Любые DDoS-атаки приводят к потере легитимного трафика, если говорить простым языком – к потере посетителей, как следствие клиентам и прибыли. Как правило, от атаки страдают сайты, принимающие электронные платежи, интернет-магазины, вот и мы не стали исключением. В декабре, в самый разгар предпраздничной торговли, впервые интернет-магазин подарков magicmag.net стал жертвой DDoS-атак, что сделало сайт недоступным для покупателей. Хорошо, что обошлось без утечки данных, но ситуация изрядно попортила нам нервы и лишила прибыли в размере несколько сотен тысяч рублей. Поэтому мы решили написать статью, для тех, кто может столкнуться с аналогичной проблемой.
Началось с того, 15 декабря на наш сайт посыпались запросы – тысячи ботов(зараженных устройств со всего мира) с различных IP-адресов отправляли запросы на наш сервер. Каждый бот стал выполнять запросы к своему DNS серверу с неподлинным обратным IP-адресом, который указывал на наш сервер.
magicmag.net
Наш сервер довольно скоро не выдержал – он перестал отвечать на входящие вопросы и интернет-магазин стал недоступен. Цель – максимально загрузить ресурс интернет-магазина, чтобы на обработку запросов от легитимных пользователей у нас попросту не хватило мощности. Вначале мы подумали, кто это какой-то кривой код забил все свободное пространство и ресурсы и обратились к системным администраторам и программистам, которые почистили кэш, таблицы, освободили место, запустили сервер. Это помогло, но буквально на пару секунд.
Стали разбираться, оказывается место на сервере заполнялось, потому, что к сайту идут тысячи запросов – мы подверглись DDoS-атаке. Разработчики и сисадмины, покопались в логах сервера, на котором находится интернет-магазин, буквально за час-два собрался архив данных о том, когда и главное откуда к нам заходили посетители. Самое интересно, что подавляющее число запросов было с IP-адресов Таиланда и Румынии.
Общее количество запросов за 5 часов составило 145 млн.
Чтобы отразить атаку – мы пытались банить адреса и подсети, с которых приходили эти запросы, и на какое-то время это помогло. Через время нам пришло в ВК сообщение в секретном чате, в котором сообщалось, что с нами хотят сотрудничать и, если мы заплатим 50 тыс. руб. атаки прекратятся и они укажут нам на наши уязвимости. Это были словно отголоски из девяностых – принудительная оплата «крыши». Новый культурный интернет-рэкет… Не смотря на столь заманчивое предложение, мы вежливо отказались.
Воспользовавшись услугами наших IT-специалистов, мы отбили атаку, о чем не преминули сообщить в чат. Конечно, ранее мы никогда не сталкивались с атаками и не считали нужным как-то «предохраняться». У нас обычный интернет-магазин подарков, а не сайт Пентагона. Поэтому мы на ходу искали способы отбить атаку, так как опыта в этих вопросах у нас не было. Нам казалось, что мы справились, но это была ошибка – через несколько минут атака возобновилась с новой силой – запросов было в 40 раз больше. Через какое-то время сайт опять «лег».
После этого мы решили для фильтрации запросов подключить сторонний сервис – по рекомендации нашего администратора мы выбрали CloudFlare. Бесплатный пакет мы брать не стали, так как нам нужно было как можно быстрее запустить сайт.
Суть сервиса CloudFlare в том, что он брал трафик нашего интернет-магазина и пропускал его через свои центры, которые фильтровали запросы. Этот сервис использует Навальный для защиты от атак, а также такие известные компании, как Uber, Avito и многие другие.
Атака была нарастающей, изначально сисадмин банил подозрительные запросы вручную. Бан срабатывал согласно протоколу JavaScript Challenge – данный инструмент посредством математических вычислений проверяет, кто пытается зайти на сайт. Сайт во время проверки блокируется на пару секунд, после чего CloudFlare редиректит запросы на интернет-магазин, но только в том случае, если IP-адреса проходят проверку и получают статус безопасных. Мы решили не пользоваться бесплатным пакетом услуг сервиса и оплатили тариф Pro стоимостью 20 евро в месяц c кредитной карты, плюс мы заплатили 5 евро за выделенный IP-адрес.
Но на этом наше «приключение не закончилось» - несмотря на то, что атака была практически полностью отбита, сайт все равно работал некорректно. Постоянно вылезали какие-то ошибки. CloudFlare конфликтовал с SSL-сертификатом, который мы использовали для безопасной передачи информации по защищенному протоколу. SSL-сертификат не позволяет мошенникам перехватить или заменить личные данные (логины, пароли, данные банковских карт, адреса электронной почты) покупателей, которые они вводят в нашем интернет-магазине.
Кроме того, есть еще одна особенность – когда мы в настройках домена меняли NS адреса, изменения эти вступают в силу не сразу. На то, чтобы изменения вступили в силу, уходило не менее 4 часов.
Мы зашли в раздел «доменные имена», далее в «мои домены» и в разделе «сервера имен» нажали «изменить», после чего прописали новые NS адреса. Но мы не учли тот факт, что эта процедура может длится от 4 до 24 часов. Нас это не устраивало, и мы решили воспользоваться специальными настройками и уменьшить у регистратора время вступления изменений в силу. По умолчанию время стоит 12-24 часа, но вы можете задать любое нужное вам время вручную.
CloudFlare: да или нет
До подключения к CloudFlare мы отражали DDoS-атаки собственными силами, но увы, сервер интернет-магазина упал под напором запросов. Для защиты мы не использовали ничего, мы как могли освобождали пространство, но это не помогало. Поэтому мы приняли решение воспользоваться сервисом узкой направленности чья задача фильтрация трафика. И мы остановили свой выбор на CloudFlare. Но вместе сокращением атаки мы получили ряд проблем:
- При возникновении конфликта CloudFlare с SSL-сертификатом мы не смогли связаться напрямую со службой поддержки. Да, есть форум, на котором можно что-то написать и подождать, когда тебе ответят, но это все время, а время, как известно это деньги. Кроме того, из-за атак и проблем с работой сайта мы рисковали своей репутацией.
- Снижение показателей конверсии из-за ошибок сайта, а также из-за его замедленной «реакции».
- Из-за оплаты посредством кредитной карты сервис автоматически списывал с нее деньги еще несколько месяцев - учтите этот момент и вовремя отмените подписку.
Фильтрация и сервис CloudFlare оказался для нас не подходящим и нерентабельным – да, изначально это был выход, но потом нас это не устроило. В первую очередь из-за отсутствия возможности оперативно решать проблемы и отсутствием технической поддержки. Поэтому мы обратили внимание на российский сервис – Qrator.
Большим плюсом стала круглосуточная телефонная служба поддержки. Менеджеры быстро, грамотно и без ожидания помогли нам настроить фильтрацию трафика буквально в течение получаса.
Qrator: плюсы
✔ Автоматическая смарт-фильтрация трафика – сервис фильтрует зашифрованный трафик без нашего участия.
✔ Быстрое подключение сайта к сервису – стар работы сразу после замены DNS интернет-магазина.
✔ Бесплатный тестовый период – 7 дней, если ваш сайт находится под DDoS – атакой, тогда тестовое время составляет 1 сутки.
✔ Защита в том числе и от атак по IP-адресам, для этого мы закрыли доступ к нашему сайту со всех адресов, кроме указанных Qrator.
✔ Русскоговорящая поддержка по телефону, которая помогает все быстро настроить.
Благодаря Qrator мы отбили атаку и никаких денег мы не платили, когда они поняли, что им не выгодно далее нас атаковать и буквально на следующий день принялись за конкурентов. У них цель заработать на тех, у кого нет должных знаний в области безопасности, поэтому уже много лет кибер-преступники имеют традицию перед новым годом «предлагать помощь» за весьма приличные деньги. Так как мы прошли все круги ада, то конечно же рассказали конкурентам как справится с данной проблемой, у них по нашей схеме ушло на это около пары часов.
Вывод
Интернет-магазин работает и наш, и конкурентов, кибер-злодеи остались ни с чем.
Qrator куратор помог отбить атаку, но на постоянной основе мы не используем данный сервис в виду отсутствия экономической выгоды - постоянная защита стоит не мало.
Кстати, QRATOR тарифицирует свои услуги по трафику, так что если вы хотите неплохо сэкономить - вам нужно разнести на разные сервера "статику" (фотки, например) и динамику (код) сайта и настроить фильтрацию только на код. Это позволит снизить цену в несколько раз.
Цель данной статьи рассказать вам как в случае DDoS – атаки быстро и с минимальными потеря, используя наш опыт отбиться от атаки, не потерять репутацию, прибыль и не растерять клиентов. Да, наши потери составили несколько сотен тысяч рублей, и вы могли подумать, что выгоднее было заплатить 50 тыс. Мы же придерживаемся мнения, что никогда нельзя платить шантажистам, так как те, кто платит раз, будут платить постоянно.
145 млн. запросов за 5 часов это примерно 8 тыс. запросов в секунду. Это для любого сервиса защиты от DDoS несущественная нагрузка по большому счету. qrator хороший сервис, но, судя по тексту, вы просто воспользовались демо-периодом бесплатно и ничего не платили? qrator это совсем не бюджетно для небольшого интернет-магазина. Есть много сервисов типа ddosoff.ru, ddos-guard.net и прочих, где за 2-3 тыс. можно подключить защиту. И это существенно дешевле, чем несколько дней тратить на самостоятельную борьбу с атаками и терять деньги с заказов.
И не обязательно было менять NS-сервера. Достаточно было сменить A-записи домена на защищенные IP - это гораздо быстрее.
145 млн заходов. Запросов мультиплицированно больше. И это не на пике. На пике было в 300 раз больше - график куратора не сохранился.
Сам куратор сказал что атака очень сильная. Но всплеск был разовый, как только не пробили - отстали
Комментарий недоступен
Чем меньше ДЦ тем меньше у него суммарная скорость каналов. Одно дело, если атака как у автора, не забьет и 100 мбит канал, а другое, когда атака на десятки гигабит.
А уж если говорить про бесплатную защиту от DDoS от хостеров - вы ей реально пользовались? В 99% случаев это защиты L3-L4 OSI, которые редко встречаются в жизни обычного веб-сайта. В 95% случаев DDoS-атаки на сайт это атаки на уровне L7 - уровень http запросов. Таких бесплатных защит я не видел - да и какой смысл их делать бесплатно? В чем бизнес то тогда? У cloudflare есть бесплатный тариф, но с заглушкой 5 сек, мол мы проверяем, не бот ли вы. Это убьет конверсию сайта на корню.... Посетителю вообще об этом знать не нужно.
Комментарий недоступен
Не могу судить, может конечно все так классно и есть. 3 т.р. за 1 юнит без учета БП - хорошее предложение. У меня сейчас примерно так же выходит, но я специально брал серверы с "маленьким" БП (460 Вт сейчас). А так очень у многих производителей с таким же железом БП были бы уже 600-700 Вт, что излишне.
Заметил, что анонс AS у них 2000 стоит. Обычно у всех бесплатно.
У нас таймвеб. Ну камон, это не бесплатно. Подключили, но не знаю, как оно будет.
у нас такое тоже было, позвонили провайдеру, они удали Ip адрес атакующий
и мы перенесли страницу входа админки на который был настроен бот.
Была интересней история, когда через регистрацию проник бот по простой регистрации (имя и емейл). Но вместо имени была реклама. И в подверждении получается мы сделали такую рассылку чужой рекламы. Здорово конечно придумано, если не защищено поле регистрации разными методами.
Какие проблемы было невозможно решить оперативно?
Конфликт ssl сертификата
В чем заключается?
Мы загружали наш сертификат через их инструменты и он не работал
Там можно заказать сертификат, который сам встанет
Заказали, купили самый дорогой. Не встал
Комментарий недоступен