DDoS (Distributed Denial of Service) β minglab kompyuter saytga bir vaqtda kirib, server ishdan chiqaradi. 2025'da hujumlar 100x kuchaygan β 2 Tbps trafik bo'ldi. Himoya majburiy.
Hujum turlari
1) Volumetric β katta trafik (Gbps). DNS amplification, NTP reflection. 2) Protocol β SYN flood, Ping of Death. Server resurslarini ishlatib qo'yadi. 3) Application β HTTP flood, Slowloris. Hech narsa bilinmaydi, lekin server javob bera olmaydi.
Cloudflare himoyasi (bepul)
Eng tezkor yechim. Bepul planda DDoS unlimited. Cloudflare 200+ Tbps tarmoqda hujumni o'z ichida singdiradi. Sayt darrov ishlaydi.
Rate Limiting
Bir IP 60 so'rov/daqiqa β ko'p so'rov bo'lsa CAPTCHA yoki blok. Nginx config: limit_req_zone. Cloudflare: Rate Limiting Rules ($5/oy ekstra).
WAF (Web Application Firewall)
OWASP qoidalari, IP reputation, bot detection. Cloudflare bepul OWASP CRS. ModSecurity β open-source, server'ga o'rnatish.
CAPTCHA
Forma yuborish oldidan reCAPTCHA, hCaptcha. Bot trafik 99% to'sadi. Login va kontakt formalarida majburiy.
Server-darajadagi himoya
1) fail2ban β 5 ta noto'g'ri login = 1 soat IP blok. 2) iptables rules β bitta IP'dan 100 so'rov/sekund β blok. 3) ufw firewall.
Anycast tarmoq
Cloudflare, AWS Shield, Akamai β Anycast bilan trafikni dunyo bo'ylab tarqatadi. Bitta server hujumdan halok bo'lsa β boshqa region o'z zimmasiga oladi.
Hosting darajada
Premium hostinglar (Linode, DigitalOcean) DDoS himoya kiritilgan. 10 Gbps gacha bepul to'sish.
Hujum paytida
1) Cloudflare β "Under Attack" rejim β 5 soniya JS challenge har tashrifga. 2) Geo-blocking β faqat O'zbekistondan kirish. 3) IP whitelist β kritik infra uchun. 4) Origin server IP yashirish β Cloudflare orqali.
Sayt.uz himoyasi
Cloudflare WAF, rate limiting, fail2ban server'da. 2024'da bir necha hujum bo'ldi β foydalanuvchilar sezmadi.
Hujumdan keyin
Log tahlil β qaysi IP'dan, qaysi sahifaga. Pattern topib qo'shimcha rule yaratish. Yana takrorlanmasligi uchun.