VPS-іңізді DDoS шабуылдарынан қалай қорғауға болады: Практикалық нұсқаулық

DDoS шабуылдары (Distributed Denial of Service) серверіңізді бірнеше минут ішінде офлайнға алып келуі мүмкін, бұл кіріс жоғалуына, тұтынушылардың наразылығына және беделге зиян келтіруіне әкелуі мүмкін. 2026 жылы мұндай шабуылдар күрделірек және қолжетімдірек болды. Бақытымызға орай, заманауи қорғаныс әдістері де дамыды. Бұл нұсқаулық сізге Hiddence VPS-іңізді DDoS шабуылдарының ең көп таралған түрлерінен қалай қорғау керектігін көрсетеді.

DDoS шабуылы дегеніміз не?

DDoS шабуылы бірнеше компьютерлер (ботнет) бір уақытта серверіңізге сұраныстар жібергенде орын алады, оның ресурстарын басып алып, заңды пайдаланушылар үшін қолжетімсіз етеді.

DDoS шабуылдарының негізгі түрлері

• Көлемдік шабуылдар (L3/L4): UDP flood, ICMP, SYN flood — желі өткізу қабілетін басып алу
• Қосымша қабаты шабуылдары (L7): HTTP flood, Slowloris — қосымша қабатын нысанаға алу
• Хаттама шабуылдары: Желі хаттамаларындағы осалдықтарды пайдалану

Кірістірілген Hiddence қорғанысы

Барлық Hiddence VPS негізгі 3-4 қабат DDoS қорғанысын (желі деңгейі) қамтиды. Бұл көптеген көлемдік шабуылдарды автоматты түрде сүзеді. Алайда, 7 қабат (қосымша) шабуылдары қосымша баптауды қажет етеді.

1-қадам: Брандмауэр орнатуы

Бірінші қорғаныс желісі - дұрыс брандмауэр конфигурациясы. UFW (Uncomplicated Firewall) Ubuntu/Debian үшін қарапайым және тиімді құрал.

# UFW орнату
sudo apt update && sudo apt install ufw -y

# SSH рұқсат ету (МАҢЫЗДЫ! UFW қоспас бұрын мұны орындаңыз)
sudo ufw allow 22/tcp

# HTTP және HTTPS рұқсат ету
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# UFW қосу
sudo ufw enable

# Күйін тексеру
sudo ufw status verbose

# Кеңейтілген қорғаныс ережелері:
# SSH қосылымдарын шектеу (brute force қорғанысы)
sudo ufw limit 22/tcp

# ICMP ping flood-тарын бұғаттау
sudo nano /etc/ufw/before.rules
# *filter кейін қосыңыз:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# SYN flood-тан қорғау
sudo nano /etc/sysctl.conf
# Қосыңыз:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Өзгерістерді қолдану
sudo sysctl -p

2-қадам: Fail2Ban орнату

Fail2Ban күдікті белгілерді көрсететін IP мекенжайларын автоматты түрде бұғаттайды (бірнеше сәтсіз кіру әрекеттері, порт сканерлеуі).

# Орнату
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# SSH және HTTP қорғанысы үшін конфигурация
# Жергілікті конфигурация құру
sudo nano /etc/fail2ban/jail.local

# Қосыңыз:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Fail2Ban қайта іске қосу
sudo systemctl restart fail2ban

# Күйін тексеру
sudo fail2ban-client status

3-қадам: Nginx қорғанысы

Егер Nginx пайдалансаңыз, HTTP flood шабуылдарынан қорғау үшін жылдамдық шектеуін баптаңыз.

sudo nano /etc/nginx/nginx.conf

# http блогына қосыңыз:
http {
    # Сұраныс шегі: IP-ге секундына 10 сұраныс
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Қосылым шегі
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Slowloris қорғанысы
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Қалған конфигурация...
}

# server блогына қосыңыз:
server {
    location / {
        # Сұраныс шегін қолдану
        limit_req zone=one burst=20 nodelay;
        
        # Қосылым шегі: IP-ге максимум 10
        limit_conn addr 10;
        
        # Сіздің конфигурацияңыз...
    }
}

# Конфигурацияны тексеру және қайта жүктеу
sudo nginx -t
sudo systemctl reload nginx

4-қадам: CDN пайдалану

Максималды қорғаныс үшін Cloudflare сияқты CDN қызметін пайдаланыңыз. CDN прокси ретінде әрекет етеді, серверіңіздің нақты IP-ін жасырып, көптеген DDoS шабуылдарын сіңіреді. Артықшылықтары: нақты IP-ті жасыру, автоматты зиянды трафикті сүзу, жүктемені бөлу, тегін SSL/TLS, L7 қорғанысы үшін WAF.

• cloudflare.com сайтына тіркеліңіз (тегін жоспар қолжетімді)
• Доменіңізді қосып, регистраторда NS жазбаларын өзгертіңіз
• DNS жазбалары үшін 'Proxy' режимін қосыңыз (қызғылт бұлт)
• SSL/TLS бөлімінде SSL режимін 'Full (strict)' етіп орнатыңыз
• Қауіпсіздік баптауларында 'DDoS Protection' және 'Bot Fight Mode' қосыңыз

5-қадам: Бақылау

Тұрақты бақылау шабуылдарды ерте анықтауға көмектеседі.

# Белсенді қосылымдарды бақылау
watch -n 1 'ss -s'

# Қосылым саны бойынша топ IP-терді көру
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Журналдарды нақты уақытта көру
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Fail2Ban-да бұғатталған IP-терді тексеру
sudo fail2ban-client status sshd

Төтенше шаралар

Егер шабуыл қазірдің өзінде жүріп жатса, келесі шараларды қабылдаңыз:

• Дереккөзді анықтау: Шабуылдаушы IP-терді анықтау үшін 'netstat' немесе журналдарды пайдаланыңыз
• Уақытша бұғаттау: sudo ufw insert 1 deny from ШАБУЫЛДАУШЫ_IP
• Бүкіл подсетьтерді бұғаттау: sudo ufw deny from 123.45.0.0/16
• Жылдамдық шегін шектеу: Уақытша Nginx шектеулерін 1-5 req/s-қа дейін төмендетіңіз
• Қолдауға хабарласу: Кеңейтілген қорғанысты іске қосу үшін Hiddence қолдауына хабарласыңыз
• Cloudflare-да (егер пайдалансаңыз) 'Under Attack Mode' қосыңыз

Үздік тәжірибелер

• CDN пайдалансаңыз серверіңіздің нақты IP-ін ешқашан жарияламаңыз
• Жүйені үнемі жаңартыңыз: sudo apt update && sudo apt upgrade
• Серверге қол жеткізу үшін құпия сөздердің орнына SSH кілттерін пайдаланыңыз
• Әдепкі SSH портын (22) стандартты емес портқа өзгертіңіз
• Жылдам қалпына келтіру үшін автоматты резервтік көшірмелерді орнатыңыз
• Маңызды қызметтер үшін бөлек IP-терді пайдаланыңыз
• Журналдауды қосып, журналдарды үнемі күдікті белгілерге тексеріңіз
• Қызметіңіз глобалды болмаса географиялық бұғаттауды қарастырыңыз