Комментарии 8
Хорошая статья, пишите в этом духе. Хочется больше подробностей о методах защиты.
Не так давно наш сайт переживал DDoS-атаку от одного недоброжелателя, обидевшегося на админский состав. Во всех случаях хостер просто обрубал нам внешний интерфейс на первом гигабайте траффика (обрубал на 12 часов!!!!!). Причем отрубал молча, без оповещения по почте и СМС. о чем мы узнавали только по факту — либо кто-то из нас замечал не работающий сайт, либо «хомячки» комментировали в ВК, что «аааа, сайт опять упал!!!!».
В первый раз просто подождали конца атаки (около 2-х часов прошло до того момента, пока мы узнали о атаке и лежащем сайте) и отписались поддержке, что бы они включили нам сеть. При этом они предупредили, что повторное обращение такого рода не будет обработано ими, надо самим принимать меры.
Во второй раз (через пару дней после первого) атака повторилась. Мы пошли на крайние меры — быстро склонировали сервер (что сразу сменило IP-адрес сервера) и пустили его через CloudFlare (хватило бесплатного тарифа). Через полчаса после начала атаки сервер уже вполне себе жил и показывал «хомячкам» запрашиваемое.
После этого переписывался с хостером — по результатам этой переписки я понял, что вся работа по фильтрации таких запросов лежит на нас, и делать это надо до нашего внешнего интерфейса.
В первый раз просто подождали конца атаки (около 2-х часов прошло до того момента, пока мы узнали о атаке и лежащем сайте) и отписались поддержке, что бы они включили нам сеть. При этом они предупредили, что повторное обращение такого рода не будет обработано ими, надо самим принимать меры.
Во второй раз (через пару дней после первого) атака повторилась. Мы пошли на крайние меры — быстро склонировали сервер (что сразу сменило IP-адрес сервера) и пустили его через CloudFlare (хватило бесплатного тарифа). Через полчаса после начала атаки сервер уже вполне себе жил и показывал «хомячкам» запрашиваемое.
После этого переписывался с хостером — по результатам этой переписки я понял, что вся работа по фильтрации таких запросов лежит на нас, и делать это надо до нашего внешнего интерфейса.
Почему-то на хабре стараются впендюрить картинку для привлечения внимания. Хоть ассоциация темы с картинкой есть, но суть картинки далека от темы.
А картинки эти я видел в презентации Qrator. А блог Bitrix. Что-то не сходится… или сходится?
Imho, можно добавить про такие штуки, как blackhole сессии\комьюнити
>Для защиты от атак на четвёртом уровне необходимо проводить анализ поведения TCP-клиентов, TCP-пакетов на сервере, эвристический анализ.
А можно здесь немного подробней? Не до конца понятно, гдe tcpdump включать, на балансерах или на всех prod-серверах?
А можно здесь немного подробней? Не до конца понятно, гдe tcpdump включать, на балансерах или на всех prod-серверах?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DDoS-атаки и электронная коммерция: современные подходы к защите