Сделать полноценную защиту от DDoS
То, что сделано сейчас использует только
limit_req_zone $binary_remote_addr
Это позволяет организовать защиту только от наглецов (тупоголовых партнеров магазинов, которые не используют приготовленное для них API, а парсят сайт; подонков, которые делают зеркало чужого сайта).
От реального DDoS это не защищает потому, что такие атаки распределенные (первая буква D в аббревиатуре, как раз, об этом). Здесь нужно пользоваться защитой на уровне виртуального сервера:
limit_req_zone $server_name
Вот это и защищает сервер (если на всех виртуальных серверах так сделано).
В давние времена защита по $binary_remote_addr
делалась делась на уровне всего виртуального сервера (что мгновенно тратило установленные лимиты на запросы статических файлов и приводило к неоправданному увеличению лимитов). Сейчас это делается только для тяжелых запросов. Спасибо. Но это только первый шаг.
04.07.2025 19:26