Pull to refresh

DDoS, когда его совсем не ждут

Information Security

Вступление


В этой статье не будет никакой рекламы конкретных фирм и она не претендует на «самую умную статью о DDoS». Цель этой статьи – обратить ваше внимание на проблему, которая рано или поздно может коснуться и вас.

Не задумываемся, пока не начнется


Думаю многие вебмастеры и админы сайтов, как и я, только поверхностно знают технические моменты по настройке ОС, наладке фаерволов, ширине каналов и т.п. Все системные настройки делает суппорт хостинга, нам остаются только лишь панельки управления.

Если у вас есть сайт, то представьте себе такой сценарий. Одним прекрасным утром Вы проснетесь, по привычке обновите главную страницу вашего драгоценного сайта, который приносит вам доход, но вместо сайта выйдет ошибка, либо страница будет грузиться долго, потом вообще не грузиться, потом через раз и т.п.

Ясное дело — первая реакция будет шоковой, начнутся обращения к суппорту. Ведь сайт недоступен — так и с индекса поисковиков можно вылететь. А т.к. атаки обычно начинаются в субботу вечером, то скорее всего суппорт в этот день будет мирно спать и видеть сны. Утром в понедельник окажется, что вас DDoS-ят.

Что надо знать о DDoS-атаках


Разновидностей DDoS-атак бывает множество. По каждому типу можно написать отдельную статью. Но если не сильно вдаваться в подробности, то выходит примерно такая картина.

Злоумышленник дает сигнал, например, 10k компьютерам (ботам) беспорядочно заходить на разные страницы вашего сайта, по несколько раз в секунду. Если сайт не достаточно оптимизирован (а зачатую, так оно и бывает), то в разы увеличивается нагрузка на запросы в БД, на обработку php-кода и сайт зависает, не успевая обрабатывать запросы людей.

Но это лишь вершина айсберга. В случае, если у вас всё в порядке с оптимизацией и система не загнется от сотен тысяч запросов, то количество этих запросов в мегабитах может превысить физические возможности канала. Скажем, ваш сайт находится на хостинге с шириной канала в 100 мегабит. А объем атакующих запросов — 500 мегабит. Канал забивается — сайт недоступен.

Что делать???


Этот вопрос обязательно возникнет, и скорее всего много раз. Раскидаю ответы по пунктам:

1. Если атака не сильно вычурная, то её можно отразить верной настройкой ОС. Этим занимается ваш хостинг-провайдер. Выставив верные значения фаервола, такую атаку можно пережить.

2. Если хостер ковырялся в настройках ОС «пиццот» часов (для вас они покажутся вечностью) и ничего не смог сделать, то это не всегда означает, что он криворукий. Это может значить, что сервер не справляется с таким количеством запросов. Так же об этом может свидетельствовать «дырявый» пинг к вашему сайту.

3. Если всё произошло именно так, как указано в пунктах 1-2, тогда остаются дорогие способы защиты:
  • Либо можно закрыться проксированием, при этом сайт остается на старом месте. Меняется лишь DNS, направляя трафик на фильтрующий прокси-сервер. C него уже идет чистый трафик к вам.
  • Либо это будет переезд на новый хостинг, который предоставляет услуги защиты от DDoS-атак.


Какая ***** меня атакует?


  • Это могут быть происки ваших конкурентов, с сайтов схожей тематики.
  • Может у вас есть враги, завистники или недоброжелатели.
  • Может атакует фирма, которая предоставляет услуги защиты от DDoS-атак, ибо у нее что-то давно не было заказов.
  • Это могут быть вымогатели, которые начнут атаку, а через пару дней постучат вам в ICQ с предложениями различного характера. Но это — уголовно наказуемое дело, поэтому может никто никогда и не стукнет.


Когда же это всё закончится?


DDoS-атака стоит денег. Сильная атака — стоит больших денег. Поэтому атака не будет длиться вечно, но зачастую длится до тех пор, пока вы не поставите достойную защиту.

И защита стоит денег. Защита от сильных атак — стоит больших денег. Но скорее всего они у вас есть, т.к. на малопопулярные сайты никто заказывать DDoS не будет, особенно дорогой.

Профилактика


Чтоб более-менее достойно перенести DDoS-атаку, предварительно нужно:
  • Оптимизировать движок сайта, настроить кэш где это возможно. Тогда слабые атаки вы может даже не заметите, а при сильных атаках будет возможность сосредоточиться на других моментах.
  • Если ваш ресурс начинает приносить приличный доход — переезжайте дорогие хостинги, где точно знают что делать с DDoS-атаками. С каналами от 1000 мегабит. Не экономьте на своих нервах, рано или поздно на вас обратят внимание.
  • Быть готовым к этому.

Заключение


Если данной статьей я помогу хоть одной жертве этих упырей, значит меня атаковали не зря.

Меня атаковали в субботу вечером. Хорошо атаковали (забили 100 мегабитный канал). Сайт был в дауне до утра вторника. Весь понедельник суппорт хостинга крутил настройки Linux'а, но ничего не получилось. Сайт отключили, т.к. ДЦ был в шоке от количества запросов. Во вторник утром, от безысходности купил прокси-защиту по 100$ в сутки до утра четверга. В среду гуглил (много гуглил) и переехал на дорогой хостинг с защитой от DDoS. Это были не самые лучшие 5 дней моей жизни.

Быть может, я делал что-то неправильно, но меня застали врасплох. Надеюсь, вас уже врасплох не застанут. Удачи! =)
Tags:ddos
Hubs: Information Security
Total votes 95: ↑84 and ↓11 +73
Views9.2K

Popular right now

Security Engineer
from 2,000 to 5,000 $CoinLoanRemote job
Преподаватель авторизованных курсов "Kaspersky"
from 80,000 to 160,000 ₽Центр компьютерного обучения СПЕЦИАЛИСТМоскваRemote job
Application Security Specialist
from 150,000 ₽СindicatorСанкт-ПетербургRemote job
Data Scientist
from 70,000 to 120,000 ₽DDoS-GUARDРостов-на-ДонуRemote job
Senior Control Plane Developer
from 3,600 to 4,700 $DataDirect Networks Inc. (DDN)Remote job