Как я поборол DDoS за 15 минут



    Привет, Хабр!

    Сегодня я бы хотел рассказать об одном удачном опыте из своей жизни. О том, как я отбил DDoS атаку на свой сайт, не имея особых технических навыков. Эта статья может быть для вас полезна, а кому-то просто интересна. Сразу скажу, что это не универсальный метод и подходит не всем. Но для отражения мелких и средних атак самое то.

    Начну с того, что в мире сейчас большими темпами растет DDoS пиратство. Злоумышленники все чаще стали вымогать деньги, под предлогом обрушения DDoS. Многие боятся и платят, а потом платят еще и еще. Ошибка номер один, а вернее совет: никогда не платите хакерам. Во-первых, вас просто могут обманывать, у многих из тех кто занимается угрозами — нет возможности атаковать ваш сайт. Во-вторых, заплатите один раз, заплатите и второй и третий и четвертый, а в итоге все равно наймете специалистов для защиты.

    Я никогда не думал, что со мной может это случится. Представлял это так: для того, чтобы тебя атаковали, нужно кому-то насолить. Но мои суждения были ошибкой. Одним из субботних вечеров, когда я отдыхал от повседневной работы, на email свалилось письмо. Некто требовал, чтобы я перечислил некое количество Bitcoin, эквивалентной сумме 1000$. Иначе мне грозили DDoS атакой. Я немного запаниковал. Был выходной день, моего администратора не будет до понедельника. Что делать и куда обращаться? Этот вопрос мучал меня. Я стал гуглить. На многих форумах люди советовали не платить и сразу написать злоумышленнику, что оплаты не будет. Там я и узнал, что часто это просто навсего развод. Но мне не повезло. На мое письмо хакер ответил одним словом: “ОК”. А еще через 10 минут мой сайт уже был не доступен. Я не знал что делать, мой сайт, это коммерческий проект и простой каждой минуты для меня был убытком. Конечно, я сразу подумал, что надо воспользоваться услугами компаний профильных в этом деле. Но меня пугало то, что это будет все очень долго, к тому же была суббота.

    И тогда я стал думать. Думать как мои знания мне могут помочь в этой ситуации. И вдруг меня осенило. Как-то давно, когда я только начинал свой проект, я пытался самостоятельно построить CDN (Content Delivery Network). Тогда, как и сейчас не хватало знаний в административной части и я не реализовал свою идею. Но зато остались кое-какие знания. В частности, я научился распределять DNS запросы в зависимости от положения пользователя. То есть когда пользователь вбивает домен моего сайта, DNS определяет его местоположение и отправляет на нужный сервер.
    Я помню как пытался узнать у хабрасообщества, как это сделать своими силами, кто-то даже дал ответ, но сам я не смог все настроить на своем сервере. Зато нашел компанию, которая позволяет все делать из красивого интерфейса. Сразу скажу, что это не бесплатно, сейчас стартовый тариф стоит 7$ в месяц. Можно указать индивидуальный IP для каждой страны, а можно сразу и для всего континента.

    image

    Я понимал, что DDoS скорее всего идет с ботов, которые находятся по всему миру. А 95% моих клиентов и пользователей сайта находятся в России. Вот так просто, я быстренько сменил DNS сервера на сервера компании о которой сказано выше. Далее для России указал IP адрес своего сервера, а для всех остальных стран указал 8.8.8.8 (upd: Люди в комментариях советуют не делать гуглу пакостей и писать тут 127.0.0.1). И вот уже через 5 минут мой сайт снова работал, а злоумышленник в ответ получил от меня все то же сообщение: “ОК”. В течении нескольких следующих дней, я конечно же нанял специалистов, которые теперь защищают мой сайт. Но вот такой полезный опыт остался и я делюсь с вами.

    Конечно же, этот способ не подойдет для всех. У него есть минусы. В частности, если у вас много пользователей из разных стран. Но как вариант для быстрого реагирования — самое то. Надеюсь, эта статья кому-то поможет, но желаю, чтобы у вас всего этого не случилось.
    Всем спасибо за внимание.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 28

      0
      Из-за таких вот методов защиты некоторые русские сайты отказываются работать из-за границы.
      Например, авто.ру и экзист не хотят со мной работать, когда я использую vpn-туннель до хетцнера.
        0
        Я с вами согласен. Нельзя просто взять и отрезать весь мир навсегда.
        По этому я рекомендую данный способ только на время атаки.
          0
          Кстати, если на указаных вами сайтах страны заблокированы на уровне DNS, то вам не обязательно использовать VPN. Достаточно просто указать русский DNS сервер на той машине, с которой сидите в интернете. GeoDNS определят локацию именно по ip вашего DNS, а не по вашему ip адресу. Русские Public DNS можете взять тут: dns.yandex.ru/ (русский аналог Google Public DNS).
            0
            Ну я не для того нерусский туннель поднял, чтоб русским dns'ом пользоваться. =)
          +3
          И зачем гуглу такие пакости делать? Если уж менять DNS, то на 127.0.0.1
            +2
            Вы правы. Я подметил это в статье. Спасибо
              +14
              потрачу свой коммент в неделю на этот коммент :)
              Обычно ставят IP адрес кремля или белого дома. На практике аттака быстро исчезает :)
            0
            Метод из разряда «против лома нет приема». Мне нравится, спасибо.
              0
              Окромя другого лома, ботнеты в России дело не редкое.
              Мне помогает фильтрация на основе тупых запросов и лимиты по количеству обращений.
              +9
              О как. Какой то совсем тупой DDoS. Как только злоумышленник замечает смену DNS, как правило он переводит атаку на конкретный IP. Вам очень повезло, что метод сработал.
                +7
                А зачем было что‐то писать вымогателю в первый раз, особенно про оплату (точнее, её отсутствие)? Так бы он, ожидая ответа, атаковал позже, а вы бы могли как‐то подготовится.
                  +3
                  Я уже потом об этом сто раз думал. Но в тот момент мне казалось это обычным разводом. Я решил сразу написать, чтоб это понять. Но все пошло не так(
                    +2
                    Более того, нечего было вообще отвечать. Мало ли, типа мыло не работает, а пускать ресурсы ботнета без фидбека — смысла нет, кроме случаев, когда конкуренты или просто злые люди купили у этого хакера DDoS на ваш сайт.
                    +2
                    Удивительно, что никто в комментах еще не вспомнил о Cloudflare. Бесплатного тарифа хватило бы чтобы отсечь волну DDoS. Большую часть атакующих не пропустил бы DNS, т.к. они хранят базу засветившихся в ботнете машин и отправляют их лесом. Если пользователь кажется подозрительным — его просят тыкнуть кнопку «Я человек». Кроме этого они кэшируют страницы вашего сервера и атакующие не знали бы вашего ip адреса, атака бы уперлась в кэш-сервера Сloudflare. Сам пользуюсь этим сервисом, весьма доволен.
                      +2
                      Часть Cloudflare в России уже заблокирована, неужели вам не попадались безобидные сайты с текстом от роскомнадзора. А при проверке ip оказывалось, что это часть cloudflare. Так что нет смысла, для России станет только хуже.
                      А статья напоминает рекламу сайта, на который дана единственная ссылка на весь текст.
                        0
                        До Минска рука роскомнадзора еще не добралась, так что не сталкивался.
                        На счет рекламы сайта, похоже, что вы правы.
                          0
                          А вот и добралась.
                          На Byfly периодически отключается lostfilm… и внезапно kohanaframework.org/
                          На момент написания поста снова работают.
                        0
                        Это надо заранее подключать, атака может же идти и на ip
                        Или как вариант, попросить поменять IP и в файрволлах разрешать только диапазон cloudflare.
                        Опять же, файрвол лучше аппаратный, iptables тоже может не выдержать
                          0
                          Учитывая их бесплатность, подключить лучше рано, чем во время атаки. :)
                        0
                        Повезло вам однако с хакером… Непонятно зачем он вообще юзал DNS… Это же провал для DDoS…
                          0
                          Ну здрасте, почитайте про dns amplification ddos.
                            +1
                            Это две большие разницы, нет?

                            Механика DNS Amp вкратце:
                            — я иду в DNS с вопросом вроде «Какой IP у google.com? Пришли ответ на IP жертвы — это мой, честно :)»
                            — идет резольвинг IP в инфраструктуре DNS(root, tld, primary-servers)
                            — Ответ приходит к жертве на IP

                            В этом алгоритме нет резольва доменного имени жертвы, а следовательно «технология защиты» из статьи тут не работает…
                              0
                              Да… я что-то напутал.
                              в таком случае действительно разнесенные гео-днс не помогут.
                        • UFO just landed and posted this here
                            +3
                            Можно было сократить статью:
                            Как я поборол DDoS за 15 минут?
                            Нашел компанию, которая позволяет все делать из красивого интерфейса.

                            Слово «компания» можно сделать ссылкой. А то очень похоже, что без ссылки и статьи бы не было.
                              0
                              Судя по скриншоту, это Zerigo
                                0
                                там всё время была ссылка на доки zerigo, теперь она даже переместилась под слово «компанию».
                                  0
                                  Хех, мой сарказм был воспринят буквально :)

                            Only users with full accounts can post comments. Log in, please.