Tornar al blog
Gener 19, 2026Guies

Com protegir el vostre VPS dels atacs DDoS: guia pràctica

Guia completa per protegir el vostre VPS dels atacs DDoS mitjançant tallafocs, limitació de velocitat i altres mètodes provats.

Com protegir el vostre VPS dels atacs DDoS: guia pràctica

Els atacs DDoS (Distributed Denial of Service) poden desconnectar el vostre servidor en qüestió de minuts, provocant pèrdues d'ingressos, insatisfacció dels clients i danys a la reputació. El 2026, aquests atacs s'han tornat més sofisticats i accessibles. Afortunadament, els mètodes de protecció moderns també han evolucionat. Aquesta guia us mostrarà com protegir el vostre VPS Hiddence dels tipus més comuns d'atacs DDoS.

Què és un atac DDoS?

Un atac DDoS es produeix quan diversos ordinadors (botnet) envien sol·licituds simultàniament al vostre servidor, desbordant els seus recursos i fent-lo no disponible per als usuaris legítims.

Principals tipus d'atacs DDoS

  • Atacs volumètrics (L3/L4): inundació UDP, ICMP, inundació SYN — desborden l'ample de banda de la xarxa
  • Atacs de capa d'aplicació (L7): inundació HTTP, Slowloris — objectiu de la capa d'aplicació
  • Atacs de protocol: exploten vulnerabilitats en protocols de xarxa

Protecció Hiddence integrada

Tots els VPS de Hiddence inclouen protecció DDoS bàsica de capa 3-4 (nivell de xarxa). Això filtra automàticament la majoria dels atacs volumètrics. No obstant això, els atacs de capa 7 (aplicació) requereixen configuració addicional.

Pas 1: configuració del tallafoc

La primera línia de defensa és la configuració adequada del tallafoc. UFW (Uncomplicated Firewall) és una eina senzilla i eficaç per a Ubuntu/Debian.

bash
# Instal·lar UFW
sudo apt update && sudo apt install ufw -y

# Permetre SSH (IMPORTANT! Feu-ho abans d'habilitar UFW)
sudo ufw allow 22/tcp

# Permetre HTTP i HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Habilitar UFW
sudo ufw enable

# Comprovar estat
sudo ufw status verbose

# Regles de protecció avançades:
# Limitar connexions SSH (protecció contra força bruta)
sudo ufw limit 22/tcp

# Bloquejar inundacions de ping ICMP
sudo nano /etc/ufw/before.rules
# Afegiu després de *filter:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# Protecció contra inundació SYN
sudo nano /etc/sysctl.conf
# Afegiu:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Aplicar canvis
sudo sysctl -p

Pas 2: instal·lar Fail2Ban

Fail2Ban bloqueja automàticament les adreces IP que mostren activitat sospitosa (múltiples intents d'inici de sessió fallits, escaneig de ports).

bash
# Instal·lar
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Configuració per a protecció SSH i HTTP
# Crear configuració local
sudo nano /etc/fail2ban/jail.local

# Afegiu:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Reiniciar Fail2Ban
sudo systemctl restart fail2ban

# Comprovar estat
sudo fail2ban-client status

Pas 3: protecció Nginx

Si utilitzeu Nginx, configureu la limitació de velocitat per protegir-vos contra atacs d'inundació HTTP.

bash
sudo nano /etc/nginx/nginx.conf

# Afegiu al bloc http:
http {
    # Límit de sol·licituds: 10 sol·licituds per segon per IP
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Límit de connexions
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Protecció Slowloris
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Resta de la configuració...
}

# Al bloc server afegiu:
server {
    location / {
        # Aplicar límit de sol·licituds
        limit_req zone=one burst=20 nodelay;
        
        # Límit de connexions: màxim 10 per IP
        limit_conn addr 10;
        
        # La vostra configuració...
    }
}

# Provar configuració i recarregar
sudo nginx -t
sudo systemctl reload nginx

Pas 4: utilitzar CDN

Per a la màxima protecció, utilitzeu un servei CDN com Cloudflare. La CDN actua com a servidor intermediari, amagant la IP real del vostre servidor i absorbint la majoria dels atacs DDoS. Avantatges: amagar la IP real, filtratge automàtic de trànsit maliciós, distribució de càrrega, SSL/TLS gratuït, WAF per a protecció L7.

  • Registreu-vos a cloudflare.com (pla gratuït disponible)
  • Afegiu el vostre domini i canvieu els registres NS al vostre registrador
  • Habiliteu el mode 'Proxy' (núvol taronja) per als registres DNS
  • Establiu el mode SSL a 'Full (strict)' a la secció SSL/TLS
  • Habiliteu 'DDoS Protection' i 'Bot Fight Mode' a la configuració de seguretat

Pas 5: supervisió

La supervisió regular ajuda a detectar atacs d'hora.

bash
# Supervisar connexions actives
watch -n 1 'ss -s'

# Veure les IP principals per recompte de connexions
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Veure registres en temps real
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Comprovar IP bloquejades a Fail2Ban
sudo fail2ban-client status sshd

Mesures d'emergència

Si un atac ja està en curs, preneu les mesures següents:

  • Identifiqueu la font: utilitzeu 'netstat' o registres per identificar IP atacants
  • Bloqueig temporal: sudo ufw insert 1 deny from IP_ATACANT
  • Bloquejar subxarxes senceres: sudo ufw deny from 123.45.0.0/16
  • Limitar límit de velocitat: reduir temporalment els límits de Nginx a 1-5 req/s
  • Contactar amb el suport: contacteu amb el suport de Hiddence per a l'activació de protecció avançada
  • Habilitar 'Under Attack Mode' a Cloudflare (si s'utilitza)

Bones pràctiques

  • No publiqueu mai la IP real del vostre servidor si utilitzeu CDN
  • Actualitzeu regularment el sistema: sudo apt update && sudo apt upgrade
  • Utilitzeu claus SSH en lloc de contrasenyes per a l'accés al servidor
  • Canvieu el port SSH predeterminat (22) a no estàndard
  • Configureu còpies de seguretat automàtiques per a una recuperació ràpida
  • Utilitzeu IP separades per a serveis crítics
  • Habiliteu el registre i comproveu regularment els registres per activitat sospitosa
  • Considereu utilitzar el bloqueig geogràfic si el vostre servei no és global