Како заштитити ваш VPS од DDoS напада: Практични водич

DDoS напади (Distributed Denial of Service) могу да угасе ваш сервер за неколико минута, што доводи до губитка прихода, незадовољства купаца и оштећења репутације. У 2026. години, такви напади су постали софистициранији и доступнији. Срећом, модерне методе заштите су такође еволуирале. Овај водич ће вам показати како да заштитите ваш Hiddence VPS од најчешћих типова DDoS напада.

Шта је DDoS напад?

DDoS напад се дешава када више рачунара (ботнет) истовремено шаље захтеве на ваш сервер, преоптерећујући његове ресурсе и чинећи га недоступним легитимним корисницима.

Главни типови DDoS напада

• Волуметријски напади (L3/L4): UDP поплава, ICMP, SYN поплава — преоптерећују мрежни пропусни опсег
• Напади на слој апликације (L7): HTTP поплава, Slowloris — циљају слој апликације
• Протоколни напади: Искоришћавају рањивости у мрежним протоколима

Уграђена Hiddence заштита

Сви Hiddence VPS-ови укључују основну Layer 3-4 DDoS заштиту (мрежни ниво). Ово аутоматски филтрира већину волуметријских напада. Међутим, Layer 7 (апликациони) напади захтевају додатну конфигурацију.

Корак 1: Постављање заштитног зида

Прва линија одбране је правилна конфигурација заштитног зида. UFW (Uncomplicated Firewall) је једноставан и ефикасан алат за Ubuntu/Debian.

# Инсталирај UFW
sudo apt update && sudo apt install ufw -y

# Дозволи SSH (ВАЖНО! Урадите ово пре омогућавања UFW-а)
sudo ufw allow 22/tcp

# Дозволи HTTP и HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Омогући UFW
sudo ufw enable

# Провери статус
sudo ufw status verbose

# Напредна правила заштите:
# Ограничи SSH везе (заштита од brute force напада)
sudo ufw limit 22/tcp

# Блокирај ICMP ping поплаве
sudo nano /etc/ufw/before.rules
# Додај након *filter:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# Заштита од SYN поплаве
sudo nano /etc/sysctl.conf
# Додај:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Примени измене
sudo sysctl -p

Корак 2: Инсталирајте Fail2Ban

Fail2Ban аутоматски блокира IP адресе које показују сумњиву активност (више неуспелих покушаја пријаве, скенирање портова).

# Инсталирај
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Конфигурација за SSH и HTTP заштиту
# Креирај локалну конфигурацију
sudo nano /etc/fail2ban/jail.local

# Додај:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Рестартуј Fail2Ban
sudo systemctl restart fail2ban

# Провери статус
sudo fail2ban-client status

Корак 3: Nginx заштита

Ако користите Nginx, конфигуришите ограничење брзине да заштитите од HTTP поплавних напада.

sudo nano /etc/nginx/nginx.conf

# Додај у http блок:
http {
    # Ограничење захтева: 10 захтева у секунди по IP
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Ограничење веза
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Slowloris заштита
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Остатак конфигурације...
}

# У server блоку додај:
server {
    location / {
        # Примени ограничење захтева
        limit_req zone=one burst=20 nodelay;
        
        # Ограничење веза: макс 10 по IP
        limit_conn addr 10;
        
        # Ваша конфигурација...
    }
}

# Тестирај конфигурацију и поново учитај
sudo nginx -t
sudo systemctl reload nginx

Корак 4: Користите CDN

За максималну заштиту, користите CDN услугу попут Cloudflare-а. CDN делује као прокси, кријући праву IP адресу вашег сервера и апсорбујући већину DDoS напада. Предности: сакриј праву IP адресу, аутоматско филтрирање злонамерног саобраћаја, дистрибуција оптерећења, бесплатан SSL/TLS, WAF за L7 заштиту.

• Региструјте се на cloudflare.com (доступан бесплатни план)
• Додајте ваш домен и промените NS записе код вашег регистратора
• Омогућите 'Proxy' режим (наранџасти облак) за DNS записе
• Поставите SSL режим на 'Full (strict)' у SSL/TLS секцији
• Омогућите 'DDoS Protection' и 'Bot Fight Mode' у безбедносним подешавањима

Корак 5: Надзирање

Редовно надзирање помаже у раном откривању напада.

# Надзири активне везе
watch -n 1 'ss -s'

# Погледај топ IP адресе по броју веза
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Погледај записнике у стварном времену
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Провери блокиране IP адресе у Fail2Ban-у
sudo fail2ban-client status sshd

Хитне мере

Ако је напад већ у току, предузмите следеће мере:

• Идентификујте извор: Користите 'netstat' или записнике да идентификујете нападачке IP адресе
• Привремена блокада: sudo ufw insert 1 deny from НАПАДАЧКА_IP_АДРЕСА
• Блокирајте читаве подмреже: sudo ufw deny from 123.45.0.0/16
• Ограничите rate limit: Привремено снизите Nginx ограничења на 1-5 req/s
• Контактирајте подршку: Обратите се Hiddence подршци за активацију напредне заштите
• Омогућите 'Under Attack Mode' у Cloudflare-у (ако користите)

Најбоље праксе

• Никада не објављујте праву IP адресу вашег сервера ако користите CDN
• Редовно ажурирајте систем: sudo apt update && sudo apt upgrade
• Користите SSH кључеве уместо лозинки за приступ серверу
• Промените подразумевани SSH порт (22) на нестандардни
• Поставите аутоматске резервне копије за брз опоравак
• Користите одвојене IP адресе за критичне услуге
• Омогућите бележење и редовно проверавајте записнике за сумњиву активност
• Размислите о коришћењу географске блокаде ако ваша услуга није глобална