افزایش امنیت سرور مجازی: ۱۰ روش مؤثر برای جلوگیری از حملات DDoS

حملات DDoS (Distributed Denial of Service) یکی از رایج‌ترین تهدیدات امنیتی برای سرورهای مجازی (VPS) هستند که باعث از کار افتادن سرویس‌ها و ایجاد اختلال در دسترسی کاربران می‌شوند. در این مقاله، ۱۰ روش مؤثر برای جلوگیری از حملات DDoS و افزایش امنیت سرور مجازی را بررسی می‌کنیم.

۱. استفاده از فایروال (Firewall) و فیلتر ترافیک مخرب

فعال‌سازی فایروال سرور باعث مسدود شدن درخواست‌های مخرب می‌شود. می‌توانید از UFW در اوبونتو یا CSF در CentOS استفاده کنید.

✅ فعال‌سازی UFW در Ubuntu:

sudo ufw enable
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw limit ssh
✅ مسدود کردن آی‌پی‌های مشکوک با iptables:

sudo iptables -A INPUT -s 192.168.1.100 -j DROP
۲. استفاده از سرویس‌های ضد DDoS (CDN و Reverse Proxy)

سرویس‌های Cloudflare، AWS Shield، Imperva و Fastly می‌توانند حملات را فیلتر کنند. Cloudflare دارای حالت “Under Attack Mode” است که در حملات شدید پیشنهاد می‌شود.

✅ فعال‌سازی Cloudflare:

دامنه خود را در Cloudflare ثبت کنید.
تنظیمات Proxy را فعال کنید تا ترافیک از طریق Cloudflare عبور کند.
در بخش Firewall Rules، قوانین امنیتی تنظیم کنید.
۳. محدود کردن نرخ درخواست‌ها در Nginx و Apache

با محدود کردن تعداد درخواست‌ها از یک آی‌پی، می‌توان از حملات جلوگیری کرد.

✅ در Nginx:

http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
location / {
limit_req zone=one burst=20 nodelay;
}
}
}
✅ در Apache (mod_evasive):

sudo apt install libapache2-mod-evasive
sudo systemctl restart apache2
۴. استفاده از Fail2Ban برای مسدود کردن آی‌پی‌های مهاجم

Fail2Ban به‌طور خودکار آی‌پی‌هایی که تعداد زیادی درخواست مشکوک ارسال می‌کنند را مسدود می‌کند.

✅ نصب و راه‌اندازی در Ubuntu:

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
✅ تنظیم محافظت از SSH در فایل /etc/fail2ban/jail.local:

[sshd]
enabled = true
maxretry = 3
findtime = 600
bantime = 3600
۵. استفاده از سرویس‌های DDoS Protection برای سرور مجازی

✅ برخی از شرکت‌های میزبانی (مانند OVH، Hetzner، DigitalOcean، Linode) دارای حفاظت داخلی در برابر DDoS هستند.
✅ در صورت امکان، سرور مجازی با قابلیت DDoS Protection تهیه کنید.

۶. نظارت مداوم بر ترافیک و شناسایی الگوهای غیرعادی

برای مانیتورینگ ترافیک می‌توانید از ابزارهای زیر استفاده کنید:
✅ Netstat – مشاهده اتصالات مشکوک:

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr | head -10
✅ iftop – نمایش مصرف پهنای باند:

sudo apt install iftop
sudo iftop
۷. غیرفعال‌سازی سرویس‌های غیرضروری و بستن پورت‌های ناامن

✅ بررسی پورت‌های باز با Nmap:

sudo nmap -sS -O localhost
✅ غیرفعال‌سازی سرویس‌های غیرضروری در Ubuntu:

sudo systemctl disable اسم_سرویس
۸. به‌روزرسانی منظم سیستم‌عامل و نرم‌افزارها

✅ در Ubuntu و Debian:

sudo apt update && sudo apt upgrade -y
✅ در CentOS:

sudo yum update -y
🔹 به‌روزرسانی کرنل لینوکس و وب‌سرور (Apache/Nginx) باعث جلوگیری از سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده می‌شود.

۹. محدود کردن درخواست‌های ICMP (پینگ) برای جلوگیری از Ping Flood

✅ غیرفعال‌سازی پاسخ به پینگ در لینوکس:

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
✅ تنظیم دائمی در /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_all = 1
🔹 این کار از حملات ICMP Flood (Ping of Death) جلوگیری می‌کند.

۱۰. استفاده از ریت لیمیتینگ در SSH برای جلوگیری از Brute Force

✅ تغییر پورت پیش‌فرض SSH (پورت ۲۲ را تغییر دهید):

sudo nano /etc/ssh/sshd_config
🔹 مقدار Port 22 را به عدد دیگری (مثلاً Port 2222) تغییر دهید. سپس SSH را ریستارت کنید:

sudo systemctl restart ssh
✅ محدود کردن تعداد ورود ناموفق در SSH:

sudo ufw limit ssh
نتیجه‌گیری

✔ فعال‌سازی فایروال و فیلتر کردن ترافیک مخرب
✔ استفاده از Cloudflare و سرویس‌های ضد DDoS
✔ محدود کردن تعداد درخواست‌ها در وب‌سرور
✔ نصب Fail2Ban برای جلوگیری از حملات Brute Force
✔ به‌روزرسانی مداوم سیستم‌عامل و نرم‌افزارها
✔ مانیتورینگ ترافیک و شناسایی آی‌پی‌های مخرب

🚀 با اجرای این روش‌ها، امنیت سرور مجازی شما در برابر حملات DDoS به‌طور چشمگیری افزایش می‌یابد