কিভাবে আপনার VPS-কে DDoS আক্রমণ থেকে রক্ষা করবেন: ব্যবহারিক গাইড
ফায়ারওয়াল, রেট লিমিটিং এবং অন্যান্য প্রমাণিত পদ্ধতি ব্যবহার করে আপনার VPS-কে DDoS আক্রমণ থেকে রক্ষা করার বিস্তৃত গাইড।
DDoS আক্রমণ (Distributed Denial of Service) আপনার সার্ভারকে কয়েক মিনিটের মধ্যে অফলাইন করে দিতে পারে, যার ফলে রাজস্ব ক্ষতি, গ্রাহক অসন্তোষ এবং খ্যাতির ক্ষতি হতে পারে। ২০২৬ সালে, এই ধরনের আক্রমণ আরও পরিশীলিত এবং অ্যাক্সেসযোগ্য হয়ে উঠেছে। সৌভাগ্যবশত, আধুনিক সুরক্ষা পদ্ধতিগুলোও বিবর্তিত হয়েছে। এই গাইডটি আপনাকে দেখাবে কিভাবে আপনার Hiddence VPS-কে সবচেয়ে সাধারণ ধরনের DDoS আক্রমণ থেকে রক্ষা করবেন।
DDoS আক্রমণ কী?
একটি DDoS আক্রমণ ঘটে যখন একাধিক কম্পিউটার (বটনেট) একসাথে আপনার সার্ভারে অনুরোধ পাঠায়, এর রিসোর্সগুলিকে অভিভূত করে এবং বৈধ ব্যবহারকারীদের জন্য এটি অনুপলব্ধ করে তোলে।
DDoS আক্রমণের প্রধান ধরন
- ভলিউমেট্রিক আক্রমণ (L3/L4): UDP ফ্লাড, ICMP, SYN ফ্লাড — নেটওয়ার্ক ব্যান্ডউইথ অভিভূত করে
- অ্যাপ্লিকেশন লেয়ার আক্রমণ (L7): HTTP ফ্লাড, Slowloris — অ্যাপ্লিকেশন লেয়ারকে লক্ষ্য করে
- প্রোটোকল আক্রমণ: নেটওয়ার্ক প্রোটোকলের দুর্বলতাগুলিকে কাজে লাগায়
বিল্ট-ইন Hiddence সুরক্ষা
সমস্ত Hiddence VPS-এ বেসিক লেয়ার ৩-৪ DDoS সুরক্ষা (নেটওয়ার্ক লেভেল) অন্তর্ভুক্ত রয়েছে। এটি স্বয়ংক্রিয়ভাবে বেশিরভাগ ভলিউমেট্রিক আক্রমণ ফিল্টার করে। তবে, লেয়ার ৭ (অ্যাপ্লিকেশন) আক্রমণের জন্য অতিরিক্ত কনফিগারেশন প্রয়োজন।
ধাপ ১: ফায়ারওয়াল সেটআপ
প্রতিরক্ষার প্রথম লাইন হল সঠিক ফায়ারওয়াল কনফিগারেশন। UFW (Uncomplicated Firewall) Ubuntu/Debian-এর জন্য একটি সহজ এবং কার্যকর টুল।
# UFW ইনস্টল করুন
sudo apt update && sudo apt install ufw -y
# SSH-এর অনুমতি দিন (গুরুত্বপূর্ণ! UFW সক্ষম করার আগে এটি করুন)
sudo ufw allow 22/tcp
# HTTP এবং HTTPS-এর অনুমতি দিন
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# UFW সক্ষম করুন
sudo ufw enable
# স্ট্যাটাস পরীক্ষা করুন
sudo ufw status verbose
# উন্নত সুরক্ষা নিয়ম:
# SSH সংযোগ সীমিত করুন (ব্রুট ফোর্স সুরক্ষা)
sudo ufw limit 22/tcp
# ICMP পিং ফ্লাড ব্লক করুন
sudo nano /etc/ufw/before.rules
# *filter-এর পরে যোগ করুন:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
# SYN ফ্লাডের বিরুদ্ধে সুরক্ষা
sudo nano /etc/sysctl.conf
# যোগ করুন:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# পরিবর্তনগুলি প্রয়োগ করুন
sudo sysctl -pধাপ ২: Fail2Ban ইনস্টল করুন
Fail2Ban সন্দেহজনক কার্যকলাপ দেখানো আইপি ঠিকানাগুলিকে স্বয়ংক্রিয়ভাবে ব্লক করে (একাধিক ব্যর্থ লগইন প্রচেষ্টা, পোর্ট স্ক্যানিং)।
# ইনস্টল করুন
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# SSH এবং HTTP সুরক্ষার জন্য কনফিগারেশন
# লোকাল কনফিগারেশন তৈরি করুন
sudo nano /etc/fail2ban/jail.local
# যোগ করুন:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw
[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log
[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log
# Fail2Ban রিস্টার্ট করুন
sudo systemctl restart fail2ban
# স্ট্যাটাস পরীক্ষা করুন
sudo fail2ban-client statusধাপ ৩: Nginx সুরক্ষা
আপনি যদি Nginx ব্যবহার করেন, তবে HTTP ফ্লাড আক্রমণ থেকে রক্ষা পেতে রেট লিমিটিং কনফিগার করুন।
sudo nano /etc/nginx/nginx.conf
# http ব্লকে যোগ করুন:
http {
# রিকোয়েস্ট লিমিট: প্রতি আইপি ১০ রিকোয়েস্ট প্রতি সেকেন্ড
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
# কানেকশন লিমিট
limit_conn_zone $binary_remote_addr zone=addr:10m;
# Slowloris সুরক্ষা
client_body_timeout 10s;
client_header_timeout 10s;
keepalive_timeout 5s 5s;
send_timeout 10s;
# বাকি কনফিগারেশন...
}
# সার্ভার ব্লকে যোগ করুন:
server {
location / {
# রিকোয়েস্ট লিমিট প্রয়োগ করুন
limit_req zone=one burst=20 nodelay;
# কানেকশন লিমিট: প্রতি আইপি সর্বোচ্চ ১০
limit_conn addr 10;
# আপনার কনফিগারেশন...
}
}
# কনফিগারেশন পরীক্ষা এবং রিলোড করুন
sudo nginx -t
sudo systemctl reload nginxধাপ ৪: CDN ব্যবহার করুন
সর্বোচ্চ সুরক্ষার জন্য, Cloudflare-এর মতো একটি CDN সার্ভিস ব্যবহার করুন। CDN একটি প্রক্সি হিসেবে কাজ করে, আপনার সার্ভারের আসল আইপি লুকিয়ে রাখে এবং বেশিরভাগ DDoS আক্রমণ শোষণ করে। সুবিধা: আসল আইপি লুকানো, স্বয়ংক্রিয় ক্ষতিকারক ট্র্যাফিক ফিল্টারিং, লোড ডিস্ট্রিবিউশন, ফ্রি SSL/TLS, L7 সুরক্ষার জন্য WAF।
- cloudflare.com-এ রেজিস্টার করুন (ফ্রি প্ল্যান উপলব্ধ)
- আপনার ডোমেন যোগ করুন এবং আপনার রেজিস্টারে NS রেকর্ড পরিবর্তন করুন
- DNS রেকর্ডের জন্য 'Proxy' মোড (কমলা মেঘ) সক্ষম করুন
- SSL/TLS সেকশনে SSL মোড 'Full (strict)'-এ সেট করুন
- নিরাপত্তা সেটিংসে 'DDoS Protection' এবং 'Bot Fight Mode' সক্ষম করুন
ধাপ ৫: মনিটরিং
নিয়মিত মনিটরিং আক্রমণগুলি আগে শনাক্ত করতে সাহায্য করে।
# সক্রিয় সংযোগ মনিটর করুন
watch -n 1 'ss -s'
# কানেকশন কাউন্ট অনুসারে শীর্ষ আইপি দেখুন
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
# রিয়েল-টাইমে লগ দেখুন
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f
# Fail2Ban-এ ব্লক করা আইপি পরীক্ষা করুন
sudo fail2ban-client status sshdজরুরি ব্যবস্থা
যদি আক্রমণ ইতিমধ্যে চলছে, তবে নিম্নলিখিত ব্যবস্থা গ্রহণ করুন:
- উৎস শনাক্ত করুন: আক্রমণকারী আইপি শনাক্ত করতে 'netstat' বা লগ ব্যবহার করুন
- অস্থায়ী ব্লক: sudo ufw insert 1 deny from ATTACKING_IP
- পুরো সাবনেট ব্লক করুন: sudo ufw deny from 123.45.0.0/16
- রেট লিমিট সীমিত করুন: সাময়িকভাবে Nginx লিমিট ১-৫ req/s-এ কমিয়ে দিন
- সাপোর্টে যোগাযোগ করুন: উন্নত সুরক্ষা সক্রিয়করণের জন্য Hiddence সাপোর্টে যোগাযোগ করুন
- Cloudflare-এ 'Under Attack Mode' সক্ষম করুন (যদি ব্যবহার করেন)
সেরা অনুশীলন
- CDN ব্যবহার করলে আপনার সার্ভারের আসল আইপি কখনো প্রকাশ করবেন না
- নিয়মিত সিস্টেম আপডেট করুন: sudo apt update && sudo apt upgrade
- সার্ভার অ্যাক্সেসের জন্য পাসওয়ার্ডের পরিবর্তে SSH কী ব্যবহার করুন
- ডিফল্ট SSH পোর্ট (২২) পরিবর্তন করে নন-স্ট্যান্ডার্ড করুন
- দ্রুত পুনরুদ্ধারের জন্য স্বয়ংক্রিয় ব্যাকআপ সেট আপ করুন
- ক্রিটিক্যাল সার্ভিসের জন্য আলাদা আইপি ব্যবহার করুন
- লগিং সক্ষম করুন এবং নিয়মিত সন্দেহজনক কার্যকলাপের জন্য লগ পরীক্ষা করুন
- আপনার সার্ভিস গ্লোবাল না হলে জিওগ্রাফিক ব্লকিং ব্যবহার করার কথা বিবেচনা করুন