3 года назад, ноябрь месяц кажется, если память не подводит. Решил зайти порубиться в танки. Вроде все хорошо, катнул несколько боёв. Но в одном из следующих стали происходить странные вещи, пинг вырос до значения 999, танки начали вести себя максимально странно.
Получается, что пиарить надо не Тильду, а DDoS-guard.
Внезапно можно обнаружить, что базовая защита сети Selectel, которая всем серверам идёт тоже могла бы переварить ту крохотную атаку. Внезапно можно даже обнаружить, что тюнинг Linux и настройка HTTP фронтенда на поиск и блокировку атаки тоже работает не хуже с такой небольшой атакой. А возможно даже CrowdSec из коробки и с минимальной настройкой даже не дал бы заметить атаку.
Статья, по сути, только про то, что типы лутали миллиарды чистой прибыли в год, но даже не думали защищаться от DDoS. Вопрос только в том, бездарные они (в целом не могут сами, пока руководств не выделит пару сотен миллионов аутсорсу) или жадные (пока не атакуют ничего делать не будем, даже на будущее).
За что тильду можно похвалить, так наверное за то, что там должен быть норм контракт, чтобы все кастомные домены пользователей были защищены. Если попробуете у ddos-guard заказать услугу, то нужно заплатить 8к за один домен. В wildcard LE сертификат они не умеют и не рассказывают об этом, точнее рассказывают, что умеют, но это отдел продаж, который расскажет что захочет. Отдельно сертификатик свой можно за 4к загрузить :) И это в месяц. То есть для сотен тысяч мелких тильдовских сайтов на кастомных доменах там должен быть реально норм контракт по стоимости (понятно, что не 8к или 20к за сайт), кэш как раз это часть услуги защиты от WEB атак. Сеть защищать попроще в этом плане, то самое L3-L7 скорее всего идёт через них же.
1 минус есть у этого всего - сертификат выпускает либо тильда, либо ddos-guard. Если второй и для фильтрации трафика, как мы знаем, весь трафик идёт через них, то сохранив этот трафик и имея ключи можно всё расшифровать. Ну благо никто сверхбезопасные проекты и не строит в такой инфраструктуре без гарантии не раскрытия трафика.
Согласен с вами кстати насчет DDOS-guard 👌
А по поводу типов, которые рубят миллионы и даже не задумывались защищаться от атак. Тут тоже по факту. Сейчас многие по сути жалуются на эту игру, что компания реально стала жадной, не только в плане средств, но и самих игровых плюшек.
Тут с вами согласен полностью 👍🏻
Угу, сравнение ДДоС защиты для игровых серверов (работающих по другому протоколу) и для сайтика сдн+кеш+бакенд - это было очень смешно. Причем никаких подтверждений того, что ширина ДДоСа шедшего на тильду была такой же, что и на кластер танков. "Стример попросил", лол
Ага, расскажи еще про тюнинг хттп (лол) для защиты игровых серверов. Какой протокол там используется? :) Остальное из той же оперы, сравниваем защиту статичного вебсайтика, где отдачу можно размазать по СДНам, и в случае атаки юзер просто будет ходить к чуть более дальнему СДНу и в случае веба даже незаметит +100-200мс латенси, и игровые сервера, в реалтайме каждые 50 мс обновляющие присоединненых именно к ним клиентов, где прыжок латенси на теже 200 уже будет мгновенно замечен всеми играющими на сервере
Какая неприкрытая реклама в комментариях конечно. Да и статья судя по количеству тегов тоже рекламная.
Ага, достаточно топорная реклама, плюс ботов в комменты нагнали.