Hvordan beskytte din VPS mot DDoS-angrep: Praktisk guide

DDoS-angrep (Distributed Denial of Service) kan ta serveren din offline på minutter, noe som fører til tap av inntekt, kundemisnøye og skade på omdømmet. I 2026 har slike angrep blitt mer sofistikerte og tilgjengelige. Heldigvis har moderne beskyttelsesmetoder også utviklet seg. Denne guiden viser deg hvordan du beskytter din Hiddence VPS mot de vanligste typene DDoS-angrep.

Hva er et DDoS-angrep?

Et DDoS-angrep oppstår når flere datamaskiner (botnet) samtidig sender forespørsler til serveren din, overvelder ressursene og gjør den utilgjengelig for legitime brukere.

Hovedtyper DDoS-angrep

• Volumetriske angrep (L3/L4): UDP-flom, ICMP, SYN-flom — overvelder nettverksbåndbredde
• Applikasjonslagangrep (L7): HTTP-flom, Slowloris — retter seg mot applikasjonslaget
• Protokollangrep: Utnytter sårbarheter i nettverksprotokoller

Innebygd Hiddence-beskyttelse

Alle Hiddence VPS inkluderer grunnleggende Lag 3-4 DDoS-beskyttelse (nettverksnivå). Dette filtrerer automatisk de fleste volumetriske angrep. Lag 7 (applikasjon) angrep krever imidlertid ekstra konfigurasjon.

Steg 1: Brannmuroppsett

Den første forsvarslinjen er riktig brannmurkonfigurasjon. UFW (Uncomplicated Firewall) er et enkelt og effektivt verktøy for Ubuntu/Debian.

# Installer UFW
sudo apt update && sudo apt install ufw -y

# Tillat SSH (VIKTIG! Gjør dette før du aktiverer UFW)
sudo ufw allow 22/tcp

# Tillat HTTP og HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Aktiver UFW
sudo ufw enable

# Sjekk status
sudo ufw status verbose

# Avanserte beskyttelsesregler:
# Begrens SSH-tilkoblinger (brute force-beskyttelse)
sudo ufw limit 22/tcp

# Blokker ICMP-pingflom
sudo nano /etc/ufw/before.rules
# Legg til etter *filter:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# Beskyttelse mot SYN-flom
sudo nano /etc/sysctl.conf
# Legg til:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Bruk endringer
sudo sysctl -p

Steg 2: Installer Fail2Ban

Fail2Ban blokkerer automatisk IP-adresser som viser mistenkelig aktivitet (flere mislykkede påloggingsforsøk, portskanning).

# Installer
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Konfigurasjon for SSH og HTTP-beskyttelse
# Opprett lokal konfigurasjon
sudo nano /etc/fail2ban/jail.local

# Legg til:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Start Fail2Ban på nytt
sudo systemctl restart fail2ban

# Sjekk status
sudo fail2ban-client status

Steg 3: Nginx-beskyttelse

Hvis du bruker Nginx, konfigurer hastighetsbegrensning for å beskytte mot HTTP-flomangrep.

sudo nano /etc/nginx/nginx.conf

# Legg til i http-blokk:
http {
    # Forespørselsbegrensning: 10 forespørsler per sekund per IP
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Tilkoblingsbegrensning
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Slowloris-beskyttelse
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Resten av konfigurasjonen...
}

# I serverblokk legg til:
server {
    location / {
        # Bruk forespørselsbegrensning
        limit_req zone=one burst=20 nodelay;
        
        # Tilkoblingsbegrensning: maks 10 per IP
        limit_conn addr 10;
        
        # Din konfigurasjon...
    }
}

# Test konfigurasjon og last inn på nytt
sudo nginx -t
sudo systemctl reload nginx

Steg 4: Bruk CDN

For maksimal beskyttelse, bruk en CDN-tjeneste som Cloudflare. CDN fungerer som en proxy, skjuler serverens virkelige IP og absorberer de fleste DDoS-angrep. Fordeler: skjul virkelig IP, automatisk filtrering av ondsinnet trafikk, lastfordeling, gratis SSL/TLS, WAF for L7-beskyttelse.

• Registrer deg på cloudflare.com (gratis plan tilgjengelig)
• Legg til domenet ditt og endre NS-poster hos registrar
• Aktiver 'Proxy'-modus (oransje sky) for DNS-poster
• Sett SSL-modus til 'Full (strict)' i SSL/TLS-seksjonen
• Aktiver 'DDoS Protection' og 'Bot Fight Mode' i sikkerhetsinnstillinger

Steg 5: Overvåking

Regelmessig overvåking hjelper med å oppdage angrep tidlig.

# Overvåk aktive tilkoblinger
watch -n 1 'ss -s'

# Vis topp IP-er etter tilkoblingsantall
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Vis logger i sanntid
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Sjekk blokkerte IP-er i Fail2Ban
sudo fail2ban-client status sshd

Nødstiltak

Hvis et angrep allerede pågår, ta følgende tiltak:

• Identifiser kilden: Bruk 'netstat' eller logger for å identifisere angripende IP-er
• Midlertidig blokkering: sudo ufw insert 1 deny from ATTACKING_IP
• Blokker hele undernettverk: sudo ufw deny from 123.45.0.0/16
• Begrens hastighetsbegrensning: Senk midlertidig Nginx-begrensninger til 1-5 req/s
• Kontakt support: Ta kontakt med Hiddence support for aktivering av avansert beskyttelse
• Aktiver 'Under Attack Mode' i Cloudflare (hvis du bruker det)

Beste praksis

• Publiser aldri serverens virkelige IP hvis du bruker CDN
• Oppdater regelmessig systemet: sudo apt update && sudo apt upgrade
• Bruk SSH-nøkler i stedet for passord for servertilgang
• Endre standard SSH-port (22) til ikke-standard
• Sett opp automatiske sikkerhetskopier for rask gjenoppretting
• Bruk separate IP-er for kritiske tjenester
• Aktiver logging og sjekk logger regelmessig for mistenkelig aktivitet
• Vurder å bruke geografisk blokkering hvis tjenesten din ikke er global