foodofmen Oct 10 at 11:22

Как нас попытались «положить» при запуске: история одной DDoS

Easy

4 min

11K

Start-up developmentWebsite development * Programming * Development Management * Product Management *

+18

Comments 13

Slonoed Oct 10 at 11:41

А на старом IP закрыть строгим файрволом не получилось?

propell-ant Oct 10 at 11:54

А там, видать, мамкин дидосер поднагрузил и "не пущщал".

polearnik Oct 10 at 11:52

По мойму должно стать стандартом при деплое сайта прятать его за клаудфларом или подобным. ддос прекратился бы не начавшись

Kenya-West Oct 12 at 11:33

Я так понял, у ребят клиентура из РФ, что автоматически исключает Cloudflare.

NeonGC Oct 13 at 05:34

Ты не прав. CF фильтрует запросы, но это не панацея. В связке с DG уже лучше, но всё равно легко можно положить тяжёлые роуты. Если идёт распределённая атака полу-пустыми пакетами без ожидания ответа, то сайт начинает ложиться под пустой нагрузкой и такие пакеты вполне спокойно проходят через CF, а DG, как и другие фаерволы, немного другими векторами занимаются, хотя чуток тоже фильтруется. Тут лучший вариант - их связка + распределённые сервера, тот же кубер

overslepter Oct 14 at 11:28

Умный мужик этот Мойм.

shibanovan Oct 10 at 11:55

>Третий этап был хитрее. Атакующие попытались подключиться к серверу через SSH, в обход защитных систем.

Расскажите, пожалуйста что было тут? Какие были защитные системы SSH и как их обходили?

koltykov Oct 12 at 02:59

Первое что делаю при настройке сервера - смену порта со стандартного 22, запрет доступа root, авторизация по ключам. Можно ещё для спокойствия fail2ban, который пригодился бы и для http атак если по уму настроить

vigfam Oct 10 at 12:24

3 миллиона запроcов в час - это всего лишь 833 rps.

Что же за ресурс был у сервера, что он от такой смешной нагрузки лег ?

lyric Oct 10 at 14:45

Они же на последних 15 минутах сконцентрировались - т.е. rps в 4 раза выше + риквест риквесту рознь. Есть подозрение, что пытались долбить наиболее тяжеловесные эндпоинты (но это не точно)

DDoS-GUARD Oct 10 at 15:17

Благодарим, что доверили нам защиту!

Перенос трафика на защищенный IP через сеть DDoS-Guard — отличное решение, которое сильно усложняет жизнь атакующим. Иногда они все же пробуют новые векторы, но мы оперативно адаптируем защиту и внедряем свежие технологии, чтобы вы оставались в безопасности.

severgun Oct 12 at 09:27

Хакеры... Услуга ddos покупается быстрее еды в доставке.

korvin13 Oct 14 at 15:24

На правах рекламы DDoS-Guard?