Осторожно! Размещение статьи на vc.ru может привести к DDOS-атаке вашего сайта

Недавно разместили статью про работу в Brand Analytics, и нарвались на DDOS-атаку нашего сайта Зекслер. Совпадение? Не думаем… Ведь не только мы столкнулись с такой проблемой. Видели комментарии ребят, которые также попадались в лапки DDOS-никам :) Кто знает, это новое развлечение такое или связи с площадкой никакой нет? А теперь, к самой истории и решению.

Всё началось с того, что мы заметили, как наш сайт перестал работать – прям в выходные. «Ну ладно» – подумали, – «Бывает… Он уже старичок и ему пора на пенсию, ведь его место скоро займет более молодой и совершенный сайт». Но на форму обратной связи шла спам атака.

Рандомно подставлялись данные – телефон, имя, почта, а послание до неприличия одинаковое.

Так как дело было в выходной, написали в поддержку хостинга, чтобы они его восстановили. Спустя некоторое время ответили, что сайт они поднимают, но спящие зомби-запросы снова тянут его в тёмный омут, отчего он перестает работать. Стоит отдать должное всё же тех.поддержке, они все время были на связи, предлагали решения и просто делали свою работу.

Что же делать? Правильно: забить на всё, пусть поддержка мучается:) Но выходные не вечные и пришлось в понедельник с утра заняться проблемой, так как уже стало понятно, что это кто-то настойчиво DDOSит. Да и в сообществе ВК некий Михаил, а точнее некто под видом Михаила гадости гадкие начал писать, заявляя так сказать о своём «успехе». А лексика всё та же… Ничего новенького…

Решили для начала прибегнуть к помощи сервиса Cloudflare – якобы он помогает! Но единственное в чём он в первое время помогал – показывал количество запросов к сайту, что еще раз подтвердило, что DDOSят прям от души! Хотя часть нагрузки он всё же снял. Не будем так критичны :)

На графике отображён пик атак, и как Cloudflare кэширует запросы.

Запросы шли отовсюду: РФ, Мексика, Франция, США и другие недружественные страны. Решили ограничить доступ через конфиги на сервере для всех недружественных стран. Частично помогло.

Далее решили порезать спящие запросы, чтобы они просто отрезались, как горячим ножом по маслу. Помогло, но тоже частично, сайт перестал умирать быстро.То есть он оживал, но спустя какое-то время снова умирал.

Какое-то время сайт работал стабильно: Cloudflare научился определять нежелательные запросы и стал их блокировать, настройка в конфигах сработала, а может в добавок и DDOS-нику надоело нас DDOSить. Стали наблюдать… Но нет…

Михаил всё писал, а мы всё работали и переписку игнорировали. И тут Михаил решил: «А давай-ка завалю ещё и сайт их клиентов, может тогда они станут посговорчивее». Так подумали мы, а он написал, как умел.

Сказано – сделано, сайт нашего клиента лежит:) Выдаёт ошибку 504. Хваленая стандартная защита от DDos атак на серверах, как обычно, не помогла. На графике наглядно видно пики и продолжительности атак.

Но, кстати, было замечено, что Михаил мог обращать свой взор лишь на один сайт: то на клиентский, то на наш. Видно слабаком оказался Михаил, и с двух рук работать, как ковбои дикого запада, не умеет. Протестировали на этом сайте сервис от StormWall. Честно говоря, не оправдал ожиданий. Хотя, возможно, мы сделали что-то не так, и не раскрыли всю мощь защиты данного сервиса (может просто и времени не хватило, для полноты картины, так как был только суточный тестовый период).

И тут, наконец-то, наступила кульминация. Чуток завуалированно Михаил денег попросил.

А мы обрадовались-то как!

Для понимания последнего сообщения: именно в день начала атак мы разместили свою статью на vc.ru. Есть ли какая-то связь или нет, не знаем, но решили эти два события связать :)

Денег не дали, клиентский сайт защитили. Наш сайт с тех пор ещё пару раз отключался на непродолжительное время, но это было уже не критично.

Уже под конец Михаил понял, что денег ему не срубить, сделал парочку жалких попыток, ничего не вышло и ушел он искать удачи на других сайтах, надеемся и там ему покажут дулю…

Ну а мы, в свою очередь, оценили его работу, ведь он потратил на нас несколько дней, а оплату не получил.

Резюмируя тех.часть, для успокоения от атак Михаила был подключён 5мб/с выделенный канал, защищенный от DDOS-атак, и пока спим спокойно.

Свой рубль (или какую он валюту там хотел) от нас не получил. Схема не сработала. Хотя, если так подумать, начав ддосить какой-то интернет-магазин, у которого есть постоянный оборот, для владельцев такой удар был бы чувствительным, и им наверное было бы проще заплатить, чем терять прибыль.

Мишань, какой у тебя ценник, кстати? Но на самом деле Михаилу стоит сказать спасибо за новый экспириенс. Ранее мы сталкивались с похожей ситуацией, но это другая история. Другой вопрос, что сейчас мы к этому были не готовы, и нас это застало врасплох. Теперь же в случае повтора подобного сценария, можно будет уже решить проблему гораздо оперативнее. Как бы тебя не звали, мы будем звать тебя Михаил :) Зла не держим, спасибо за опыт! Не только тех.часть подтянули, но и вместе с командой повеселились:)
Подпишитесь на наш Телеграм-канал:) Поддержите лайками и комментариями)) Начали вести его совсем недавно, но уже понемногу рассказываем там о своей работе, решениях, идеях.