Настройка защиты от DDoS-атак в ISPmanager Lite
В ISPmanager можно настроить защиту сайта от DDOS-атак. Она нужна для блокировки IP-адресов, с которых поступает большое количество запросов. Включение защиты доступно, только если установлен веб-сервер Nginx.
Чтобы использовать защиту, при создании или изменении WWW-домена включите опцию Включить защиту от DDOS-атаки и в блоке настроек Защита от DDoS-атаки укажите параметры защиты:
- Количество запросов в секунду — при превышении этого количества запросов от одного IP-адреса, он блокируется на 5 минут.
Максимальный размер всплеска — при превышении максимального количества запросов в секунду новые запросы блокируются.
Технические подробности
Для работы защиты используется модуль ngx_http_limit_req_module, который позволяет ограничить скорость обработки запросов по заданному ключу или запросов, поступающих с одного IP-адреса.
Принципы работы модуля
Модуль для каждого домена с включённой защитой создаёт зону разделяемой памяти (zone) и указывает максимальный размер всплеска запросов (burst). Если количество поступающих запросов превышает ограничение для зоны, то их обработка задерживается. Избыточные запросы задерживаются, пока их количество не превысит максимальный размер всплеска. При его превышении запрос завершается с ошибкой 503 (Service Temporarily Unavailable).
Настройки записываются в <путь к директории Nginx>/conf.d/isplimitreq.conf:
Конфигурационный файл nginxlimit_req_zone $binary_remote_addr zone=<имя WWW-домена>:<размер зоны> rate=<количество запросов в секунду>r/s
А также в <путь к директории Nginx>/vhosts-resources/<имя домена>:
Конфигурационный файл nginxlimit_req zone=<имя WWW-домена> burst=<максимальный размер всплеска>; error_page 503 =429 @blacklist;Секция location @blacklist создаётся в <путь к директории Nginx>/vhosts-includes/blacklist-nginx.conf с содержимым вида:
Конфигурационный файл nginxlocation @blacklist { proxy_redirect off ; proxy_pass https://<IP-адрес>:<порт>; rewrite (.*) /mancgi/ddos break; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X_ISP_FIREWALLSEC <ключ для ISPmanager>;Блокировка IP-адресов
При превышении максимального количества запросов:
- IP-адрес, с которого они поступают, передаётся в скрипт /mancgi/ddos. Скрипт вносит адрес в список заблокированных на 5 минут.
Блокировка выполняется с помощью iptables для IPv4, ip6tables для IPv6 и ipset.
Обратите внимание!
В среде виртуализации OpenVZ улитилита ipset недоступна и защита осуществляется только средствами Nginx.В iptables создаётся правило:
iptablesDROP all -- anywhere anywhere match-set ispmgr_limit_req srcВ ip6tables создаётся правило:
ip6tablesDROP all -- anywhere anywhere match-set ispmgr_limit_req6 srcВ ipset создаются два набора (ispmgr_limit_req и ispmgr_limit_req6) с параметрами: hash:ip (IP-адрес) и timeout 300 (время блокировки в секундах).
При блокировке в журнал /usr/local/mgr5/var/ddos.log добавляется запись:
Журнал блокировокWARNING Address (<IP-адрес>) is blacklistedЧтобы проверить содержимое списка, выполните команду:
ipset -L ispmgr_limit_reqВ выводе команды в поле "Members" указываются все адреса из списка блокировки и время до её окончания.
Изменение периода блокировки
Чтобы изменить период, на который блокируются IP-адреса:
Добавьте в конфигурационном файле ISPmanager (по умолчанию /usr/local/mgr5/etc/ispmgr.conf) параметр:
Конфигурационный файл ISPmanagerisp_limitreq_timeout <период блокировки в секундах>Определите в iptables номер правила ispmgr_limit_req src:
iptables -L INPUT --line-numberУдалите это правило:
iptables -D INPUT <номер правила>Определите в ip6tables номер правила ispmgr_limit_req6 src:
ip6tables -L INPUT --line-numberУдалите это правило:
ip6tables -D INPUT <номер правила>Удалить правила из ipset:
ipset destroy ispmgr_limit_req ipset destroy ispmgr_limit_req6Обновите правила брандмауэра ISPmanager:
/usr/local/mgr5/sbin/mgrctl -m ispmgr firewall