Cum să protejezi un server Linux împotriva atacurilor DDoS

Ce sunt atacurile DDoS și de ce sunt periculoase. Cum să protejezi un server Linux împotriva atacurilor DDoS.

Un atac DDoS (Distributed Denial of Service) are ca scop supraîncărcarea serverului tău cu un volum masiv de trafic fals, făcând site-urile și serviciile inaccesibile pentru utilizatorii legitimi. Aceste atacuri pot veni de la mii sau milioane de dispozitive compromise (botnet) și pot dura de la câteva minute la câteva zile.

Cum să protejezi un server Linux împotriva atacurilor DDoS

Protejarea unui server Linux împotriva atacurilor DDoS necesită o abordare pe mai multe niveluri – de la configurarea kernel-ului până la soluții de protecție externe.

Tipuri de atacuri DDoS

Înțelegerea tipurilor de atacuri te ajută să implementezi protecția corectă:

Atacuri volumetrice

• UDP Flood – inundă serverul cu pachete UDP pe porturi aleatorii
• ICMP Flood (Ping Flood) – trimite cantități masive de pachete ping
• DNS Amplification – folosește servere DNS pentru a amplifica traficul către țintă

Atacuri de protocol

• SYN Flood – exploatează mecanismul de stabilire a conexiunii TCP
• Ping of Death – trimite pachete ICMP malformate
• Smurf Attack – folosește adresa broadcast pentru amplificare

Atacuri la nivel de aplicație

• HTTP Flood – cereri HTTP aparent legitime în volum mare
• Slowloris – menține conexiuni HTTP deschise cât mai mult timp
• WordPress XML-RPC – exploatează interfața XML-RPC pentru amplificare

Configurarea kernel-ului Linux pentru rezistență DDoS

Primele măsuri de protecție se aplică la nivel de kernel prin sysctl. Editează /etc/sysctl.conf:

Protecție SYN Flood

• net.ipv4.tcp_syncookies = 1 – activează SYN cookies
• net.ipv4.tcp_max_syn_backlog = 65536 – crește coada de conexiuni SYN
• net.ipv4.tcp_synack_retries = 2 – reduce retransmisiile SYN-ACK

Limitarea conexiunilor

• net.ipv4.tcp_fin_timeout = 15 – reduce timeout-ul pentru conexiuni FIN
• net.ipv4.tcp_keepalive_time = 300 – reduce timpul keepalive
• net.core.somaxconn = 65536 – crește limita de conexiuni în așteptare
• net.ipv4.ip_local_port_range = 1024 65535 – extinde porturile locale disponibile

Protecție generală

• net.ipv4.conf.all.rp_filter = 1 – activează filtrarea reverse path
• net.ipv4.icmp_echo_ignore_broadcasts = 1 – ignoră ping-urile broadcast
• net.ipv4.conf.all.accept_redirects = 0 – dezactivează redirecționările ICMP

Aplică modificările cu: sysctl -p

Firewall iptables/nftables pentru mitigare DDoS

Configurarea firewall-ului este esențială pentru filtrarea traficului malițios:

Limitarea ratei conexiunilor

Limitează numărul de conexiuni noi per IP per secundă. De exemplu, poți configura iptables să permită maximum 20 de conexiuni noi pe secundă de la un singur IP, cu un burst de 50. Orice depășire va fi blocată.

Blocarea pachetelor invalide

Configurează firewall-ul să blocheze automat pachetele cu stare INVALID și pachetele TCP cu flag-uri neobișnuite (null packets, XMAS packets).

Limitarea ICMP

Limitează traficul ICMP la un nivel rezonabil – suficient pentru diagnosticare, dar insuficient pentru un atac.

Fail2ban pentru protecție la nivel de aplicație

Fail2ban monitorizează log-urile serverului și blochează automat IP-urile care au comportament suspect:

1. Instalează fail2ban: dnf install fail2ban sau apt install fail2ban
2. Creează fișierul de configurare locală: /etc/fail2ban/jail.local
3. Configurează jail-urile pentru serviciile tale (SSH, Apache/Nginx, cPanel)

Setări recomandate

• bantime = 3600 – blochează IP-ul pentru 1 oră
• findtime = 600 – fereastră de observare de 10 minute
• maxretry = 5 – numărul maxim de încercări înainte de blocare

Pentru servere cPanel, există jail-uri specifice care protejează webmail, cPanel login și WHM.

CSF (ConfigServer Security & Firewall)

CSF este o soluție de firewall populară, mai ales pe serverele cu cPanel/WHM. Pe un server VPS cu cPanel, CSF oferă protecție avansată:

• Connection Tracking – limitează conexiunile per IP
• Port Flood Protection – detectează și blochează flood-uri pe porturi specifice
• SYN Flood Protection – configurare avansată contra SYN flood
• Liste negre – integrare cu liste de IP-uri malițioase cunoscute (Spamhaus, DShield)
• Alertare – notificări email pentru atacuri detectate

Protecție la nivel de server web

Nginx

Nginx are mecanisme integrate de protecție DDoS:

• limit_req – limitează rata cererilor per IP
• limit_conn – limitează conexiunile simultane per IP
• Buffere configurabile – protejează împotriva atacurilor Slowloris

Apache

• mod_evasive – detectează și blochează atacuri HTTP flood
• mod_security – WAF (Web Application Firewall) cu reguli OWASP
• mod_reqtimeout – protecție împotriva conexiunilor lente

Soluții externe de protecție DDoS

Pentru atacuri de volum mare, protecția la nivel de server nu este suficientă. Ai nevoie de soluții externe:

• Cloudflare – protecție DDoS inclusă chiar și în planul gratuit, cu mitigare automată
• Sucuri – WAF și protecție DDoS specializată pentru site-uri web
• Akamai – soluție enterprise pentru atacuri de volum foarte mare
• Protecție la nivel de datacenter – mulți furnizori de hosting oferă filtrare DDoS la nivel de rețea

Cloudflare este cea mai accesibilă opțiune și oferă protecție solidă chiar și în varianta gratuită.

Plan de răspuns la atacuri DDoS

Pregătirea unui plan de răspuns este la fel de importantă ca prevenția:

1. Monitorizare activă – folosește instrumente care te alertează când traficul crește anormal
2. Identificare rapidă – analizează log-urile pentru a înțelege tipul de atac
3. Mitigare imediată – activează regulile de protecție pregătite și contactează furnizorul de hosting
4. Documentare – înregistrează detaliile atacului pentru analiză ulterioară
5. Îmbunătățire – după atac, revizuiește și îmbunătățește măsurile de protecție

Consultă articolele noastre de securitate pentru mai multe ghiduri despre protejarea serverului.

Protecția împotriva atacurilor DDoS necesită o abordare stratificată – de la configurarea kernel-ului și a firewall-ului, până la soluții externe de mitigare. Niciun server conectat la internet nu este imun la atacuri DDoS, dar cu pregătirea potrivită poți minimiza impactul și asigura disponibilitatea serviciilor tale. Dacă ai nevoie de ajutor cu securizarea serverului, echipa noastră de suport este pregătită să te asiste.