Страшный DDoS и как спастись

Сейчас DDoS — одна из самых популярных хакерских атак, которая может вывести сайт из строя. На сервер отправляется множество ложных запросов (от ботов), он не выдерживает нагрузки и «ложится» — реальные пользователи не могут попасть на сайт. Или могут, но страницы грузятся так медленно…

Больно представить, как в этот момент клиенты закатывают глаза и уходят к конкурентам. Особенно в Чёрную пятницу. Ведь DDoS процветает как метод нечестной конкуренции.

Организовать такую атаку несложно и недорого — любой сайт можно «заказать» меньше чем за 100$. Отследить инициатора практически невозможно.

Неприкасаемых нет. Даже серверы олимпийских игр в Пхенчхане 2018-ого не выдержали атак: интернет- и телевещание шло с перебоями, остановилось бронирование билетов.

Как защититься?

1. Настройте сервер

Используя модуль mod_status веб-сервера Apache, настройте мониторинг числа запросов к сайту, чтобы на основе этих данных блокировать нежелательные адреса и сети. По статистике за 1 квартал 2018 года, свыше 60% атак идёт из Южной Кореи, США и Китая. Поэтому при обнаружении признаков атаки, IP-адреса этих стран можно заблокировать на время.

Установите в качестве первого/проксирующего веб-сервера Nginx и заблокируйте на его стороне индексирующие запросы от плохих ботов к своим ресурсам.

Включите защиту от DDoS-атак на стороне Nginx: она позволяет ограничить число запросов в секунду с одного адреса и при достижении указанного лимита на некоторое время блокирует адрес. Эту защиту следует настраивать только с полным понимаем, какое количество запросов в секунду — реальные пользователи, а какое — боты. Есть риск заблокировать запросы от клиентов!

Эти простые меры помогут защититься от плохих ботов и слабых атак с небольшим количеством запросов на сервер. При массированной и распределённой атаке ресурсов сервера не хватит. И заблокировать все плохие запросы, не затронув реальных посетителей, не получится.

2. Подключите CDN (сеть доставки контента)

CDN клонирует статический контент сайта и отдаёт его пользователю с ближайшего доступного сервера. Динамический контент клонирует в случае единичной генерации, при генерации в реальном времени передаёт запрос на сервер. CDN затрудняет атаки на IP-адреса, так как скрывает реальный IP-адрес сервера и фильтрует запросы к нему.

Бесплатные и недорогие решения спасают только от низкоуровневых атак (просто мусорные запросы без имитации реальной деятельности на сайте). Полноценные решения защитят от любого DDoS, но стоят дорого. Например, на CloudFlare защита доступна на тарифах от 200$ в месяц.

3. Подключите защищённую сеть от специализированного провайдера

Это распределённая по миру сеть, которая анализирует весь входящий трафик, фильтрует его и пропускает к серверу реальных пользователей. Незаменима в случае массированных атак.

Можно подключить защищённую сеть во время атаки, но это займёт до 24 часов (пока из-за смены всех IP-адресов будет меняться информация на серверах имён). Сайты в это время будут недоступны.

DDoS-атаки — это реальность современного бизнеса в интернет-пространстве. Подключите защищённый канал сейчас, чтобы не терять прибыль и клиентов в будущем.

 

На FirstVDS доступна защита на 2-4 и 7 уровнях — 250 руб/мес за канал до 1 Мбит/с. Превышение — 250 рублей за каждый дополнительный 1 Мбит/сек. Для тех, у кого уже настроена защита на 2-4 уровне, подключим защиту на 7-ом бесплатно. Читайте подробности на странице услуги. Чтобы подключить DDoS-защиту, напишите в службу поддержки.

Кроме того наши системные администраторы могут настроить и оптимизировать ваш сервер для защиты от небольших DDoS-атак: заблокировать плохих ботов, самые активные IP-адреса, настроить защиту от DDoS на стороне nginx для вредоносных IP. (за 250 рублей или 1 обращение из пакета администрирования).

В панели ISPmanager, вы можете самостоятельно заблокировать IP-адрес, целую сеть или всю страну, если атака идёт из этого региона. А также настроить интеграцию с популярным CDN-сервисом CloudFlare.

Автор статьи:

Анатолий Петрушенко

Технический консультант

Аватар пользователя a.petrushenko
Вернуться