Πίσω στο blog
Ιανουάριος 19, 2026Οδηγοί

Πώς να Προστατέψετε το VPS σας από Επιθέσεις DDoS: Πρακτικός Οδηγός

Ολοκληρωμένος οδηγός για την προστασία του VPS σας από επιθέσεις DDoS χρησιμοποιώντας τείχη προστασίας, περιορισμό ρυθμού και άλλες αποδεδειγμένες μεθόδους.

Πώς να Προστατέψετε το VPS σας από Επιθέσεις DDoS: Πρακτικός Οδηγός

Οι επιθέσεις DDoS (Distributed Denial of Service) μπορούν να πάρουν τον διακομιστή σας offline σε λεπτά, οδηγώντας σε απώλεια εσόδων, δυσαρέσκεια πελατών και ζημιά στη φήμη. Το 2026, τέτοιες επιθέσεις έχουν γίνει πιο εξελιγμένες και προσβάσιμες. Ευτυχώς, οι σύγχρονες μέθοδοι προστασίας έχουν επίσης εξελιχθεί. Αυτός ο οδηγός θα σας δείξει πώς να προστατέψετε το Hiddence VPS σας από τους πιο συνηθισμένους τύπους επιθέσεων DDoS.

Τι είναι μια Επίθεση DDoS;

Μια επίθεση DDoS συμβαίνει όταν πολλοί υπολογιστές (botnet) στέλνουν ταυτόχρονα αιτήματα στον διακομιστή σας, κατακλύζοντας τους πόρους του και καθιστώντας τον μη διαθέσιμο σε νόμιμους χρήστες.

Κύριοι Τύποι Επιθέσεων DDoS

  • Επιθέσεις Όγκου (L3/L4): UDP flood, ICMP, SYN flood — κατακλύζουν το εύρος ζώνης δικτύου
  • Επιθέσεις Επίπεδου Εφαρμογής (L7): HTTP flood, Slowloris — στοχεύουν το επίπεδο εφαρμογής
  • Επιθέσεις Πρωτοκόλλου: Εκμεταλλεύονται ευπάθειες σε πρωτόκολλα δικτύου

Ενσωματωμένη Προστασία Hiddence

Όλα τα Hiddence VPS περιλαμβάνουν βασική προστασία DDoS Επιπέδου 3-4 (επίπεδο δικτύου). Αυτό φιλτράρει αυτόματα τις περισσότερες επιθέσεις όγκου. Ωστόσο, οι επιθέσεις Επιπέδου 7 (εφαρμογής) απαιτούν πρόσθετη διαμόρφωση.

Βήμα 1: Ρύθμιση Τείχους Προστασίας

Η πρώτη γραμμή άμυνας είναι η σωστή διαμόρφωση τείχους προστασίας. Το UFW (Uncomplicated Firewall) είναι ένα απλό και αποτελεσματικό εργαλείο για Ubuntu/Debian.

bash
# Εγκατάσταση UFW
sudo apt update && sudo apt install ufw -y

# Επιτρέψτε SSH (ΣΗΜΑΝΤΙΚΟ! Κάντε αυτό πριν ενεργοποιήσετε το UFW)
sudo ufw allow 22/tcp

# Επιτρέψτε HTTP και HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Ενεργοποίηση UFW
sudo ufw enable

# Έλεγχος κατάστασης
sudo ufw status verbose

# Προηγμένοι κανόνες προστασίας:
# Περιορισμός συνδέσεων SSH (προστασία brute force)
sudo ufw limit 22/tcp

# Αποκλεισμός ICMP ping floods
sudo nano /etc/ufw/before.rules
# Προσθέστε μετά το *filter:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# Προστασία έναντι SYN flood
sudo nano /etc/sysctl.conf
# Προσθέστε:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Εφαρμογή αλλαγών
sudo sysctl -p

Βήμα 2: Εγκατάσταση Fail2Ban

Το Fail2Ban αποκλείει αυτόματα διευθύνσεις IP που δείχνουν ύποπτη δραστηριότητα (πολλαπλές αποτυχημένες προσπάθειες σύνδεσης, σάρωση θυρών).

bash
# Εγκατάσταση
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Διαμόρφωση για προστασία SSH και HTTP
# Δημιουργία τοπικής διαμόρφωσης
sudo nano /etc/fail2ban/jail.local

# Προσθέστε:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Επανεκκίνηση Fail2Ban
sudo systemctl restart fail2ban

# Έλεγχος κατάστασης
sudo fail2ban-client status

Βήμα 3: Προστασία Nginx

Αν χρησιμοποιείτε Nginx, διαμορφώστε τον περιορισμό ρυθμού για προστασία έναντι επιθέσεων HTTP flood.

bash
sudo nano /etc/nginx/nginx.conf

# Προσθέστε στο μπλοκ http:
http {
    # Όριο αιτήματος: 10 αιτήματα ανά δευτερόλεπτο ανά IP
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Όριο σύνδεσης
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Προστασία Slowloris
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Υπόλοιπη διαμόρφωση...
}

# Στο μπλοκ server προσθέστε:
server {
    location / {
        # Εφαρμογή ορίου αιτήματος
        limit_req zone=one burst=20 nodelay;
        
        # Όριο σύνδεσης: μέγιστο 10 ανά IP
        limit_conn addr 10;
        
        # Η διαμόρφωσή σας...
    }
}

# Δοκιμή διαμόρφωσης και επαναφόρτωση
sudo nginx -t
sudo systemctl reload nginx

Βήμα 4: Χρήση CDN

Για μέγιστη προστασία, χρησιμοποιήστε μια υπηρεσία CDN όπως το Cloudflare. Το CDN λειτουργεί ως μεσολαβητής, κρύβοντας την πραγματική IP του διακομιστή σας και απορροφώντας τις περισσότερες επιθέσεις DDoS. Οφέλη: απόκρυψη πραγματικής IP, αυτόματο φιλτράρισμα κακόβουλης κυκλοφορίας, κατανομή φορτίου, δωρεάν SSL/TLS, WAF για προστασία L7.

  • Εγγραφή στο cloudflare.com (διαθέσιμο δωρεάν σχέδιο)
  • Προσθέστε τον τομέα σας και αλλάξτε τα αρχεία NS στον καταχωρητή σας
  • Ενεργοποιήστε τη λειτουργία 'Proxy' (πορτοκαλί σύννεφο) για αρχεία DNS
  • Ορίστε τη λειτουργία SSL σε 'Full (strict)' στην ενότητα SSL/TLS
  • Ενεργοποιήστε το 'DDoS Protection' και το 'Bot Fight Mode' στις ρυθμίσεις ασφαλείας

Βήμα 5: Παρακολούθηση

Η τακτική παρακολούθηση βοηθά στον έγκαιρο εντοπισμό επιθέσεων.

bash
# Παρακολούθηση ενεργών συνδέσεων
watch -n 1 'ss -s'

# Προβολή κορυφαίων IP ανά αριθμό συνδέσεων
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Προβολή αρχείων καταγραφής σε πραγματικό χρόνο
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Έλεγχος αποκλεισμένων IP στο Fail2Ban
sudo fail2ban-client status sshd

Μέτρα Έκτακτης Ανάγκης

Αν μια επίθεση είναι ήδη σε εξέλιξη, λάβετε τα ακόλουθα μέτρα:

  • Εντοπισμός πηγής: Χρησιμοποιήστε 'netstat' ή αρχεία καταγραφής για εντοπισμό επιτιθέμενων IP
  • Προσωρινός αποκλεισμός: sudo ufw insert 1 deny from ATTACKING_IP
  • Αποκλεισμός ολόκληρων υποδικτύων: sudo ufw deny from 123.45.0.0/16
  • Περιορισμός ορίου ρυθμού: Προσωρινά μειώστε τα όρια Nginx σε 1-5 req/s
  • Επικοινωνία με υποστήριξη: Επικοινωνήστε με την υποστήριξη Hiddence για ενεργοποίηση προηγμένης προστασίας
  • Ενεργοποιήστε τη λειτουργία 'Under Attack Mode' στο Cloudflare (αν χρησιμοποιείτε)

Βέλτιστες Πρακτικές

  • Μην δημοσιεύετε ποτέ την πραγματική IP του διακομιστή σας αν χρησιμοποιείτε CDN
  • Ενημερώνετε τακτικά το σύστημα: sudo apt update && sudo apt upgrade
  • Χρησιμοποιήστε κλειδιά SSH αντί για κωδικούς πρόσβασης για πρόσβαση διακομιστή
  • Αλλάξτε την προεπιλεγμένη θύρα SSH (22) σε μη τυπική
  • Ρυθμίστε αυτόματα αντίγραφα ασφαλείας για γρήγορη ανάκτηση
  • Χρησιμοποιήστε ξεχωριστές IP για κρίσιμες υπηρεσίες
  • Ενεργοποιήστε την καταγραφή και ελέγχετε τακτικά τα αρχεία καταγραφής για ύποπτη δραστηριότητα
  • Εξετάστε τη χρήση γεωγραφικού αποκλεισμού αν η υπηρεσία σας δεν είναι παγκόσμια