Оглавление:
О том, что на ваш сайт совершается ДДоС атака, вы узнаете сразу. Буквально через несколько секунд после ее начала - ваш сайт перестанет работать. Вам еще повезет, если вы просто отделаетесь отсутствием сайта в сети все то время, пока идет атака. В более тяжелых случаях - хостер заблокирует ваш аккаунт, и вышлет уведомление о том, что блокировка будет снята после того, как вы решите проблему и настроите защиту от DDoS.
Сегодня я зашел в свой аккаунт Cloudflare и увидел, что кто-то пытался заДДоСить сайт антиддос24, который занимается защитой от DDoS. Что же могло пойти не так в таком гениальном плане ...
Обнаружилось это случайно - я зашел в аккаунт Cloudflare и увидел вот это.
Перед вами - классическая попытка "уложить"сервер одновременным открытием полумиллиона активных соединений с сайтом. В том случае, если бы никакой защиты не было, хватило бы и 1-5% от этого количества, после чего сайт просто перестал бы открываться у легитимных посетителей. В случае же с защищенным сайтом - хоть 0.5 млн обращений, хоть 500 млн обращений (проверено) - на работоспособности сайта это никак не скажется.
DDoS (Distributed Denial of Services) - это распределенная атака с одновременным обращением огромного количества устройств, нацеленная на исчерпание лимита очереди подключения к вашему хостингу. Программное обеспечение сервера имеет жесткие лимиты, и просто не рассчитано на одновременную обработку большого количества соединений. Уже при паре сотен, ну паре тысяч одновременных запросов - самый продвинутый VPS начнет дико тормозить, и не сможет обрабатывать все нарастающий входящий поток обращений. Это и есть ДДОС - состояние веб-ресурса, при котором он больше не может обрабатывать входящие запросы.
AntiDDoS, соответственно - это метод фильтрации входящих запросов, который пропускает к серверу только легитимные подключения, а ложные - блокирует. Мощность современных ДДОС атак такова, что для противодействия им не хватит ресурсов никакого сервера, и нужно использовать специализированные сервисы. Причем не тот "пробник" АнтиДДоС, который за отдельную плату предлагает хостер в своих тарифах "с защитой от ДДОС", а полноценное решение.
Это могут быть и 5 минут, и день, и неделя. Все зависит от бюджета, который ваш "благожелатель" инвестирует в данное мероприятие. Как правило, серьезная атака длится настолько долго, чтобы сайт успел "выпасть" из индекса поисковых систем и потерять свои позиции. Ведь на время ДДОС не только посетители не могут попасть к вам на сайт (и совершить покупку), но и боты (краулеры) поисковых систем Яндекс и Гугл.
Несколько минут ДДОСа может быть организовано через триал версию IP-стрессера (вариант для мамкиных хацкеров), а вот полноценные длительные атаки уже стоят совсем других денег.
Скриншот с одного из сайтов в сети, на котором могут заказать ДДОС вашего ресурса.
Это зависит от мощности атаки. Если она достаточная, то все просто - сайт не открывается. Долго грузится колёсико подключения, а потом появляется заглушка на белом фоне. Заглушка о том, что сайт в данный момент недоступен, зайдите позже.
Либо, вместо вашего сайта, находящегося под ДДОС атакой, хостер уже вывесил вот это - Account Suspended.
При умеренной атаке, сайт медленно работает, и периодически выдает ошибки:
Это говорит о том, что сервер перегружен, и в какие-то моменты просто не справляется с нагрузкой.
И наказать его в неприличной форме, ага.
Заказать ДДОС может в наше время любой, были бы на криптовалютном кошельке шекели в необходимом количестве, и желание потратить их на то, чтобы ваш сайт на некоторое время пропал из Интернет. Все относительно анонимно и безнаказанно до тех пор, пока не причинен значительный ущерб какой-то критической инфраструктуре. К которой частный сайт физлица или относительно мелкой организации ну никак не относится.
Поэтому, если вас ДДОСят, то поздравляю - вы оказались в числе тех счастливчиков, чей сайт настолько кому-то мешает, что он готов потратить деньги на то, чтобы исправить эту ситуацию, и задвинуть его куда подальше и пониже.
В моем случае, все 500 тыс обращений в рамках ДДОС ушли в блок или под капчу. А за пару часов до того, статью прочел предположительно тот, кому не понравилось её содержание или упоминание некоторых персоналий. Но с большего, это личные проблемы заказчика ДДОС атаки. Никто его по айпи разыскивать не собирается, может спрятаться под одеяло и поплакать от безысходности. И порадоваться тому, что потратил не так много денег на безуспешную попытку. Вложил бы серьезные деньги, с тем же результатом - разочарование было бы более сильным.
ДДОСить могут абсолютно по любой причине, была бы необходимая сумма в кармане, и соответствующее желание.
Не так посмотрели, не то написали. У зловреда поехала крыша, и он решил вас наказать.
Та информация, которая находится на вашем сайте, не соответствует тем шаблонам или установкам, что вложены в голову заказчика ДДОС-атаки. Психически неустойчивых людей - тьма, просто по некоторым причинам многие из них не состоят на учете у психиатра.
Либо, выдан соответствующий грант на причинение вреда критической инфраструктуре потенциального противника, и атакуются сайты, например, госучреждений, банков, крупных компаний. В случае успеха, информация об успешной атаке будет широко освещена в СМИ, для подбадривания остальных адептов.
Потенциальный хацкер, интересующийся IT, применяет свои знания на практике. Целью атак могут быть любые рандомные сайты, просто по фану. Это потом, если попадется, хакер будет размазывать сопли и говорить что так больше не будет. А пока что - просто весело.
Набравшись опыта, начинающий хакер задумывается о том, как монетизировать свои знания, превратить их в источник дохода.
Не всегда у такого хакера в том месте, куда едят, присутствует хоть что-то, напоминающее кору головного мозга. Тогда он, упиваясь чувством собственной безнаказанности (ну или беспросветной тупости), может совершать совсем уж идиотские просчеты.
Мамка заплатит.
Ваш сайт и успехи в его продвижении могут стать предметом черной зависти конкурентов. И однажды, они решат исправить такую вопиющую (по их мнению) несправедливость.
Здесь все зависит от вашего кошелька. Можно обойтись суммой от 20.000 рублей в месяц с ДДОС-Гард. Или от 100 тысяч рублей там же, если вам еще и поведенческих ботов фильтровать нужно.
Там, конечно, есть некоторые нюансы с капчой, и вы закроете доступ на свой сайт для значительной массы реальных посетителей. Которые не станут тратить время на разгадывание зубодробительной капчи с картинками, а просто ругнутся нецензурно, и закроют вкладку с вашим сайтом. Но это уже нюансы и издержки.
Примерно в ту же сумму обойдется подобное решение от Qrator Labs. Более крупные компании (Ozon, Wildberries) используют собственные решения защиты от вредоносного воздействия на свою инфраструктуру, но это уже другие порядки цифр.
Стандартная защита от ДДОС атак, включенная в тарифные планы хостинга, выглядит вот так.
Количество запросов в секунду. Стандартное значение - 25. Максимальное количество запросов в секунду с одного IP-адреса. Запросы сверх лимита встают в очередь и обрабатываются веб-сервером с задержкой. Если размер очереди превышает параметр «Максимальный размер всплеска» — новые запросы с IP-адреса блокируются на 5 минут.
Максимальный размер всплеска. Стандартное значение -100. Максимальное количество запросов в очереди на обработку. При превышении лимита новые запросы с IP-адреса блокируются на 5 минут.
На этом, собственно - всё.
Если с какого-то IP адреса придет больше чем 25 запросов в секунду - он будет заблокирован. Наверное.
Проблема только в том, что атак, в которых ДДОС производится с одного айпи адреса, или пары десятков, да еще и с такой частотой - один на миллион.
Во всех остальных случаях это будет несколько сотен / тысяч IP адресов, да и частота будет максимум 1-2 соединения в секунду с каждого. А то и реже. Бывают атаки с еще большего количества внешних айпи.
Однако, это дает маркетологам хостеров моральное право указывать в своих тарифах и рекламе то, что ДДОС защита включена. Защита от мифического сферического коня ДДОСа в вакууме.
При соответствующем уровне знаний, защитить сайт от ДДОС атак можно с помощью Cloudflare, даже в бесплатном режиме, с тарифом FREE.
Настраивается сам аккаунт Cloudflare, правила WAF, устанавливается защита от DDoS атак уровня 7 (Application Layer Attacks), защита от множественных подключений (Rate limiting rules). Производятся другие необходимые настройки, в том числе и на хостинге. Устраняются совсем уж детские грабли, наподобие "засвета" IP адреса сервера в SPF записи почты домена.
Но вы можете как минимум сделать первый шаг, подключить Cloudflare и нажать волшебную кнопку Under Attack Mode, отправив все входящие подключения под капчу Cloudflare. Как минимум, это снизит нагрузку на сервер, и он иногда будет открываться даже во время ДДОС. Что даст вам некоторое время на поиск специалиста по настройке Cloudflare против ДДОС атак.
Функцию фильтрации ботов Cloudflare может на себя взять российский антибот Killbot. Вот к нему у РКН точно претензий нет, сервера компании находятся в РФ. Принцип работы отличается от привычного, отслеживаются не знакомые всем при настройке Cloudflare параметры (входящие IP адреса, AS подсети ботов, User Agent и прочее), а уникальные для каждого набора браузеров слепки. По отличию оригинального браузера от модифицированного, тот или иной заход определяется либо как заход реального посетителя, либо как заход бота. Чтобы не повторяться - расписывал более подробно в статье Альтернатива Cloudflare в России.
Подпишитесь на Telegram канал для того, чтобы всегда быть в курсе последних новостей и обновленных настроек для защиты от ботов через Cloudflare, а также оперативно получать новые материалы, выходящие на antiddos24.ru
Всегда нужно иметь в виду, что те советы, которые вы прочли в статьях на сайте antiddos24.ru - это лишь часть настроек, которые я делаю при профессиональной экспертной настройке фильтрации поведенческих ботов. Все остальное - это непубличные профессиональные секреты. Любая информация, становящаяся общедоступной - достаточно быстро устаревает и перестает быть эффективной.
Если вы столкнулись с повышенной ботностью в Яндекс метрике, увеличением числа прямых заходов, увеличением количества отказов - вы всегда можете заказать у меня настройку Cloudflare или Killbot.