{"id":6456,"title":"\u041f\u043e\u0447\u0435\u043c\u0443 \u0434\u043b\u044f \u0441\u043e\u0445\u0440\u0430\u043d\u043d\u043e\u0441\u0442\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0438\u0445 \u0448\u0438\u0444\u0440\u043e\u0432\u0430\u0442\u044c","url":"\/redirect?component=advertising&id=6456&url=https:\/\/vc.ru\/promo\/281058-pochemu-vazhno-zashchishchat-dannye-vo-vremya-obrabotki&placeBit=1&hash=dc7f2bae2bc390fd70ec9b439b852fb5901b27f8537bbae69b6bbdceddf340ad","isPaidAndBannersEnabled":false}
Офтоп
Andrey Reviashko

DDoS-лайфхаки: как уберечь интернет-магазин в период распродаж

Виды DDoS-атак и как их не допустить интернет-магазинам — колонка от ИТ-директора компании Wildberries.

Поддерживая новогодние традиции, магазины стараются выстроить ресурсы таким образом, чтобы удовлетворить покупательские потребности перед праздником по максимуму. Поэтому ежегодный ажиотаж неизбежен.

И не только среди покупателей, но и среди участников так называемого «DarkNet’а»: разрозненные группы лиц, имеющие цель нелегального заработка – в первую очередь, за счет отсутствия должного уровня знаний в области информационной безопасности у своих жертв. Именно его представители имеют «новогоднюю» традицию “заходить в гости” к онлайн-ритейлерам с «письмами счастья», в которых коротко и ясно дают понять, что хотят подарок в виде пяти-шестизначных цифр в рублях (вымогательство, статья 163 УК РФ).

Если подарка не последует, онлайн-магазину будет причинен ущерб в виде упущенной выгоды, так как последний просто не будет доступен для покупателей. И угрозы, в большинстве своем, это не шутки: такое становится возможным посредством DoS-атак. Они имеют свои основные разновидности (по отношению к нам):

1. SYN FLOOD

На сервере жертвы открывается как можно больше соединений. Когда на сервере откроется максимально возможный объем этих соединений, сервер перестает отвечать на запросы.

Решение: ставить в бан IP адреса, с которых приходит слишком много запросов.

2. SLOWLORIS

Идея атаки заключается в очень медленных запросах к серверу по установленным соединениям. При таком подходе не требуется отправка большого количества запросов на сервер - он и без того занят. Соединений много - их не бросишь, так как запросы идут, хоть и очень медленно.

Решение: борьба с данным недугом осуществляется посредством бана подозрительных IP адресов.

3. UDP FLOOD

Атака осуществляется посредством UDP протокола. Ее суть - в обращении на разные, хаотично заданные, порты сервера. Сервер вынужден тратить ресурсы на проверку своих портов на предмет привязки последних к тому или иному сервису.

Решение: Отключить протокол UDP на приемной стороне.

4. ICMP FLOOD

Похож на своего предшественника из предыдущего пункта. Только в последнем используются массовые запросы по протоколу ICMP.

Решение: отключение обработки ICMP пакетов. Как минус - перестает “пинговаться” сервер.

Суть при этом одна – по максимуму загрузить ресурсы компании (в частности сайт-каталог) таким образом, чтобы на обработку запросов от реальных клиентов просто не хватало мощностей. Соответственно, оформление заказов становится недоступно большинству покупателей. В среднем, нагрузка на IT-систему магазина в этот момент увеличивается в 10 раз.

Наше знакомство с подобными атаками состоялось примерно восемь лет назад. Тогда это было интересно: ещё не было настолько мощных организаций, которые смогли бы пропустить через свои сети трафик и сломить нападение. Как сейчас помню тревожный звонок одного из пионеров анти-DoS предприятий, который настоятельно просил убрать наш трафик с их канала, так как те просто не рассчитывали на подобный объем в своих рекламных проспектах.

Мы часто оставались один на один с проблемами от атак на наше веб-приложение. Из самых действенных противоядий от данного вида напастей в ассортименте у дата-центров было отключение иностранного трафика на уровне провайдера. Прибегали к такой мере только в крайних случаях, так как существенная часть клиентов приходила через западные сети. Отключить иностранный трафик приравнивалось к отключению приличной части заказов.

Сейчас это кажется абсурдом, но в те годы, чтобы не заблокировать реальных клиентов вместе с запросами ботнета, мы садились всем ИТ-отделом за дело: получали слепок IP-адресов посетителей сайта, проверяли их через whois сервисы и включали в бан на фаерволе, если пул адресов явно принадлежал не нашим клиентам, а, к примеру, Китаю. И так до победного.

Сейчас ситуация на рынке данных услуг изменилась - анти DoS-сервисы уже не “захлебываются” от ботнет-трафика как ранее. Поэтому, обращаясь к компании по защите веб-приложений от DoS-атак, закажите услугу мониторинга периметра приложения на уязвимости. К примеру, наличие уязвимого из-за устаревшей версии веб-сервера или наличия опасных cross-origin настроек. Это поможет оперативнее реагировать на появление новых уязвимостей – второго по популярности метода в моем рейтинге — нападений на веб-приложения.

А теперь подробнее о том, что стоит сделать еще:

1. Шардировать систему, то есть разделить ее на несколько независимых частей.

Если у вас одна база данных, допустим, на сайте и один веб-сервер — атаковать его проще, чем несколько сайтов, у каждого из которых своя база данных и своя инфраструктура. Данная система способна выдержать большие нагрузки. Как следствие — действие слабых атак, скорее всего, не будет чувствоваться.

Запуская интернет-магазин, многие начинают с того, что на одном сервере «крутится» несколько систем, и, в частности web: иными словами, почти вся инфраструктура. Мы когда-то давно тоже практиковали такое. Несколько лет назад атакующие даже простыми средствами атаки и ботнетами небольших размеров выводили информационную систему из строя. Это же касается не только интернет-магазинов, но и, к примеру, социальных сетей. Вы, наверное, замечали, как не можете войти в свой аккаунт одной из социальных сетей, по причине ее недоступности; это при том, что кто-то из ваших знакомых такой проблемы не испытывает. Это происходит постоянно: где-то больше, где-то меньше.

Те, чьи аккаунты попали в часть системы, которая испытывает на себе DDos-атаку — пали жертвой. Зато оставшаяся часть системы чувствует себя хорошо.

2. Увеличить количество веб-серверов. Зачастую dos-атаки осуществляются на веб-сервер. К счастью, они легко масштабируются и их увеличение позволяет системе дольше по времени оставаться на плаву, особенно в случае «долгих» запросов.

В настоящее время DDos’еры атакуют наш сайт и без предупреждения, порой более менее приличной нагрузкой от 1Гбит/сек. Судя по отчетам системы, происходит это раз в несколько месяцев, без строгой зависимости. Имея на борту множество web-серверов, мы этого не чувствуем и не прибегаем к защите специальных сервисов.

3. Приобрести оборудование для блокировки dos-атак. Сейчас на рынке подобного оборудования конкурирует несколько сильных игроков, соответственно на него снижается стоимость. Внедрение в систему оборудования данного класса вполне может окупиться при отражении первой же атаки.

4. Убрать из системы долго отвечающие ресурсы. Задача dos-атаки занять ресурсы «пустышками», чтобы те не достались реальным пользователям. Если ваша система станет отвечать настолько быстро, что будет успевать обрабатывать и запросы от ботнета, и запросы реальных посетителей, можно считать, что вы одержали маленькую победу. Для этого стоит произвести анализ системы, выявить, а затем и устранить то, что долго отрабатывает во время того или иного запроса.

В погоне за удобством для пользователей в каталогах интернет-магазинов появляется большое количество фильтров. По брендам, по стоимости и т.д.

Увеличение количества параметров в фильтрах утяжеляет запрос: системе становится трудно их обрабатывать и начинается нехватка ресурсов.

Вступая в сезон распродаж, к примеру, в разгар «Черной пятницы», наша система подверглась DDos’у не со стороны злоумышленников, а со стороны наших клиентов. В ряде случаев приходилось отключать «тяжелые« фильтры «на ходу» специально созданными «рубильниками».

5. Научить систему уже на входе подавлять подозрительный трафик. Как пример, по признаку страны. Если нет возможности приобрести оборудование, о котором говорилось выше — есть возможность настроить систему так, что уже на входе будет подавляться подозрительный трафик, например, по признаку страны. Как реальный кейс — трафик из азиатской части тихоокеанского региона крайне подозрителен, так как из того же Сингапура или Китая к нам ходит только ботнет трафик.

И последнее: не надо поддаваться на вымогательства!

{ "author_name": "Andrey Reviashko", "author_type": "self", "tags": ["ddos","_"], "comments": 0, "likes": 6, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 30994, "is_wide": true, "is_ugc": true, "date": "Wed, 20 Dec 2017 16:12:00 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Читать все 0 комментариев
Как работать удалённо по московскому времени, если живёшь в Сибири

Команда ИТ-компании Southbridge — о преодолении трудностей часовых поясов: графике работы, планировании и отдыхе.

Дайджест новостей Сбера: AR-экскурсия, распознавание животных и премия для учёных

Прогулки по Политехническому музею с роботом Сепулькой, чудеса компьютерного зрения, научная премия — начало сентября в Сбере выдалось насыщенным. Делимся с вами самыми интересными новостями компании во втором выпуске нашего дайджеста.

Лучшие кредитные карты в России — рейтинг 2021 года
«Ну, мальчики, вот и я»: мошенник Виктор Люстиг, который продал Эйфелеву башню на металлолом и обманул Аль Капоне Статьи редакции

Виктор Люстиг с 19 лет обманывал людей в США и странах Европы, сменил десятки паспортов и 47 псевдонимов, несколько раз сбежал от полиции. А в тюрьму попал из-за женщины.

Виктор Люстиг
Что может быть важнее прибыли. ESG-словарь для инвестора

В 2020–2021 гг. резко возросла популярность темы ответственного инвестирования, или ESG. Идея о том, что инвестиции должны не только приносить прибыль, но и поддерживать экологию и социальную справедливость, привела к тому, что ESG-фонды стали играть значимую роль на мировых рынках капитала.

Конференция GoGlobal! соберет ведущих маркетологов

29 сентября 2021 года впервые состоится GoGlobal! — однодневная онлайн-конференция для маркетологов, заинтересованных в ускорении глобального присутствия своих кампаний.

«Что-то пошло не так» — причины неудачи проектов внутренней автоматизации

В чем особенность проектов внутренней автоматизации

Меня сняли с рейса S7

Вот так я попал с S7. Возможно, это справедливо и для других авиакомпаний, но проверять не хочу)))

За чей счёт цветёт Крокус?

Вступление.

Создание шрифта для набора логотипов Mail.ru Group
Порядок цен на мобильные приложения?

Давно не интересовался вопросом. Сколько сейчас стоит разработать мобильное приложение отдельно под iOS и Android?

null