Годная дискуссия на r/selfhosted: человек хочет хостить майнкрафт сервер дома на своём железе и спрашивает: «Как защититься от DDoS?» Ответы

Годная дискуссия на r/selfhosted: человек хочет хостить майнкрафт сервер дома на своём железе и спрашивает: «Как защититься от DDoS?» Ответы в комментариях — квинтэссенция того, почему selfhosting и публичные сервисы живут в разных вселенных.

Один юзер честно объясняет: «Бро, если кто-то захочет тебя положить — он положит. У тебя домашний канал 100-500 Мбит? Ботнет может гнать 100+ Гбит. Game over». Другой добавляет: «Cloudflare free tier — это единственный способ. Спрячь origin IP за прокси, молись чтобы не слили настоящий».

Но самый вкусный комментарий от чувака, который попробовал: поднял сайт дома, через неделю словил атаку. Не какую-то терабитную историю — всего 2 Гбит UDP flood. Его домашний роутер от провайдера просто выключился от перегрева, пытаясь обработать миллионы пакетов в секунду. Пришлось звонить в техподдержку, объяснять что он не майнит, не качает торренты — просто его ддосят. Провайдер сказал: «Извините, у нас нет защиты для физлиц. Хотите — подключайте бизнес-тариф за $300/месяц с anti-DDoS».

Мы с вами понимаем суть проблемы: домашний канал не предназначен для публичных сервисов под нагрузкой. Там нет upstream filtering, нет scrubbing centers, нет null routing для атакующих префиксов. Ты получаешь весь мусорный трафик напрямую в свой роутер, и единственная защита — выдернуть шнур из розетки.

Консенсус треда: Если хочешь selfhost что-то публичное — обязательно через CDN/прокси. Реальный IP сервера прячешь — в DNS только прокси, в email headers не светишь origin, даже в SSL сертификатах лучше использовать wildcard от CDN. Как только кто-то узнает твой настоящий IP — игра окончена, потому что защищаться на уровне домашнего канала от серьёзной атаки невозможно физически.