Hoe om jou VPS teen DDoS-aanvalle te beskerm: Praktiese Gids

DDoS-aanvalle (Distributed Denial of Service) kan jou bediener binne minute vanlyn haal, wat lei tot inkomsteverlies, kliënte-ontevredenheid en reputasieskade. In 2026 het sulke aanvalle meer gesofistikeerd en toeganklik geword. Gelukkig het moderne beskermingsmetodes ook ontwikkel. Hierdie gids sal jou wys hoe om jou Hiddence VPS teen die mees algemene tipes DDoS-aanvalle te beskerm.

Wat is 'n DDoS-aanval?

'n DDoS-aanval vind plaas wanneer veelvuldige rekenaars (botnet) gelyktydig versoeke na jou bediener stuur, wat sy hulpbronne oorweldig en dit onbeskikbaar maak vir wettige gebruikers.

Hoof Tipes DDoS-aanvalle

• Volumetriese Aanvalle (L3/L4): UDP-vloed, ICMP, SYN-vloed — oorweldig netwerkbandwydte
• Toepassingslaag-aanvalle (L7): HTTP-vloed, Slowloris — teiken toepassingslaag
• Protokol-aanvalle: Buit kwesbaarhede in netwerkprotokolle uit

Ingeboude Hiddence Beskerming

Alle Hiddence VPS sluit basiese Laag 3-4 DDoS-beskerming in (netwerkvlak). Dit filter outomaties die meeste volumetriese aanvalle. Laag 7 (toepassing) aanvalle vereis egter bykomende konfigurasie.

Stap 1: Firewall Opstelling

Die eerste verdedigingslinie is behoorlike firewall-konfigurasie. UFW (Uncomplicated Firewall) is 'n eenvoudige en effektiewe instrument vir Ubuntu/Debian.

# Installeer UFW
sudo apt update && sudo apt install ufw -y

# Laat SSH toe (BELANGRIK! Doen dit voordat UFW geaktiveer word)
sudo ufw allow 22/tcp

# Laat HTTP en HTTPS toe
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Aktiveer UFW
sudo ufw enable

# Gaan status na
sudo ufw status verbose

# Gevorderde beskermingsreëls:
# Beperk SSH-verbindings (brute force beskerming)
sudo ufw limit 22/tcp

# Blokkeer ICMP ping-vloede
sudo nano /etc/ufw/before.rules
# Voeg by na *filter:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# Beskerming teen SYN-vloed
sudo nano /etc/sysctl.conf
# Voeg by:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Pas veranderinge toe
sudo sysctl -p

Stap 2: Installeer Fail2Ban

Fail2Ban blokkeer outomaties IP-adresse wat verdagte aktiwiteit toon (veelvuldige mislukte aanmeldpogings, poortskandering).

# Installeer
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Konfigurasie vir SSH- en HTTP-beskerming
# Skep plaaslike konfigurasie
sudo nano /etc/fail2ban/jail.local

# Voeg by:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Herbegin Fail2Ban
sudo systemctl restart fail2ban

# Gaan status na
sudo fail2ban-client status

Stap 3: Nginx Beskerming

As jy Nginx gebruik, konfigureer koersbeperking om teen HTTP-vloedaanvalle te beskerm.

sudo nano /etc/nginx/nginx.conf

# Voeg by http-blok:
http {
    # Versoeklimiet: 10 versoeke per sekonde per IP
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Verbindingslimiet
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Slowloris beskerming
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Res van konfigurasie...
}

# In bedienerblok voeg by:
server {
    location / {
        # Pas versoeklimiet toe
        limit_req zone=one burst=20 nodelay;
        
        # Verbindingslimiet: maks 10 per IP
        limit_conn addr 10;
        
        # Jou konfigurasie...
    }
}

# Toets konfigurasie en herlaai
sudo nginx -t
sudo systemctl reload nginx

Stap 4: Gebruik CDN

Vir maksimum beskerming, gebruik 'n CDN-diens soos Cloudflare. CDN tree op as 'n instaanbediener, wat jou bediener se regte IP verberg en die meeste DDoS-aanvalle absorbeer. Voordele: verberg regte IP, outomatiese kwaadwillige verkeersfiltrering, vragverspreiding, gratis SSL/TLS, WAF vir L7-beskerming.

• Registreer op cloudflare.com (gratis plan beskikbaar)
• Voeg jou domein by en verander NS-rekords by jou registrateur
• Aktiveer 'Proxy' modus (oranje wolk) vir DNS-rekords
• Stel SSL-modus na 'Full (strict)' in SSL/TLS-afdeling
• Aktiveer 'DDoS Protection' en 'Bot Fight Mode' in sekuriteitsinstellings

Stap 5: Monitering

Gereelde monitering help om aanvalle vroegtydig op te spoor.

# Monitor aktiewe verbindings
watch -n 1 'ss -s'

# Bekyk top IP's volgens verbindingtelling
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Bekyk logboeke intyds
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Gaan geblokkeerde IP's in Fail2Ban na
sudo fail2ban-client status sshd

Noodmaatreëls

As 'n aanval reeds aan die gang is, tref die volgende maatreëls:

• Identifiseer die bron: Gebruik 'netstat' of logboeke om aanvallende IP's te identifiseer
• Tydelike blokkering: sudo ufw insert 1 deny from ATTACKING_IP
• Blokkeer hele subnette: sudo ufw deny from 123.45.0.0/16
• Beperk koerslimiet: Verlaag Nginx-limiete tydelik na 1-5 req/s
• Kontak ondersteuning: Reik uit na Hiddence-ondersteuning vir gevorderde beskermingsaktivering
• Aktiveer 'Under Attack Mode' in Cloudflare (indien in gebruik)

Beste Praktyke

• Publiseer nooit jou bediener se regte IP as jy CDN gebruik nie
• Dateer die stelsel gereeld op: sudo apt update && sudo apt upgrade
• Gebruik SSH-sleutels in plaas van wagwoorde vir bedienertoegang
• Verander verstek SSH-poort (22) na nie-standaard
• Stel outomatiese rugsteun op vir vinnige herstel
• Gebruik aparte IP's vir kritieke dienste
• Aktiveer aantekening en gaan logboeke gereeld na vir verdagte aktiwiteit
• Oorweeg geografiese blokkering as jou diens nie wêreldwyd is nie