С одним из моих проектов произошла интересная история, хочу поделиться с Вами, может кому-то она покажется интересной.
Так как мой проект часто пытали DDOS'ом, было решено перевести его под HighLoad Lab, которые бесплатно предоставляют защиту от DDOS-атак.
Все было супер, они проксировали трафик через себя к нам на сервер. У нас на сервере были заблокированы все входящие Ip-адреса, кроме HighLoad'a.
Но в ночь 13-14 ноября сервер стал жутко тормозить, я никак не мог понять почему: нагрузки не было, iptables ничего не принимал, но тормоза были заметны даже при работе в ssh.
Днем сервер упал. Причины я еще не знал, и первое, что мне пришло в голову — старинное ядро slackwar'ы, которое давно не обновлялось. Было решено ехать в Красногорск, в офис Реднета и переставлять систему на свеженький Debian, но все оказалось далеко не так, как я планировал…
Пока я перебирал в уме возможные причины, зазвонил телефон. На проводе был главный администратор krasnogorsk.ru. Он сказал, что случилась авария из-за DDOS-атаки, которая пришлась на время замены оборудования, когда системы защиты и очистки были отключены.
Так как наш сервер стоял у домашнего провайдера, то пострадал в первую очередь клиентский трафик(обычных пользователей интернета)
Атаку заметили на магистральном узле COMCOR'а и отрубили наш IP-адрес. В пике атака достигала 300 мбит/с.
Злоумышленники знали наш старый IP-адрес и атака велась конкретно по нему, в обход систем очистки трафика, и естественно, никакой iptables в режиме block all не поможет.
Сейчас сервер перенесен на неизвестный никому IP, трафик идет через HighLoad Lab, настроили почту вебсервера через Gmail, а все исходящие подключения на загрузку аватарок по ссылкам отключили, так как злоумышленник мог загрузить картинку со своего сервера, и узнать наш новый IP.
Запрос пользователя -> внешний ip антиддос сервера -> система очистки трафика -> их nginx -> очищенный трафик поступает на наш сервер -> nginx -> apache -> и обратно пользователю по этой же цепочке. Самое главное не спалить злоумышленнику реальный IP адрес вебсервера.
Помощь в оформлении и редактировании: as3k
Так как мой проект часто пытали DDOS'ом, было решено перевести его под HighLoad Lab, которые бесплатно предоставляют защиту от DDOS-атак.
Все было супер, они проксировали трафик через себя к нам на сервер. У нас на сервере были заблокированы все входящие Ip-адреса, кроме HighLoad'a.
Проблема
Но в ночь 13-14 ноября сервер стал жутко тормозить, я никак не мог понять почему: нагрузки не было, iptables ничего не принимал, но тормоза были заметны даже при работе в ssh.
Днем сервер упал. Причины я еще не знал, и первое, что мне пришло в голову — старинное ядро slackwar'ы, которое давно не обновлялось. Было решено ехать в Красногорск, в офис Реднета и переставлять систему на свеженький Debian, но все оказалось далеко не так, как я планировал…
Причина
Пока я перебирал в уме возможные причины, зазвонил телефон. На проводе был главный администратор krasnogorsk.ru. Он сказал, что случилась авария из-за DDOS-атаки, которая пришлась на время замены оборудования, когда системы защиты и очистки были отключены.
Так как наш сервер стоял у домашнего провайдера, то пострадал в первую очередь клиентский трафик(обычных пользователей интернета)
Атаку заметили на магистральном узле COMCOR'а и отрубили наш IP-адрес. В пике атака достигала 300 мбит/с.
Почему же не спасли фильтры HighLoad'a ?
Злоумышленники знали наш старый IP-адрес и атака велась конкретно по нему, в обход систем очистки трафика, и естественно, никакой iptables в режиме block all не поможет.
Итог
Сейчас сервер перенесен на неизвестный никому IP, трафик идет через HighLoad Lab, настроили почту вебсервера через Gmail, а все исходящие подключения на загрузку аватарок по ссылкам отключили, так как злоумышленник мог загрузить картинку со своего сервера, и узнать наш новый IP.
Сейчас схема примерно такая:
Запрос пользователя -> внешний ip антиддос сервера -> система очистки трафика -> их nginx -> очищенный трафик поступает на наш сервер -> nginx -> apache -> и обратно пользователю по этой же цепочке. Самое главное не спалить злоумышленнику реальный IP адрес вебсервера.
Помощь в оформлении и редактировании: as3k
