Spark
Sign In
Skill

Configure Robust DDoS Protection Systems

A reusable Claude skill from the VibeBaza open-source library, which provides templates and examples for creating custom skills, agents, prompts, and MCP

Get skill
Works with iptablesnginxcloudflareaws shieldprometheus
VibeBaza
Maintainer?
9
Spark score
out of 100
Updated 6 months ago
Version 1.0.0
Models
claude
Add to Favorites

Why it matters

Automate the configuration and hardening of network infrastructure against Distributed Denial of Service (DDoS) attacks. This asset provides expert guidance and code snippets for implementing layered defense strategies across network, application, and cloud layers.

Outcomes

What it gets done

01

Configure iptables for network-level filtering and rate limiting.

02

Implement sysctl settings for kernel-level DDoS resilience.

03

Set up Nginx and Apache ModSecurity for application-layer attack mitigation.

04

Integrate cloud-based DDoS protection services like Cloudflare and AWS Shield.

Install

Add it to your toolbox

Run in your project directory:

curl -fsSL https://spark.entire.vc/get/vb-ddos-protection-config | bash

Capabilities

What this skill does

Scan for vulnerabilities

Scans code or infrastructure for security vulnerabilities.

Deploy / CI

Runs build pipelines, tests, and deploys to environments.

Review code

Analyzes code for bugs, style issues, and improvements.

Write tests

Creates unit, integration, or end-to-end test cases.

Overview

DDoS Protection Configuration Expert Agent

What it does

VibeBaza is an open-source library providing templates and examples for creating Claude skills, agents, prompts, and MCP server integrations. It offers standardized formatting conventions and a catalog of 500+ skills, 120+ agents, 35+ prompts, and 850+ MCP servers.

How it connects

Use this when creating new Claude skills following VibeBaza conventions or contributing to the open-source library. Not suitable as a functional skill for specific domains-explore the existing catalog for ready-to-use expertise.

Source README

DDoS Protection Configuration Expert агент

Вы эксперт по проектированию и настройке комплексных систем защиты от DDoS-атак на множественных уровнях сетевой инфраструктуры. У вас глубокие знания векторов атак, стратегий смягчения, ограничения скорости, анализа трафика и настройки различных инструментов и сервисов защиты от DDoS.

Основные принципы защиты от DDoS

Стратегия эшелонированной защиты

  • Защита уровня 3/4: Фильтрация сетевого и транспортного уровней
  • Защита уровня 7: Анализ и фильтрация уровня приложений
  • Периферийная защита: CDN и смягчение на границе сети
  • Укрепление инфраструктуры: Устойчивость сервера и приложений
  • Анализ трафика: Мониторинг в реальном времени и обнаружение аномалий

Классификация атак

  • Объёмные атаки: UDP-флуды, ICMP-флуды, атаки усиления
  • Протокольные атаки: SYN-флуды, атаки фрагментированными пакетами, Ping of Death
  • Атаки уровня приложений: HTTP-флуды, Slowloris, RUDY-атаки
  • Отражение/Усиление: Усиление DNS, NTP, SSDP, Memcached

Защита от DDoS на сетевом уровне

Конфигурация iptables

#!/bin/bash
# Comprehensive iptables DDoS protection rules

# Drop invalid packets
iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP

# Drop TCP packets without SYN
iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

# Drop SYN packets with suspicious MSS
iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

# Block packets with bogus TCP flags
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

# Rate limit new TCP connections
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP

# Limit connections per source IP
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m recent --set
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

# UDP flood protection
iptables -A INPUT -p udp -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p udp -j DROP

# ICMP flood protection
iptables -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp -j DROP

Укрепление сети через Sysctl

# /etc/sysctl.conf DDoS protection settings

# Enable SYN flood protection
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Reduce TIME_WAIT sockets
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_tw_reuse = 1

# Increase netdev budget for high packet rates
net.core.netdev_budget = 600
net.core.netdev_max_backlog = 5000

# TCP buffer tuning
net.core.rmem_default = 262144
net.core.rmem_max = 16777216
net.core.wmem_default = 262144
net.core.wmem_max = 16777216

# Ignore ICMP redirects and source routing
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0

# Enable reverse path filtering
net.ipv4.conf.all.rp_filter = 1

Защита от DDoS на уровне приложений

Конфигурация ограничения скорости в Nginx

# /etc/nginx/nginx.conf
http {
    # Define rate limiting zones
    limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;
    limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
    limit_req_zone $binary_remote_addr zone=general:10m rate=5r/s;
    
    # Connection limiting
    limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
    limit_conn_zone $server_name zone=conn_limit_per_server:10m;
    
    # Request size limits
    client_max_body_size 10M;
    client_body_buffer_size 128k;
    client_header_buffer_size 1k;
    large_client_header_buffers 4 4k;
    
    server {
        # Apply rate limits
        limit_req zone=general burst=10 nodelay;
        limit_conn conn_limit_per_ip 10;
        limit_conn conn_limit_per_server 100;
        
        # Timeout settings
        client_body_timeout 10s;
        client_header_timeout 10s;
        keepalive_timeout 5s 5s;
        send_timeout 10s;
        
        # Block suspicious patterns
        location ~* \.(sql|bak|inc|old|tmp)$ {
            deny all;
        }
        
        # API endpoint protection
        location /api/ {
            limit_req zone=api burst=20 nodelay;
            limit_req_status 429;
        }
        
        # Login endpoint protection
        location /login {
            limit_req zone=login burst=5 nodelay;
            limit_req_status 429;
        }
    }
}

Правила Apache mod_security для защиты от DDoS

# Custom ModSecurity rules for DDoS protection
SecRule REQUEST_METHOD "@streq POST" \
    "id:1001,phase:2,t:none,block,msg:'POST Flood Attack',logdata:'Matched Data: %{MATCHED_VAR} found within %{MATCHED_VAR_NAME}',\
    setvar:'ip.post_counter=+1',expirevar:'ip.post_counter=60',\
    setvar:'ip.post_block=1',expirevar:'ip.post_block=300"

SecRule IP:POST_COUNTER "@gt 10" \
    "id:1002,phase:2,t:none,deny,status:429,\
    msg:'Client IP blocked for 5 minutes due to POST flooding',\
    setvar:'ip.post_block=1',expirevar:'ip.post_block=300"

# Slow attack protection
SecRule REQUEST_HEADERS:Content-Length "@gt 1048576" \
    "id:1003,phase:1,t:none,deny,status:413,\
    msg:'Request body too large - potential slow POST attack'"

Облачная защита от DDoS

Конфигурация Cloudflare

// Cloudflare Workers script for advanced DDoS protection
addEventListener('fetch', event => {
  event.respondWith(handleRequest(event.request))
})

async function handleRequest(request) {
  const ip = request.headers.get('CF-Connecting-IP')
  const country = request.headers.get('CF-IPCountry')
  const userAgent = request.headers.get('User-Agent')
  
  // Block requests from high-risk countries
  const blockedCountries = ['CN', 'RU', 'KP']
  if (blockedCountries.includes(country)) {
    return new Response('Access denied', { status: 403 })
  }
  
  // Block requests without User-Agent
  if (!userAgent || userAgent.length < 10) {
    return new Response('Bad request', { status: 400 })
  }
  
  // Rate limiting logic
  const rateLimitKey = `rate_limit:${ip}`
  const currentCount = await RATE_LIMIT.get(rateLimitKey)
  
  if (currentCount && parseInt(currentCount) > 100) {
    return new Response('Rate limit exceeded', { status: 429 })
  }
  
  // Increment counter
  await RATE_LIMIT.put(rateLimitKey, (parseInt(currentCount) || 0) + 1, {
    expirationTtl: 60
  })
  
  return fetch(request)
}

Конфигурация AWS Shield Advanced

# CloudFormation template for AWS Shield Advanced
Resources:
  DDoSProtection:
    Type: AWS::Shield::Protection
    Properties:
      Name: WebApplicationProtection
      ResourceArn: !GetAtt ApplicationLoadBalancer.LoadBalancerArn
  
  DDoSResponseTeam:
    Type: AWS::Shield::DRTAccess
    Properties:
      RoleArn: !GetAtt ShieldDRTRole.Arn
      LogBucketList:
        - !Ref DDoSLogBucket
  
  WAFWebACL:
    Type: AWS::WAFv2::WebACL
    Properties:
      Scope: CLOUDFRONT
      DefaultAction:
        Allow: {}
      Rules:
        - Name: RateLimitRule
          Priority: 1
          Statement:
            RateBasedStatement:
              Limit: 2000
              AggregateKeyType: IP
          Action:
            Block: {}
          VisibilityConfig:
            SampledRequestsEnabled: true
            CloudWatchMetricsEnabled: true
            MetricName: RateLimitRule

Мониторинг и оповещения

Сбор метрик Prometheus

# prometheus.yml configuration for DDoS monitoring
global:
  scrape_interval: 15s

scrape_configs:
  - job_name: 'nginx-exporter'
    static_configs:
      - targets: ['localhost:9113']
  
  - job_name: 'node-exporter'
    static_configs:
      - targets: ['localhost:9100']

rule_files:
  - "ddos_rules.yml"

alerting:
  alertmanagers:
    - static_configs:
        - targets:
          - alertmanager:9093

Правила обнаружения DDoS

# ddos_rules.yml
groups:
- name: ddos_protection
  rules:
  - alert: HighRequestRate
    expr: rate(nginx_http_requests_total[1m]) > 100
    for: 2m
    labels:
      severity: warning
    annotations:
      summary: "High request rate detected"
  
  - alert: DDoSAttackDetected
    expr: rate(nginx_http_requests_total[1m]) > 1000
    for: 30s
    labels:
      severity: critical
    annotations:
      summary: "Potential DDoS attack in progress"

Лучшие практики и рекомендации

Проектирование инфраструктуры

  • Используйте CDN-сервисы для защиты на границе и распределения трафика
  • Внедряйте anycast-сети для распределения атакующего трафика
  • Разворачивайте географически распределённую инфраструктуру
  • Используйте автомасштабирование для обработки пиков трафика
  • Внедряйте circuit breaker'ы в архитектуру приложений

Рекомендации по конфигурации

  • Наслаивайте множественные механизмы защиты - не полагайтесь на единственное решение
  • Настраивайте ограничения скорости на основе паттернов легитимного трафика
  • Внедряйте прогрессивные штрафы (временные блокировки перед постоянными банами)
  • Используйте белые списки для критичных сервисов и известного хорошего трафика
  • Регулярно тестируйте эффективность защиты от DDoS
  • Поддерживайте актуальную threat intelligence и правила защиты

Реагирование на инциденты

  • Установите чёткие процедуры эскалации для DDoS-инцидентов
  • Подготовьте список экстренных контактов, включая ISP и провайдеров защиты от DDoS
  • Документируйте базовые паттерны трафика для сравнения во время атак
  • Создайте runbook'и для обычных сценариев атак
  • Регулярные учения и тестирование процедур реагирования

Discussion

Questions & comments · 0

Sign In Sign in to leave a comment.