Pull to refresh

Шантаж 2: спасение от атаки

Reading time 3 min
Views 2.2K
В предыдущей статье я остановился на том, что началась атака на наши сайты. Сразу хочу сказать всем спасибо за помощь и советы.

Мне выпало заниматься только технической стороной дела, все юридические и уголовные моменты взяли на себя другие люди.

В кратце расскажу что у нас 2 проекта подвергшиеся атаке по одной и той же схеме.
Оба проекта на разных хостингах, оба на виртуальных.

Когда началась атака первый проект мы решили сразу перекинуть с виртуального хостинга на выделенный сервер, чтобы взять управление в свои руки. Хостер сказал, что ему нам помочь ну совсем нечем.

Второй проект было решено отдать другому умелому хостеру под защиту. Был произведен обзвон хостеров с целью выяснить, кто возьмется и за сколько. Ник.ру предложил нам свой 301 тариф, и сказал что он включает услуги по защите от Ддоса.

Как только 2й проект переехал на Ник и притянул за собой трафик хостер слегка струхнул и хотел отмазаться :).
«Добрый день.
nginx относится к стороннему ПО, которое пользователь устанавливает на сервер
самостоятельно. Подробная инструкция по установке nginx на наш хостинг имеется
здесь:
forum.nic.ru/showthread.php?t=197»


Пришлось напомнить о чем шла речь по телефону, хостер взялся за дело и сайт худо бедно начал открываться через раз на третий.

Тем временем 1й сайт переехал на ВПС русоникса. Но нам не дают поставить наше ПО:
Сейчас проводятся работы обновление репозитория физического сервера.

Установить пакеты Вы сможете завтра после окончания работ на физическом сервере.

Всего доброго.


День заканчивался неутешительно. Я пишу свой хабратопик, люди начинают давать советы. Практически сразу у меня в аське появляется человек по имени darka на тот момент ему почему-то не нашлось места на хабре ;)

Он предлагает безвозмездную помощь и защиту одного из наших проектов, хочет стать фаерволом между нами и ддос-атакой.
Отмечу, что он был не единственный, кто откликнулся и предложил нам помочь безвозмездно или за деньги.

На следующий день было решено отдать 1й проект висящий на русониксе под опеку darka.

Проект висящий на Нике тем временем перестал открываться. На запрос в Ник ответ был таким:

На данный момент атака на Ваш сайт продолжается (порядка 3560 одновременных
соединений).

Комплексом защиты от атак заблокировано несколько тысяч IP-адресов, с которых
ведется атака.

Однако на данный момент нагрузка на сервер, порождаемая Вашими скриптами, все
еще не позволяет ему функционировать корректно.

Рекомендуем Вам заменить страницы, выдаваемые при ошибках (401, 403, 404, 500),
а также индексный файл Вашего сайта (главную страницу) на HTML (без динамики и
вызова CGI-скриптов).

Понятно, что хостер начал сливаться. Позже он совсем блокирует наш сайт дабы не создавать нагрузку. Становится ясно, тут мы пролетаем.

Тем временем darka борется с атакой на втором фронте, мы ему помогаем делая необходимые настройки на сервере русоникса (к тому времени наконец стало можно).

От хотсера приходит письмо, с ответом на один из наших вопросов, вот его часть:Тем не менее, даже если настроить nginx нормально, то это не решит проблему с такой мощной атакой. Она очень серьезная, зафиксирована даже службой безопасности дата-центра РТКомм. Примерно с 12.05 до 15.25 данная служба даже включала специальный сервис Arbor по очистке нежелательного трафика и это должно было дать эффект. Сегодня уже нами, на корневом физическом сервере была включена фильтрация трафика, которая блокирует доступ с очень интенсивных IP, но даже и это не давало эффект…

На данный момент мы видим, что сайт обрабатывается сторонним сервером:

Мы пишем в руоникс письмо с просьбой не блокировать его айпи как ддосера.

Пятница заканчивается, начинаются выходные, мы понимаем что оба сайта по прежнему в дауне.

Но, ближе к ночи начинает работать через раз 1й сайт, с утра все также, к обеду он доступен полностью. Это darka не отставлял своих попыток нам помочь и добился своего!
Свой метод борьбы он изложил в хабратопике.

P.S. Мы отдали ему под защиту второй проект, уже не за бесплатно. Кроме того, этот человек ищет инвестиции для открытия своей компании по защите от ддос атак + cdn.

P.P.S. на данный момент атака на нас закончена
Tags:
Hubs:
+164
Comments 66
Comments Comments 66

Articles