Как защититься DDOS атаки. Только практические рекомендации.

Discussion in 'Безопасность и Анонимность' started by krist11, 31 Jan 2014.

  1. krist11

    krist11 Member

    Joined:
    2 May 2012
    Messages:
    2
    Likes Received:
    12
    Reputations:
    10
    На протяжении последних 10-12 дней многие заметили перебои у большого количества сайтов в интернете. Причиной этого стала DDOS атака, которой подверглись не только русскоязычные форумы и блоги, но и ряд медийных компания, крупных ресурсов и даже социальных сетей. Многие даже думают что не работающая социальная сеть в середине января 2014 года, это причина DDOS атаки обрушившейся на ВКонтакте.

    Хотелось бы вкратце описать многочисленный опыт одного ресурса в борьбе с DDOS атакой, возможно это пригодится тем, кому DDOS только предстоит, и по возможности коллективно обсудить оптимальные средства профилактики (в комментариях).

    [​IMG]

    Для начала — совсем краткий ликбез, интересующиеся могут почитать подробное описание на Википедии:
    В общем случае DDOS (по-простому «дедос») — атака, во время которой злоумышленники атакуют ваш сервер (выделенный, облачный или виртуальный) большим количеством запросов, обработка которых отбирает драгоценные ресурсы у сервера, который в свою очередь не может обслужить обычных посетителей. Я не являюсь техническим специалистом и надеюсь, что профессионалы с пониманием отнесутся к упрощениям и простят неточности формулировок.

    Команда одного крупного ресурса, как только узнала что их атакуют (типичная атака, в зависимости от того, откуда вы на нее смотрите, может выглядеть примерно так, как на скриншоте ниже), то сразу начали искать доступные и быстрые варианты решения. Первым в поле зрения попал сервис Cloudflare — западный комбайн, который не только защищает от DDOS-атак, но и предлагает кучу других вещей вроде CDN, кэширования, оптимизирования, ускорения и тд.

    [​IMG]

    Оперативно купив тарифный план за $200 в месяц, настроили все DNS-сервера и стали ждать. У CF есть какое-то подобие аналитики и статистики, но по мнению экспертов она не всегда показывает то, что нужно и доверять этим графикам можно не всегда.

    [​IMG]

    Не будем вдаваться в детали, но решение от Cloudflare ситуацию не исправило. Во-первых, некоторые IP-адреса CF забанены в России Роскомнадзором и сайт случайным образом оказывается недоступен из разных точек страны. Во-вторых, более-менее внятная (но не 100%) защита от DDOS на не самой защищенной платформе WordPress достигается в случае включения всех настроек на максимум, при которых каждому посетителю сайта показывается вот такое окно, которое на некоторых устройствах после обещанных пяти секунд не пропадает:

    [​IMG]

    В-третьих, разнообразное ускорение и кэширование CF не всегда гладко работало с кэшем в WP, и это тоже доставило немало сложных моментов в разработке и верстке сайта.

    Поэтому пришлось искать другое решение, и несколько было потрачено на то, чтобы оценить сервис WPEngine.

    Получивший недавно $15M сервис, который специализируется на хостинге Вордпресса привлек внимание бурной прессой и широкими возможностями.

    [​IMG]

    К сожалению, позитивные впечатление остались только от напора и профессионализма сейлзов WPEngine. Из-за нашего трафика (3M просмотров, 700K уникальных посещений в месяц) мы попали под непростой тарифный план «Let’s talk», в результате чего нам насчитали порядка $2500 в месяц, при том, что для «ускорения работы и защиты от серьезных атак» все равно пришлось бы, по словам саппорта, пользоваться еще и платным тарифом Cloudflare.

    С налетом легкого отчаяния пришлось обратиться к последнему варианту — QRATOR.

    С самого начала атак я консультировался у нашего хостинг-провайдера Selectel, и QRATOR стоял в списке возможных вариантов, но был отброшен как «слишком дорогой».
    После заведения аккаунта в QRATOR, обновления DNS, защита заработала, но все равно некоторые посетители видели уже привычные читателям ЦП 502 ошибку

    [​IMG]

    К счастью, после оперативой консультации с техническими специалистами QRATOR выяснилось, что проблема возникала на стороне сервера, который настраивался 3-4 различными профессионалами с разным уровнем подготовки. После внесения нужных правок в iptables, донастройки конфигурации nginx и еще нескольких таинственных для стороннего наблюдателя действий все стало работать как часы.

    Вот так, например, выглядит наша, по словам специалистов QRATOR, «детская» DDOS-атака:

    [​IMG]

    А вот так выглядит уже что-то более изобретательное:

    [​IMG]

    Хотелось бы заметить, что в последнее время DDOS-атакам стали подвергаться многие медийные ресурсы совершенно разных размеров.

    TJournal:

    [​IMG]

    Roem, Lifehacker.ru, 2ch.hk, SmoService.ru, Ведомости, и другие.

    Без работы QRATOR явно не останется.

    PS: Ведомости:

    [​IMG]

    На подлесок хотелось бы добавить, старайтесь заранее думать о защите DDOS атаки ещё до того как она обрушиться на ваш сайт. И помните, услуги мощной DDOS атаки стоят всегда дороже чем защита от неё. Так что если вам дорог ваш проект, не экономьте на нём.


    Источник материала:
    © websmm.biz и © siliconrus.com
     
    1 person likes this.
  2. lock1122

    lock1122 Member

    Joined:
    8 Nov 2012
    Messages:
    103
    Likes Received:
    27
    Reputations:
    1
    1. не заниматься бизнесом в интернете
    2. не иметь доменов, сайтов, которые приносили бы доход
    3. не конфликтовать с конкурентами
     
  3. Хит

    Хит Banned

    Joined:
    10 Apr 2011
    Messages:
    285
    Likes Received:
    12
    Reputations:
    2
    решение от Cloudflare все же мне кажется простой и практичный способ защиты



    у многих комерция в интернета стала источником основного дохода, поэтому врятли кто то откажется от этого только из-за ддоса
     
  4. krist11

    krist11 Member

    Joined:
    2 May 2012
    Messages:
    2
    Likes Received:
    12
    Reputations:
    10
    Мне тариф за 200$ кое как помогает. Но это если не доссят сервер, тогда...
     
  5. Хит

    Хит Banned

    Joined:
    10 Apr 2011
    Messages:
    285
    Likes Received:
    12
    Reputations:
    2
    думаю 200$ не такая уж и большая сумма, если речь идет о какой то безопасности от ддоса, хорошая защита стоит на много дороже так то)
     
  6. fbidesign

    fbidesign Member

    Joined:
    13 Jul 2008
    Messages:
    79
    Likes Received:
    12
    Reputations:
    0
    Решение от Cloudflare идеально для статических сайтов. Если сайт динамический, то все равно можно придумать запросы, которые с гарантией транзитом пройдут на главный сервер, а когда таких запросов много - он тупо захлебнется.
    Особенно актуально если сервер настроен ногами, либо если узким местом является сервер БД :)

    Я пару недель назад тестировал один сайт, завернутый через Cloudflare, он лег от 20 потоков (максимум пара мегабит) сначала с ошибкой подключения к MYSQL а потом уже нечто подобное
    [​IMG]

    Я не профессионал в области защиты от DDOS, но логика подсказывает следующее:

    Атаки бывают 2 типов. Первый - засрать канал. Если у сервера канал 100 Мбит/с, а атакуют 200 Мбит/с - сервер ляжет и сайты открываться не будут. Защита - кластер серверов с каналом сколько-то гигабит.
    Второй - задача найти узкое место и положить сайт малозатратным способом. Защита - правильно растущие руки и правильная настройка серверов.
     
  7. stratum

    stratum New Member

    Joined:
    14 Mar 2014
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Qrator дорогой блин зараза, я юзаю ddos-guard.net, ребята справляюццо на ура, саппорт быстр и отзывчив. Есть реселлерский промокод на все их услуги кроме самого дорогого сервера, снимает 20% от стоимости, вводить можно в корзине, юзайте, но не показывайте их суппорту, а то закроют халяву.
    2XPUXRU08O