Hetzner заблокировал сервер за Ддос

[karma_s]

Пришло от Хезнера такое письмо:

Dear xxx,

We have received information that there was an attack from your server.

Please take all necessary measures to avoid this in the future and to solve the problem. Furthermore, we request that you send us a short statement. This statement should contain information about how this could happen and what you intend to do about it. In the event that the following steps are not completed successfully, your server can be blocked at any time after the Mon Jul 15 12:19:04 +0200 2013.

В письме просят меня устранить проблему и объяснить, почему это происходит. Понятно почему: недоброжелатели заказали ддос-атаку на мой сайт.

Через некоторое время IP сервера залочили. Айпишник на сервере у меня один, дополнительных не дали, хотя я запрашивал, а поэтому я не мог переключить сайты на другие IP или даже просто попасть на сервер, чтобы изучить логи и хотя бы узнать, какой сайт подвергается ддос атаке.

Мне поддержка прислала кусок лога, вот пример:

External 124.122.61.132, 16.000 packets/300s (53 packets/s), 16 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 124.105.160.99, 15.000 packets/300s (50 packets/s), 15 flows/300s (0 flows/s), 0,003 GByte/300s (0 MBit/s)
External 112.208.17.25, 14.000 packets/300s (46 packets/s), 12 flows/300s (0 flows/s), 0,004 GByte/300s (0 MBit/s)
External 91.186.207.91, 13.000 packets/300s (43 packets/s), 12 flows/300s (0 flows/s), 0,003 GByte/300s (0 MBit/s)
External 180.194.240.217, 13.000 packets/300s (43 packets/s), 13 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)

Я определил какие страны ддосят и хотел воспользоваться вашими советами по настройке сервера, например, блокировкой по странам. Кто может посоветовать, какой антиддос использовать?

Характеристики сервера:

Intel® Xeon® E3-1245 Quadcore
incl. Hyper-Threading Technology
RAM
16 GB DDR3 RAM ECC
Hard Drive
2 x 3 TB SATA 6 Gb/s HDD

7200 rpm (Software-RAID 1)

Enterprise class
NIC
1 Gbit OnBoard

connected at 100 Mbit
Backup Space
100 GB
Inclusive Traffic
20 TB*

 

[adm]

Антиддос конечно сделать можно, вот только Хетзнер вряд ли даст опробовать его в деле. Дело в том, что раньше на серверах Хетзнера действительно можно было организовать достойный отпор ддосу: хорошие каналы и мощные недорогие сервера. Как следствие у Хетзнера скопилось много проблемных сайтов которые немало нагружали его сеть и теперь они блочат IP при первых признаках ддоса. В данной ситуации может помочь разве что проксирующий сервер, если вы не желаете переносить сайт.

Проблемные сайты удобнее размещать на днс-хостингах, вроде pdd.yandex.ru или dns.he.net, или даже использовать CloudFlare, где сразу можно попытаться отфильтровать ддос. На днс-хостинге вы всегда можете быстро поменять IP адрес или убрать его во время ддос-атаки, чтобы поднять сервер.

Быстро решить проблему можно попробовать, воспользовавшись услугами проксирования траффика какого-нибудь антиддос-сервиса: они скажут вам IP, который нужно указать в A-записи домена, а у себя на сервере вы пропишите их IP в конфиге Nginx. Таким образом, на ваш сервер будет идти уже отфильтрованный траффик - этим и удобна услуга проксирования, т.к. вам не нужно никуда переносить свои данные и, если угроза ддоса миновала, вы можете отказаться от услуги, просто снова поменяв А-записи домена.

Если хочется настроить сервер от ддос самостоятельно, могу порекомендовать nqhost.com - они ресселеры Хезнера, но не блокируют IP при высокой нагрузке, а на их ВДС-ках вполне можно отразить средние атаки.