Сделать полноценную защиту от DDoS
То, что сделано сейчас использует только
limit_req_zone $binary_remote_addr
Это позволяет организовать защиту только от наглецов (тупоголовых партнеров магазинов, которые не используют приготовленное для них API, а парсят сайт; подонков, которые делают зеркало чужого сайта).
От реального DDoS это не защищает потому, что такие атаки распределенные (первая буква D в аббревиатуре, как раз, об этом). Здесь нужно пользоваться защитой на уровне виртуального сервера:
limit_req_zone $server_name
Вот это и защищает сервер (если на всех виртуальных серверах так сделано).
В давние времена защита по $binary_remote_addr
делалась делась на уровне всего виртуального сервера (что мгновенно тратило установленные лимиты на запросы статических файлов и приводило к неоправданному увеличению лимитов). Сейчас это делается только для тяжелых запросов. Спасибо. Но это только первый шаг.
04.07.2025 19:26
Полноценную защиту от DDoS можно сделать только на сетевом уровне и многие провайдеры предоставляют такую услугу. На уровне же панели мы внедрили WAF, который призван защитить от ботов.
06.07.2025 11:48
Можно и "неполноценную" защиту. Она работает как надо.
Что касается WAF, то я ее не вижу в указанном месте. У меня панель Ispmanager Lite 6.106.0-2024.09.17_10:15 (COREmanager 5.401.0-2024.09.17_10:07). На Debian 11.11 (x86_64). Репозиторий 6-5.418-bullseye. С WAF абсолютно незнаком. Не знаю причем тут DDoS, а от взлома есть встроенный модуль в движке сайта (еще не факт, что они могут работать вместе).
06.07.2025 19:06
Похоже, в поддержку надо обращаться. Моя версия очень старая (сентябрь 2024). При этом установлено "обновлять все пакеты системы" в "Обновлять ПО автоматически".
Обновил кнопкой "Обновить продукт". WAF объявился.
06.07.2025 20:19
Посмотрел на WAF.
06.07.2025 21:30