Защита от DDoS с PrivateFlare

Вы можете уменьшить силу DDoS-атаки и частично сохранить работу ваших ресурсов в сочетании сервисов PrivateFlare и CloudFlare. Защиту можно запускать в момент атаки, предварительная подготовка не требуется.

Нам понадобится

1. Основной домен, который припаркован на CloudFlare.
2. Аккаунт PrivateFlare на минимальном тарифе.
3. Ноды PrivateFlare в количестве 3-5 штук.

Шаг 0. Заведите аккаунт PrivateFlare

Зарегистрируетесь сами или скажитесь с нашими продажниками. На одну атаку одного домена вам не пригодится даже платный аккаунт. Рекомендуем завести и активировать аккаунт заранее, чтобы он ждал своего часа на экстренный случай.

Шаг 1. Подготовка нод

Возьмите VPS у наиболее качественных и быстрых провайдеров. Рекомендуется Hetzner и Inferno. В идеале брать VPS в разных локациях. Используйте тариф с 4 ГБ оперативной памяти и более.

Вам нужно добавить 3-5 нод. Процесс из подготовки и добавления описан в руководстве по быстрому старту. Нет никаких тонкостей настройки.

Шаг 2. Добавьте домен

Добавьте домен по инструкции из раздела "Быстрый старт". В качестве целевого IP укажите адрес вашего основного сервера. Не включайте генерацию сертификатов и переход на HTTPS.

После добавления, перейдите в раздел настройки домена и проверьте все данные:

• SSL certificate: отключён за ненадобностью.
• Force redirect to HTTPS: отключено в обязательном порядке.
• Caching: выбрано Default (оптимально) или Force all (не рекомендуется).
• Rate limit: пустой или равен нулю.
• Auto-minify: отключено для снижения нагрузки.
• Convert images to WebP: отключено для снижения нагрузки.

Шаг 3. Настройте домен в CloudFlare

Перейдите в раздел DNS вашего домена в CloudFlare.

1. Удалите все IPv6 (AAAA) записи домена, они вам не помогут.
2. Удалите существующую A-запись домена.
3. Добавьте новую А-запись с адресом первой ноды. Убедитесь, что нода добавлена в режиме прокси.
4. Добавьте ещё одну А-запись с тем же названием и адресом второй ноды, третьей и так далее.

Мы получим автоматическое распределение нагрузки по нескольким нодам.

Шаг 4. Тонкая настройка CloudFlare

Эти настройки пригодятся всем сайтам, находящимся под атакой, даже без PrivateFlare в качестве делителя трафика.

• Раздел "DNS - Records". Проверьте, чтобы все DNS-записи были направлены через прокси. Убедитесь, что у вас нет MX-записи, которая указывает на основной сервер и сдаёт его IP наружу,
• Раздел "SSL/TLS - Overview". Выберите уровнь шифрования как Flexible. Так все запросы к сайту будут идти по быстрому HTTP-протоколу без необходимости тяжелого шифрования. Использование Full в принципе не рекомендуется как избыточное.
• Раздел "SSL/TLS - Edge certificates". Включите Always use HTTPS, это лишит атакующих скорости простых HTTP соединений и задержит их на серверах CloudFlare на генерации сертификатов. Также включите Opportunistic Encryption, TLS 1.3 и Automatic HTTPS Rewrites.
• Раздел "Security - Settings". Выберите Security level в значении I'm under attack! и включите Browser Integrity Check.
• Раздел "Security - Bots". Полезно включить режим Bot fight mode для дополнительной защиты от простых атак.

Эти меры помогут вам значительно снизить нагрузку ещё на уровне фильтров CloudFlare. Покупать платное решение от CloudFlare особого смысла не имеет.

Вывод

Мы разделили трафик от северов CloudFlare на несколько прокладок, которые возьмут на себя роль дополнительных кеширующих серверов и смогут доставить до посетителей гораздо больше контента. При использовании статических страниц на сайтах, они будут доставлены пользователям даже при падении сайта.