Пару лет назад исследовательские агентства и провайдеры услуг информационной безопасности уже начали было докладывать о снижении количества DDoS-атак. Но уже к 1-му кварталу 2019 года те же исследователи сообщили об их ошеломляющем росте на 84%. А дальше все пошло по нарастающей. Даже пандемия не поспособствовала атмосфере мира — напротив, киберпреступники и спамеры посчитали это прекрасным сигналом к атаке, и объем DDoS вырос вдвое.

В эпоху бурного развития SaaS отсутствие личного кабинета для облачного сервиса уже считается просто неприличным. Но для сервисов защиты от ботов и других киберугроз есть еще одна важная причина: они не похожи на такие популярные сервисы, как облачные хранилища (типа Azure, AWS), аренда виртуальных серверов (DigitalOcean) или система контроля версий (GitHub, Gitlab) по той причине, что клиентам здесь часто трудно понять, за что именно они платят деньги. Только продвинутая статистика и наглядные графики могут четко ответить на этот вопрос. Поэтому у процесса создания личного кабинета в Variti были свои особенности.

Отчеты о том, что было сделано за определенный период — это стандарт отрасли. Мы решили не отставать и тоже собрать небольшой дайджест из новостей Variti и новых функций, которые были реализованы в 1 квартале 2020 года.

Организовать чат в Telegram для техподдержки — это очень легко. А вот реально наладить в этом мессенджере полноценную работу по поддержке пользователей очень сложно. Мы сами прошли этот путь, набили много шишек и разработали правила и инструменты, чтобы с ними справится. Эта статья — о них.

Капча считается международным стандартом защиты от DDoS-атак, автоматических регистраций и спама. Мы в Variti проанализировали эффективность этого решения и пришли к заключению, что это очень неудобное и малоэффективное средство защиты от ботов, плохо влияющее на конверсию, а области с капчей — это сами по себе уязвимые места для атак.

Мы в компании Variti специализируемся на фильтрации трафика, то есть разрабатываем защиту от ботов и DDoS-атак для онлайн-магазинов, банков, СМИ и прочих. Некоторое время назад мы задумались над тем, чтобы предоставлять ограниченный функционал сервиса пользователям различных маркетплейсов. Такое решение должно было заинтересовать небольшие компании, работа которых не столь сильно зависит от онлайна, и которые не могут или не хотят оплачивать защиту от всех видов ботовых атак.

Выбор маркетплейсов

Вначале мы остановили свой выбор на Plesk, куда выгрузили приложение для борьбы с DDoS-атаками. Среди самых популярных приложений Plesk есть WordPress, Joomla и антивирус «Касперского». Наше расширение, помимо непосредственно фильтрации трафика, показывает статистику сайтов, то есть позволяет отследить пики посещений и соответственно атаки.
Спустя некоторое время мы написали чуть более простое приложение, на этот раз для CloudFlare. Приложение анализирует трафик и показывает долю ботов на сайте, а также соотношение пользователей с различными операционными системами. Идея была в том, что пользователи маркетплейса смогут увидеть долю нелегитимного трафика на сайте и определиться, нужна ли им полная версия защиты от атак.

Жестокая реальность

Компания Variti специализируется на защите от ботов и DDoS-атак, а также проводит стресс- и нагрузочное тестирование. Поскольку мы работаем как международный сервис, нам крайне важно обеспечить бесперебойный обмен информацией между серверами и кластерами в режиме реального времени. На конференции Saint HighLoad++ 2019 разработчик Variti Антон Барабанов рассказал, как мы используем UDP и Tarantool, почему взяли именно такую связку, и как нам пришлось переписывать модуль Tarantool с Lua на C.

По ссылке можно также почитать тезисы доклада, а ниже под спойлером — посмотреть видео.


Когда мы начали делать сервис фильтрации трафика, мы сразу решили не заниматься IP-транзитом, а защищать HTTP, API и игровые сервисы. Таким образом, мы терминируем трафик на уровне L7 в протоколе TCP и передаем его дальше. Защита на L3&4 при этом происходит автоматически. На схеме ниже представлена схема сервиса: запросы от людей проходят через кластер, то есть серверы и сетевое оборудование, а боты (показаны в виде привидения) фильтруются.



Для фильтрации необходимо разбивать трафик на отдельные запросы, точно и быстро анализировать сессии и, так как мы не блокируем по IP-адресам, внутри соединения с одного IP-адреса определять ботов и людей.

DDoS-атаки остаются одной из наиболее обсуждаемых тем в сфере информационной безопасности. При этом далеко не все знают, что ботовый трафик, который и является инструментом для таких атак, влечет множество других опасностей для онлайн-бизнеса. С помощью ботов злоумышленники могут не только вывести сайт из строя, но и украсть данные, исказить бизнес-метрики, увеличить рекламные расходы, испортить репутацию площадки. Разберем угрозы более детально, а также напомним про базовые способы защиты.

Парсинг

Боты парсят (то есть собирают) данные на сторонних сайтах постоянно. Они крадут контент, чтобы потом публиковать его без ссылок на источник. При этом размещение скопированного контента на сторонних площадках опускает ресурс-источник в поисковой выдаче, что означает сокращение аудитории, продаж и рекламных доходов сайта. Боты также отслеживают цены, чтобы продавать товары дешевле и уводить клиентов. Покупают различные вещи, чтобы перепродать дороже. Могут создавать ложные заказы, чтобы загрузить логистические ресурсы и сделать товары недоступными для пользователей.

Парсинг значительно сказывается на работе онлайн-магазинов, особенно тех, у кого основной трафик поступает с площадок-агрегаторов. Злоумышленники после парсинга цен устанавливают стоимость товара незначительно ниже исходной, и это позволяет им заметно подняться в поисковой выдаче. Туристические порталы тоже часто подвергаются ботовым атакам: у них крадут сведения о билетах, турах и гостиницах.

В общем, мораль проста: если на вашем ресурсе есть уникальный контент, боты уже выехали к вам.

Заметить парсинг можно по внезапным всплескам трафика, а также отслеживая ценовую политику конкурентов. Если другие сайты мгновенно копируют у себя ваши изменения в стоимости — значит, тут скорее всего замешаны боты.

Компания Variti разрабатывает защиту от ботов и DDoS-атак, а также проводит стресс- и нагрузочное тестирование. На конференции HighLoad++ 2018 мы рассказывали, как обезопасить ресурсы от различного вида атак. Если коротко: изолируйте части системы, используйте облачные сервисы и CDN и регулярно обновляйтесь. Но без специализированных компаний с защитой вы все равно не справитесь :)