Пожалуй, самая популярная страшилка для владельцев веб-ресурсов это DDoS-атака. Очень заезженная аббревиатура, которую все чаще можно увидеть в громких заголовках СМИ. DDoS используют в конкурентной или политической борьбе, для разного рода провокаций или просто забавы ради. Почему мы до сих пор не нашли простой и дешевый способ защиты от этой атаки?
В сети есть достаточное количество общепринятых определений и формулировок про DDoS, не будем на этом останавливаться. Я попробую раскрыть суть вопроса на абстрактном примере, который мог бы произойти в реальной жизни. Чтобы не загружать пост, буду давать ссылки на источники, которые для желающих помогут разобраться в вопросе немного глубже.
1. Зачем это нужно?
Накануне 8-го марта все, кто связан с продажей цветов, начинает бурную деятельность. Амбициозный стартапер открывает свой интернет-магазин, который был продуман до мелочей: прекрасный дизайн, великолепный ассортимент, быстрая доставка. Заложен огромный бюджет на рекламу. Всё готово. Единственное, что мешает — сильные конкуренты, которые давно знакомы рынку и, очевидно, заберут большой кусок пирога. Всё, что нужно сделать, это "положить" их сайты на сутки-двое. Да хоть на пару часов.
2. Кто участвует в процессе?
Допустим, владелец новенького цветочного магазина, используя хорошие личные связи, нашел нужного злодея, который готов взяться за дело. Конечный ценник будет зависеть от сложности и мощности атаки. А сложность атаки зависит от готовности конечного провайдера/хостера ее отразить.
Акцент на связи сделан не зря. Велика вероятность того, что нечистоплотный злодей возьмет предоплату и пропадет. Дело то в целом нечистое - жаловаться некому.
У злодея есть база данных зараженных вирусом компьютеров по всему миру. Базу пополняют беспечные пользователи сети, которые нажимали куда-то не туда, открывали что-то не то, да и устанавливали что-то слишком подозрительное. Это "что-то" не дает о себе знать до поры до времени, а значит, не мешает жить. Но когда это необходимо, по воле злодея зараженные компьютеры начинают выполнять особые указания. Сеть из таких компьютеров называется ботнет.
3. Каким бывает DDoS?
Классификация DDoS обширна, останавливаться на ней не вижу смысла. Информации достаточно в сети, она постоянно обновляется и дополняется. Методов организации DDoS много: начиная от написания индивидуальной программы, которая будет учитывать связку и уязвимости ПО хостинга с сайтом, заканчивая банальным выводом из строя канала связи большим количеством бессмысленных запросов.
4. Оборонительные действия.
Условно защиту от DDoS можно разделить на пассивную и активную.
Пассивная защита — это все что делается до атаки. Здесь много факторов: от качества "железа" и ширины канала, до ручного мониторинга контента, который потенциально может быть подвержен атакам.
Из очевидного: есть автоматика, которая умеет блокировать сегменты сети (отдельные IP или подсети), создающие аномальную активность на канале. Собственно, основную ценность составляют алгоритмы, которыми определяется и устраняется эта аномальная активность. У нас такая автоматика есть. По понятным причинам, никто вам не расскажет, как она работает.
Активная защита — это непосредственная работа специалистов по противодействию атаки. Каждый случай DDoS уникален, требует особого внимания и кропотливой работы, такой как: ручная фильтрация трафика, расширение канала, подмена IP-адресов сервисов, поиск и устранение уязвимостей и т.д. Могу вас уверить, когда организован качественный DDoS, для защиты ресурсов поднимается вся команда администраторов, а проблема получает максимальный приоритет.
5. Дополнительная защита и побочные эффекты.
Тут проще воспользоваться форматом FAQ. В процессе обсуждения в комментариях, FAQ будет дополняться.
Вопрос 1:
Поисковик по запросу "Защита от DDoS" знает десятки уникальных предложений. Они мне помогут?
Ответ: Эти услуги подходят для индивидуальной защиты. Если вы не уверены, что атакуют вас, подобный способ защиты не поможет.
Вопрос 2:
Почему вы не обвешаетесь с ног до головы различными защитами и зеркалами? Мы готовы платить больше.
Ответ: uCoz это массовый сервис. На одном сервере живут тысячи сайтов.
Любая умная защита от DDoS приведет к частичному ограничению трафика и к общему снижению скорости отдачи контента. Любая качественная защита - это тонкая настройка ПО, это отдельные специалисты с режимом работы 24/7. Зеркалирование серверов поднимет ценник за услуги в несколько раз и все равно не даст 100% гарантий защиты.
Вопрос 3:
Атакуют не меня, а соседа по серверу. Страдает и мой сайт. Как можно защититься от подобных случаев?
Ответ: Логично будет "избавиться" от соседей по серверу. Например, услуга uCoz VIP для этих целей подходит. Защититься успешно можно только имея выделенный сервер, свой честный широкий канал и хорошего администратора. Однако и в этом случае никто не застрахован от мощного стихийного DDoS, который может вывести из строя магистральный канал связи.
6. Перспективы и ответственность.
Изначально инфраструктура сети не была рассчитана на такую стремительную динамику роста пользователей. Интернет хранит наши персональные данные, в какой-то мере наши материальные, нематериальные ценности. Интернет это неотъемлемая часть современной жизни. Понятно, что вопросы стабильности и безопасности стоят во главе угла и решить их можно только комплексными мерами.
В профессиональном сообществе постоянно обсуждаются методы защиты DNS, возможности и перспективы IPv6, совершенствование программно-аппаратного комплекса в целом. Всё чаще можно услышать истории об оперативных действиях по поиску злоумышленников. За организацию DDoS получают реальный срок.
Ознакомиться с полным циклом можно по ссылке.
-1
Эдакий посыл - не лезьте к нам со своими распределенными серверами и облаками. Для нас дорого и сложно
Хотя, если подумать - мощность магистральных каналов постоянно увеличивается, скорость, предоставляемая локальными провайдерами, тоже не отстает, кол-во устройств, которые могут использоваться в ботнетах, растет в геометрической прогрессии.
Что из этого следует? Правильно - смерть стандартных построений сетей вида сервер-клиент. И в этой ситуации не смотреть в будущее просто преступно.
Трафик должен обрабатываться очень умным фронтэндом, который умеет определять вообще все мошеннические активности, не только DDoS. Сам разграничивает трафик по типу устройств или функциональной значимости, сжимая или вообще ограничивая ненужный на практике трафик. А еще эта вся информация защищена для передачи 3-м лицам, гарантирует сохранность наших личных данных. А самое главное - оно должно всегда работать.
Мы в будущее смотрим, мы - и как представители сервиса и как просто пользователи сети.
Вот эдак вылетел не тот байтик в сеть, и все - бай-бай беби)
ну а если серьезно, посыл статьи ясен - чтобы чувствовать себя хоть как-то защищенным, надо "избавиться от соседей по серверу", т.е., перейти на VIP (п.5 Послания). в противном случае - никаких гарантий от атак... да и при переходе никаких... (тот же пункт)
возможно, я не прав, и цель цикла рассказов совсем другая, но пока видится так
