 19:06

Анатолий
Можно и "неполноценную" защиту. Она работает как надо. Что касается WAF, то я ее не вижу в указанном месте. У меня панель Ispmanager Lite 6.106.0-2024.09.17_10:15 (COREmanager 5.401.0-2024.09.17_10:07). На Debian 11.11 (x86_64). Репозиторий 6-5.418-bullseye. С WAF абсолютно незнаком. Не знаю причем тут DDoS, а от взлома есть встроенный модуль в движке сайта (еще не факт, что они могут работать вместе).
Анатолий

Похоже,  в поддержку надо обращаться. Моя версия очень старая (сентябрь 2024). При этом установлено "обновлять все пакеты системы" в "Обновлять ПО автоматически".

Обновил кнопкой "Обновить продукт". WAF объявился.

06.07.2025 20:19

Flantru
Полноценную защиту от DDoS можно сделать только на сетевом уровне и многие провайдеры предоставляют такую услугу. На уровне же панели мы внедрили WAF, который призван защитить от ботов.
Анатолий

Посмотрел на WAF.

  1. Не вижу, чтобы он имел хоть какое-то отношение к защите от DDoS. Это, скорее, то, что в Битрикс называется WEB-антивирусом.
  2. Включать все правила сразу нельзя. Это даже в мануале к ModSecurity накарябано. Предстоит долгая отладка в режиме наблюдения. Эта тварь (WAF) сразу влезла в HTTP обмен с 1С.

06.07.2025 21:30