Защитились от DDoS в пик продаж. Пошаговый кейс

Защитились от DDoS в пик продаж. Пошаговый кейс

Для цветочных интернет-магазинов 8 марта — лучший день в году. Кто-то выигрывает качеством товаров и услуг, а кто-то на это не способен и подключает теневые методы борьбы. С хорошей командой поддержки они не страшны, но бывает разное.

Что случилось

8 марта, в самый пик продаж, крупный российский интернет-магазин цветов выпал из онлайна. Сработал алерт на перегрузку сервера. Клиент ожидал четырёхкратного роста посещаемости, поэтому ко дню икс сервер получил дополнительные ядра и память. Однако сама атака оказалась неожиданностью и поглотила все ресурсы.

Принятые меры

Диагностика подтвердила DDoS-атаку. Алерт сработал на стопроцентной нагрузке сервера, Nginx исчерпал ресурсы по отработке запросов реальных клиентов, которые теперь не могли открывать ключевые страницы сайта.

В качестве первичной попытки блокирования атаки выступила блокировка локейшенов, однако DDoS отреагировал распространением на весь домен. Вторым этапом стала облачная SaaS-защита хостинг-провайдера, которая не принесла результатов.

Защитились от DDoS в пик продаж. Пошаговый кейс
iptables -A INPUT -i eth1 -p tcp --dport 80 -s IP_ADDRESS_SUBNET_QURATOR -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 443 -s IP_ADDRESS_SUBNET_QURATOR-j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 443 -j DROP

Полезной оказалась третья мера — пропуск трафика с чисткой по сигнатурам через аппаратный Web Application Firewall (WAF). Настраивать сигнатуры пришлось вручную. В блэклист неизбежно попали клиенты, которые пытались заказать товары во время атаки. Специалисты были вынуждены исключать их IP-адреса из блокировки.

Мы:

  • перенастроили DNS на IP WAF, перенесли сертификаты;
  • с помощью поставщика WAF настроили сигнатуры для предотвращения DDoS;
  • заблокировали трафик на реальный сервер, кроме идущего через WAF.
Пустота на графике связана с трудностями сбора данных, так как метрики собираются по HTTPS
Пустота на графике связана с трудностями сбора данных, так как метрики собираются по HTTPS

При DDoS-атаке её распределённый характер не позволяет переходить от обороны к нападению. Однако мероприятие, как правило, ограничено по времени выделяемыми на него ресурсами, поэтому нашей задачей является организация очистки трафика от вредоносных запросов до прекращения атаки.

Итог

Сайт начал принимать заказы задолго до окончания DDoS, а она закончилась через сутки. Если бы поддержка не приняла меры, ресурс был вы полностью выключен в день наибольших продаж в году.

Что делать при DDoS

  • Вам приходит уведомление о повышенной нагрузке на сервер (алерты). Например, некоторые хостинг-провайдеры предлагают присылать алерты прямо в мессенджеры, это удобно
  • Если сработал алерт, необходимо выяснить причину нагрузки. Для этого нужно изучить процессы и прочесть логи на предмет необычной активности
  • Если загрузка процессора близка к максимуму, и скачок нагрузки необычен, это с большой вероятностью DDoS. Обычные пользователи редко вызывают перегрузку. Ещё один признак DDoS — падение нагрузки при отключении веб-сервера или закрытии портов HTTP и HTTPS на фаерволеСтоит выяснить, не произошло ли вместо DDoS событие, которое могло привести на ресурс очень много пользователей сразу. Например, могла выйти некая новость или даже сработать ваша реклама
  • Для перенаправления атаки нужно создать (арендовать) публичный IP и передать его в WAF-сервис для настройки приватной подсети для маршрутизации входящего трафика через WAF на сайт
  • Ждать окончания DDoS
  • Оставить WAF на постоянной основе или отключить до следующей угрозы, хотя последнее — сомнительный метод с точки зрения безопасности

Эта атака с большой вероятностью была оплачена конкурентами магазина и спровоцировала упущенную прибыль и дополнительные затраты. Теперь владелец предупреждён: в пиковые дни логично ожидать DDoS, поэтому стоит активировать WAF заранее.

Подход с отключением файервола можно применять в бизнесе с ярко выраженной сезонностью с целью экономии. Если же у компании постоянно высокая нагрузка, частые акции, злые конкуренты или другие причины думать, что парой дней в году всё не закончится, Web Application Firewall должен занять постоянную строку в бюджете вместе с профессиональной поддержкой.

4
Начать дискуссию