Как грамотно защитится от ДДоС

есть VDS от хетцнера. Стоит убунта. Подскажите как защитится от ДДоС-а. Приходит на ум iptables, но как уловить много конектов от разных IP. В общем буду рад любим рекомендациям.

Если Вы понимаете, что такое DDoS, то доллжны знать, что на уровне приложения или даже отдельного сервера эффективно с ним бороться крайне трудно. Здесь в ход идёт аппаратная защита, в основном, которая проводит эвристический анализ и анализ скачков нагрузки (Cisco PIX-серия, к примеру). В частности, DPI - туда же, но всё это очень недёшево.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Начать можно с настройки nginx'а. Он умеет ограничивать число соединений с ip.

-----
PostgreSQL DBA

Мелкий
Идея популярная, но плохая для тех ресурсов, которые получают высокую нагрузку штатно. Ограничивая пул соединений с 1 адреса в единицу времени есть риск отсечь хороших посетителей.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

спасибо за отзывы. я почитал про ддос и как его едать. поспрашивал народ. в общем все верно. чисто на програмном уровне мало что получится. надеюсь что хецтнер обеспечит должную защиту

Вроде бы любая защита от ddos предполагает такой риск. Вопрос количества ложных срабатываний и цены.


Не обеспечит. Наоборот, могут попросить переехать куда-нибудь.

-----
PostgreSQL DBA

Мелкий
Всё верно, но "лобовая" проверка редко применяется в случае, если подопытный ресурс относится к категории высоконагруженных (оно и понятно, там очень трудно отфильтровать через количество запросов, поскольку сами объемы большие). Вместо этого, как правило, применяют фильтры - то есть, исходя из некоторых контрольных статистических значений анализируемого трафика принимается решение о его пропускании. Оптимальнее всего это делается на аппаратном уровне (ПО попросту намного медленнее будет обрабатывать подобные вещи) - но некоторый простейший анализ можно применять и на уровне ПО. Например, если приходит запрос только на конкретную страницу, то, если в эту же секунду-две с этого же адреса нет запросов остального контента (стили, картинки и т.п.) - то этот запрос - "плохой" (вариант - кто-то вызвал страницу неумело напрямую через cURL, браузер точно запросил бы все остальные данные).

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Да как-бы я паникнул. Нмкакого ДДоСа не было(спасибо DeepVarvar что обьяснил). но на будущее было бы не плохо. И да у нас трафик не большой. Так-что если начнутся пики сразу станет ясно.