Вокруг DDoS-атак и защиты от них сформировался целый рынок страха, где услуги нередко продаются втридорога, а реальная потребность большинства сайтов в анти-DDoS-решениях сильно преувеличена.
В этой статье я, Григорий Мельников, создатель KillBot, разберу, почему большинство сайтов не нуждаются в дорогостоящей защите и как можно эффективно и недорого обезопасить свой ресурс.
Хостинг отключил сайт из-за DDoS, что именно случилось?
Причина отключения сайта — это огромное количество запросов к определённым URL, чаще всего к статическим файлам (например, изображениям). Например, начинают массово скачивать одну и ту же картинку в сотни потоков:
Именно после таких массовых запросов к файлам наших сайтов хостинг-провайдеры отключают сайт и предлагают подключить анти-DDoS, например, от CloudFlare.
Зачем DDoS-ят именно мой сайт?
Хороший вопрос. У меня как-то раз DDoSили тестовый сайт который вообще без контента, его нет ни в каких каталогах и он вообще нигде не засвечен(!). Одна из возможных причин — сайт попадает «прицепом» в атаку, чтобы замаскировать настоящую цель: часть трафика ботнета направляют на случайные сайты, чтобы запутать системы анализа и затруднить определение основной цели.
Если вы знаете, зачем атакуют такие «нулевые» сайты — поделитесь в комментариях, будет интересно.
Провайдер защищает СЕБЯ - а для нас это бесплатный DDoS
Иначе он бы не был "бесплатным". Речь идёт об атаках DDoS L3/L4 — на сетевом и транспортном уровнях. Цель этих атак — это перегрузить канал или сетевое оборудование ПРОВАЙДЕРА. Такие атаки можно отфильтровать только на стороне провайдера, на уровне хостинга это сделать невозможно. Т.е. провайдеру без специализированного фильтрующего оборудования жить будет сложно.
Таким образом, когда в тарифе написано, что "работает бесплатная защита от низкоуровневых атак DDoS" - это они защищают себя.
Если ваш сайт размещён на хостинге, то такая защита, обычно, уже включена в тариф. При аренде выделенного сервера обязательно смотрите, чтобы защита от DDoS L3/L4 была включена по умолчанию.
Если почитать документацию, например, на рег.ру, и вдуматься, то они так и пишут:
Сайт можно положить загрузив его сервер: или качать статические файлы или делать запросы к нагруженным страницам - типа формы поиска.
Загрузить сервер сайта - это реально, а фильтрующее оборудование провайдера - совсем нет. Защита от DDoS, которая именно фильтрует http запросы к страницам сайта (уровень L7) - это и есть платный DDoS или Web Application Firewall (WAF).
Самый простой способ защиты — поставить перед сайтом страницу верификации, по аналогии с CloudFlare. Эта страница может располагаться на отдельном сервере, она должна принимать на себя все запросы, и пропускать дальше только легитимные. Даже если эта страница будет просто проверять наличие JavaScript у пользователя - это мгновенно отсечёт всех простых HTTP-ботов, используемых для атак.
Как самостоятельно реализовать такой экран защиты: все основные идеи — в моей предыдущей статье на хабре:
👉 https://habr.com/ru/articles/851698/
Насколько мощный нужен сервер для отражения L7-атаки?
Приведу свой пример. К одному проксирующему серверу KillBot подключено множество сайтов. Сервер на Selectel и обходится менее чем в 5000 рублей в месяц. При этом его загрузка — практически нулевая. Даже при DDoS-атаке на один из сайтов, ресурсов он почти не потребляет:
Обычного прокси-сервера с 2 CPU и 2 ГБ ОЗУ вполне достаточно, чтобы отразить атаку, от которой без защиты сайт «упадёт». В Yandex.Cloud такой сервер стоит от 1435 рублей в месяц. Если атака неожиданно усилилась — просто на несколько дней нужно увеличить облачные ресурсы.
Аналог CloudFlare — на своём сервере или в облаке
Чтобы запилить свою страницу верификации не нужен специализированный софт. Уже есть готовые решения - их нужно просто сконфигурировать под себя. Это, например, Apache2, сконфигурированный как реверс-прокси. Такой сервер перенаправляет запросы на основной сайт, при этом можно задавать правила: какие запросы пускать, а какие — блокировать - это и есть воплощение идеи CloudFlare.
Как самостоятельно развернуть полноценную страницу верификации на своем сервере написано тут. По ссылке можно скачать шел скрипт, развернуть у себя на сервере и изучить конфигурацию:
👉 https://killbot.ru/node/31
НЕЙРОСЕТЬ написала мне эту статью на 99%!
Какие именно нейронки использовать и как задавать промт - это последний пост в моем Телеграм канале: https://t.me/KillBotRus
Воронку продаж своего сервиса я покажу в следующем посте
Со скринами из личного кабинета, маркетинговой стратегией и числом обращений. Это будет классный и прокачивающий кейс, поэтому подписывайся на мой Телеграм канал, чтобы не упустить этот интересный материал.
