Cara mencegah Serangan DDoS pada Nginx dengan Hardening

Cara mencegah serangan ddos di Nginx

Cara mencegah serangan ddos di nginx, pelajari cara memblokir Serangan DDoS tertentu dengan server Web Nginx dengan konfigurasi perlindungan ddos nginx ini, ini akan membantu server Anda untuk mencegah dan memblokir Serangan DDoS umum tertentu, dengan konfigurasi dan pengerasan Nginx, Anda dapat memblokir beberapa serangan di server Anda.Alexhost menawarkan Perlindungan Anti-DDoS gratis terhadap beberapa serangan tertentu, Anda dapat menggunakan Server VPS atau Server Khusus kami, kami menawarkan Perlindungan Anti-DDoS gratis, namun kapasitas mitigasi, metode, pemfilteran akan berbeda berdasarkan lokasi yang Anda pilih.

Persyaratan:Nginx (Anda harus memiliki Nginx yang terinstal di server Anda saat ini) Beberapa Pengetahuan (diperlukan untuk mengetahui cara menggunakan perintah dasar Linux dan cara mengakses beberapa file Nginx, pengetahuan yang diharapkan) Server VPS atau Server Khusus (Anda dapat menggunakan VM di localhost Anda) Perlindungan DDoS (dari Penyedia Hosting Anda diperlukan untuk dapat memitigasi Serangan DDoS yang lebih kompleks) Linux (distribusi apa pun yang dapat diinstal Nginx) Nginx (Anda mungkin perlu membaca dokumentasi Nginx mereka untuk menguji dan memeriksa apakah masih dapat diandalkan)Keterbatasan: Tutorial ini bukanlah “antipeluru” untuk melindungi dari semua Serangan DDoS, tutorial ini mungkin akan membatasi serangan dengan memblokir beberapa jenis serangan umum dan membantu server Anda tetap online. Ada beberapa batasan terhadap beberapa Serangan DDoS, Anda akan membutuhkan Penyedia Hosting Anda menawarkan beberapa jenis Perlindungan DDoS untuk memblokir dan mencegah, konfigurasi ini tidak dapat melindungi dari semua serangan terhadap server Anda.Konfigurasi ini untuk mencegah dan memblokir beberapa serangan, tetapi tidak akan memblokir semua serangan tanpa Perlindungan DDoS dari Hosting Anda: Alexhost tidak menyarankan Anda untuk menggunakan konfigurasi ini pada server produksi Anda, kami sarankan untuk mengujinya terlebih dahulu sebelum melakukan apa pun. Alexhost tidak bertanggung jawab atas segala jenis masalah yang mungkin timbul dari konfigurasi ini. Terapkan keamanan server yang baik, sebelum menerapkan apa pun, cadangkan semua yang perlu Anda pulihkan. Silakan baca Dokumentasi Nginx untuk Perlindungan DDoS untuk memahami cara kerjanya

Cegah Serangan DDoS dengan mengeraskan Nginx

Mengonfigurasi Nginx untuk perlindungan DDoS dan pengerasan terhadap lapisan serangan umum melibatkan penerapan berbagai strategi untuk memitigasi dan mencegah serangan. Berikut ini adalah panduan tentang cara mengonfigurasi Nginx untuk meningkatkan keamanan dan mempelajari Cara mencegah serangan ddos pada nginx dengan mengeraskan server web Anda

1. Perbarui Nginx: Pastikan Anda menggunakan versi stabil terbaru dari Nginx untuk mendapatkan manfaat dari tambalan dan peningkatan keamanan terbaru.
2. Batasi Koneksi: Gunakan modul limit_conn untuk membatasi jumlah koneksi dari satu alamat IP. Ini membantu mencegah serangan DDoS membebani server Anda dengan terlalu banyak koneksi simultan.

http { limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=1r/s; server { limit_req zone=req_limit_per_ip burst=5; # Konfigurasi server lainnya... } }

Daftar Putih/Daftar Hitam IP

:

Gunakan arahan izinkan dan tolak untuk memasukkan alamat IP tepercaya ke dalam daftar putih dan memblokir alamat IP yang berbahaya. nginx

http { # Masukkan alamat IP tepercaya ke dalam daftar putih izinkan 192.168.1.0/24; tolak semua; # Konfigurasi server lainnya... }

Menerapkan Web Application Firewall (WAF): Memanfaatkan modul pihak ketiga seperti ModSecurity dengan Nginx untuk mendeteksi dan memblokir lalu lintas HTTP yang berbahaya.Aktifkan HTTPS: Mengenkripsi komunikasi antara klien dan server menggunakan HTTPS untuk mencegah penyadapan data dan serangan man-in-the-middle.NonaktifkanModul yang Tidak Digunakan: Nonaktifkan modul Nginx yang tidak diperlukan untuk mengurangi permukaan serangan dan meningkatkan kinerja. nginx

./configure --tanpa-http_autoindex_module --tanpa-http_ssi_module

2. Menyetel Konfigurasi Nginx: Optimalkan parameter konfigurasi Nginx seperti proses pekerja, koneksi pekerja, dan batas waktu berdasarkan kemampuan perangkat keras server Anda dan lalu lintas yang diharapkan.
3. Pemantauan dan Pencatatan: Memantau log server secara teratur untuk aktivitas yang mencurigakan dan menyiapkan sistem peringatan untuk memberi tahu administrator tentang potensi serangan.
4. Menerapkan Layanan Perlindungan DDoS: Pertimbangkan untuk menggunakan layanan atau peralatan perlindungan DDoS khusus di depan Nginx, seperti Cloudflare, AWS Shield, atau Akamai.
5. Pencadangan Rutin: Pastikan pencadangan data penting secara teratur untuk meminimalkan dampak serangan yang berhasil.

Ingatlah bahwa keamanan adalah proses yang berkelanjutan, dan sangat penting untuk selalu mengikuti perkembangan praktik dan ancaman keamanan terbaru untuk melindungi server Anda secara efektif dari potensi serangan

Konfigurasi perlindungan ddos Nginx:

#Tentukan zona untuk melacak koneksi dari setiap IP

http { limit_conn_zone $binary_remote_addr zone = conn_limit_per_ip:10m; # Tentukan zona untuk melacak permintaan dari setiap IP limit_req_zone $binary_remote_addr zone = req_limit_per_ip:10m rate = 10r/s; server { listen 80; nama_server example.com; # Batasi laju permintaan limit_req zone=req_limit_per_ip burst=20; # Batasi jumlah maksimum koneksi dari satu IP limit_conn conn_limit_per_ip 20; # Tolak permintaan dengan badan permintaan yang besar untuk memitigasi beberapa jenis serangan client_body_buffer_size 1k;
        client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k; # Aktifkan kompresi Gzip untuk menghemat bandwidth gzip on; gzip_comp_level 5;
        gzip_min_length 256; gzip_proxied any; gzip_vary on; # Tambahkan header keamanan untuk meningkatkan keamanan add_header X-Content-Type-Options "nosniff"; add_header X-XSS-Protection "1; mode=block"; add_header X-Frame-Options "SAMEORIGIN";
        add_header Kebijakan-Rujukan "sama-asal"; add_header Keamanan-Pengiriman-Ketat "usia-maks=31536000; includeSubDomain" selalu; # Blokir Agen-Pengguna yang rentan secara umum jika ($http_user_agent ~* (wget|curl) ) { return 403; } # Blokir akses ke lokasi berkas tersembunyi ~ /. { deny all; } # Blokir akses ke tipe file tertentu lokasi ~* .(engine|inc|info|install|make|module|profile|test|po|sh|.*sql|theme|tpl(.php)?|xtmpl)$|^(..*|Entries.*|Repository|Root|Tag|Template)$|^#.*#$|.php_ { deny all; return 403; } # Daftar putih IP Anda untuk akses administratif lokasi /admin { izinkan_admin_ip Anda; tolak semua; } # Tolak akses ke direktori tertentu lokasi ~ /(sistem|vendor) { tolak semua; return 403; } # Permintaan pass proxy ke server aplikasi Anda lokasi / { proxy_pass http://your_backend_server; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } }

Konfigurasi ini melakukan hal berikut:

1. Pembatasan Tingkat: Membatasi jumlah permintaan dari setiap alamat IP hingga 10 permintaan per detik dengan ledakan 20 permintaan.
2. Pembatasan Koneksi: Membatasi jumlah maksimum koneksi dari setiap alamat IP hingga 20.
3. Pembatasan Ukuran Badan Permintaan: Membatasi ukuran badan permintaan untuk memitigasi serangan yang mengirimkan badan permintaan berukuran besar.
4. Kompresi Gzip: Mengaktifkan kompresi gzip untuk menghemat bandwidth.
5. Header Keamanan: Menambahkan header keamanan untuk meningkatkan keamanan.
6. Memblokir Agen Pengguna yang Rentan: Memblokir permintaan dari Agen-Pengguna yang rentan.
7. Memblokir File Tersembunyi: Memblokir akses ke file dan direktori tersembunyi.
8. Memutihkan Akses Admin: Mengizinkan akses ke area admin hanya dari alamat IP Anda.
9. Menolak Akses ke Direktori Tertentu: Memblokir akses ke direktori sensitif seperti sistem dan vendor.
10. Proxy Pass: Meneruskan permintaan ke server aplikasi Anda.

Pastikan untuk menyesuaikan konfigurasi sesuai dengan kebutuhan spesifik Anda, seperti nama domain, alamat server backend, dan alamat IP administratif. Selain itu, pantau log server Anda secara teratur dan sesuaikan konfigurasi seperlunya untuk beradaptasi dengan ancaman yang terus berkembang. Konfigurasi yang disediakan dimaksudkan untuk ditambahkan ke berkas nginx.conf atau disertakan dari berkas konfigurasi terpisah. Berikut ini adalah panduan langkah demi langkah tentang tempat menambahkan konfigurasi

1. Temukan berkasnginx.conf: Tergantung pada instalasi Nginx Anda, berkas nginx.conf mungkin terletak di direktori yang berbeda. Lokasi yang umum termasuk /etc/nginx/nginx.conf, /usr/local/nginx/conf/nginx.conf, atau /etc/nginx/sites-available/default.
2. Buka berkasnginx.conf: Anda dapat membuka berkas ini menggunakan editor teks atau editor teks baris perintah seperti nano, vim, atau emacs.
3. Tambahkan konfigurasi di dalam blokhttp: Di dalam blok http, yang mendefinisikan pengaturan server HTTP, Anda akan menambahkan konfigurasi yang disediakan. Biasanya, Anda akan menemukan blok http di dekat bagian atas berkas nginx.conf.
4. Rekatkan konfigurasi yang disediakan: Rekatkan seluruh konfigurasi yang disediakan sebelumnya di dalam blok http. Pastikan Anda mengganti nilai placeholder seperti example.com, your_admin_ip, dan your_backend_server dengan nilai yang sebenarnya.
5. Simpan dan keluar dari berkas: Setelah menambahkan konfigurasi, simpan berkas nginx.conf dan keluar dari editor teks.
6. Menguji konfigurasi Nginx: Sebelum memulai ulang Nginx, sebaiknya Anda menguji konfigurasi untuk mengetahui adanya kesalahan sintaksis.
7. Anda dapat melakukan ini dengan menjalankan perintah berikut:
   nginx -t

Jika tidak ada kesalahan sintaksis, Anda akan melihat pesan yang mengindikasikan bahwa pengujian berkas konfigurasi berhasil.Mulai ulang Nginx: Terakhir, mulai ulang Nginx untuk menerapkan perubahan. Anda dapat melakukan ini dengan perintah berikut:

1. Jika Anda tidak menggunakan sistem dengan systemd, Anda dapat menggunakan perintah yang berbeda untuk memulai ulang Nginx.

Dengan mengikuti langkah-langkah ini, Anda akan menambahkan konfigurasi yang disediakan ke server Nginx Anda, meningkatkan keamanannya dengan perlindungan DDoS dan langkah-langkah keamanan lainnya, tutorial ini akan membantu Andacara mencegah serangan ddos pada nginx dengan mengonfigurasi Nginx.