Kā aizsargāt savu VPS no DDoS uzbrukumiem: praktisks ceļvedis
Visaptverošs ceļvedis par VPS aizsardzību no DDoS uzbrukumiem, izmantojot ugunsmūrus, ātruma ierobežošanu un citas pierādītas metodes.
DDoS uzbrukumi (Distributed Denial of Service) var izslēgt jūsu serveri minūtēs, izraisot ieņēmumu zaudējumus, klientu neapmierinātību un reputācijas bojājumus. 2026. gadā šādi uzbrukumi ir kļuvuši sarežģītāki un pieejamāki. Par laimi, arī mūsdienu aizsardzības metodes ir attīstījušās. Šis ceļvedis parādīs, kā aizsargāt savu Hiddence VPS no visbiežākajiem DDoS uzbrukumu veidiem.
Kas ir DDoS uzbrukums?
DDoS uzbrukums notiek, kad vairāki datori (botnet) vienlaikus nosūta pieprasījumus uz jūsu serveri, pārspīlējot tā resursus un padarot to nepieejamu likumīgiem lietotājiem.
Galvenie DDoS uzbrukumu veidi
- Volumetriskie uzbrukumi (L3/L4): UDP plūsma, ICMP, SYN plūsma — pārspīlē tīkla joslas platumu
- Lietojumprogrammu slāņa uzbrukumi (L7): HTTP plūsma, Slowloris — mērķis uz lietojumprogrammu slāni
- Protokola uzbrukumi: izmanto ievainojamības tīkla protokolos
Iebūvētā Hiddence aizsardzība
Visi Hiddence VPS ietver pamata 3.–4. slāņa DDoS aizsardzību (tīkla līmenis). Tas automātiski filtrē lielāko daļu volumetrisko uzbrukumu. Tomēr 7. slāņa (lietojumprogrammu) uzbrukumi prasa papildu konfigurāciju.
1. solis: Ugunsmūra iestatīšana
Pirmā aizsardzības līnija ir pareiza ugunsmūra konfigurācija. UFW (Uncomplicated Firewall) ir vienkāršs un efektīvs rīks Ubuntu/Debian.
# Instalēt UFW
sudo apt update && sudo apt install ufw -y
# Atļaut SSH (SVARĪGI! Dariet to pirms UFW iespējošanas)
sudo ufw allow 22/tcp
# Atļaut HTTP un HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# Iespējot UFW
sudo ufw enable
# Pārbaudīt statusu
sudo ufw status verbose
# Uzlabotas aizsardzības noteikumi:
# Ierobežot SSH savienojumus (brutāla spēka aizsardzība)
sudo ufw limit 22/tcp
# Bloķēt ICMP ping plūsmas
sudo nano /etc/ufw/before.rules
# Pievienot pēc *filter:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
# Aizsardzība pret SYN plūsmu
sudo nano /etc/sysctl.conf
# Pievienot:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Piemērot izmaiņas
sudo sysctl -p2. solis: Instalējiet Fail2Ban
Fail2Ban automātiski bloķē IP adreses, kas uzrāda aizdomīgu aktivitāti (vairāki neveiksmīgi pieteikšanās mēģinājumi, portu skenēšana).
# Instalēt
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# Konfigurācija SSH un HTTP aizsardzībai
# Izveidot vietējo konfigurāciju
sudo nano /etc/fail2ban/jail.local
# Pievienot:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw
[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log
[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log
[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log
# Restartēt Fail2Ban
sudo systemctl restart fail2ban
# Pārbaudīt statusu
sudo fail2ban-client status3. solis: Nginx aizsardzība
Ja izmantojat Nginx, konfigurējiet ātruma ierobežošanu, lai aizsargātu pret HTTP plūsmas uzbrukumiem.
sudo nano /etc/nginx/nginx.conf
# Pievienot http blokam:
http {
# Pieprasījumu ierobežojums: 10 pieprasījumi sekundē uz IP
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
# Savienojuma ierobežojums
limit_conn_zone $binary_remote_addr zone=addr:10m;
# Slowloris aizsardzība
client_body_timeout 10s;
client_header_timeout 10s;
keepalive_timeout 5s 5s;
send_timeout 10s;
# Pārējā konfigurācija...
}
# Servera blokā pievienot:
server {
location / {
# Piemērot pieprasījumu ierobežojumu
limit_req zone=one burst=20 nodelay;
# Savienojuma ierobežojums: maks. 10 uz IP
limit_conn addr 10;
# Jūsu konfigurācija...
}
}
# Testēt konfigurāciju un pārlādēt
sudo nginx -t
sudo systemctl reload nginx4. solis: Izmantojiet CDN
Maksimālai aizsardzībai izmantojiet CDN pakalpojumu, piemēram, Cloudflare. CDN darbojas kā starpniekserveris, slēpjot jūsu servera īsto IP un uzsūcot lielāko daļu DDoS uzbrukumu. Priekšrocības: slēpt īsto IP, automātiska ļaunprātīga trafika filtrēšana, slodzes sadalīšana, bezmaksas SSL/TLS, WAF 7. slāņa aizsardzībai.
- Reģistrējieties cloudflare.com (pieejams bezmaksas plāns)
- Pievienojiet savu domēnu un mainiet NS ierakstus pie reģistrātora
- Iespējojiet 'Proxy' režīmu (oranža mākonis) DNS ierakstiem
- Iestatiet SSL režīmu uz 'Full (strict)' SSL/TLS sadaļā
- Iespējojiet 'DDoS Protection' un 'Bot Fight Mode' drošības iestatījumos
5. solis: Uzraudzība
Regulāra uzraudzība palīdz agrīni atklāt uzbrukumus.
# Uzraugiet aktīvos savienojumus
watch -n 1 'ss -s'
# Skatīt top IP pēc savienojumu skaita
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
# Skatīt žurnālus reāllaikā
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f
# Pārbaudīt bloķētās IP Fail2Ban
sudo fail2ban-client status sshdĀrkārtas pasākumi
Ja uzbrukums jau notiek, veiciet šādus pasākumus:
- Identificēt avotu: izmantojiet 'netstat' vai žurnālus, lai identificētu uzbrukuma IP
- Pagaidu bloķēšana: sudo ufw insert 1 deny from UZBRUKUMA_IP
- Bloķēt veselas apakštīklus: sudo ufw deny from 123.45.0.0/16
- Ierobežot ātruma ierobežojumu: īslaicīgi pazeminiet Nginx ierobežojumus līdz 1–5 req/s
- Sazināties ar atbalstu: sazinieties ar Hiddence atbalstu uzlabotas aizsardzības aktivizēšanai
- Iespējot 'Under Attack Mode' Cloudflare (ja izmantojat)
Labākā prakse
- Nekad nepublicejiet sava servera īsto IP, ja izmantojat CDN
- Regulāri atjauniniet sistēmu: sudo apt update && sudo apt upgrade
- Izmantojiet SSH atslēgas paroļu vietā servera piekļuvei
- Mainiet noklusējuma SSH portu (22) uz nestandarta
- Iestatiet automātiskās dublējumkopijas ātrai atjaunošanai
- Izmantojiet atsevišķas IP kritiskajiem pakalpojumiem
- Iespējojiet reģistrēšanu un regulāri pārbaudiet žurnālus aizdomīgai aktivitātei
- Apsveriet ģeogrāfiskās bloķēšanas izmantošanu, ja jūsu pakalpojums nav globāls