Рейтинг
0.00

Beget Хостинг

9 читателей, 94 топика

Новый удобный дашборд VPS



Мы регулярно развиваем не только возможности наших VPS, но и дизайн панели управления, поэтому сегодня рады сообщить об обновлении дашбордов.

Теперь вся информация о сервере доступна уже с первого экрана – дашборд стал модульным и состоит из виджетов. Это значит, что все необходимые данные у вас перед глазами, больше не нужно переключаться между вкладками.



Мы обновили дизайн сайдбара и добавили в блок статистики возможность выбрать нужный период. Кроме того, теперь прямо с дашборда можно создать снапшот или купить дополнительный IP-адрес для виртуального сервера.




cp.beget.com/login

Топ-7 параметров, которые влияют на SEO‑продвижение

Сегодня мы решили поделиться информацией по одной из самых животрепещущих тем – SEO-продвижение сайта – и расскажем, как с этим может помочь Бегет.

Давайте разберем, что такое SEO-продвижение, на простом примере. Если вы, находясь в Твери, захотели попробовать лучшую пиццу в городе, то, возможно, введете в поиске «Яндексе» или Google фразу «лучшая пицца в Твери», однако это не значит, что в результатах поиска вы увидите действительно лучшие рестораны. Сначала там будут рекламные объявления, а за ними – те сайты, которые лучше оптимизированы под этот запрос. О SEO-оптимизации мы и поговорим сегодня.

Что вообще такое SEO-продвижение
SEO (search engine optimization) – это комплекс методов, направленных на улучшение позиций сайта, повышение его значимости для поисковых систем с целью увеличения количества трафика, поступающего из поисковых систем. Работы по улучшению самого сайта относятся к внутренней оптимизации, а действия по увеличению его упоминаний в сети – к внешней.

SEO направлено на улучшение качества сайта “в глазах” поисковиков. Такое продвижение используется, чтобы, например, сайт товаров или услуг начал чаще появляться в выдаче поисковиков по запросам конкретных услуг и приводил целевых клиентов на эти услуги.

SEO-продвижение включает:
  • изучение и оптимизацию поведения пользователей на сайте – поведенческие факторы описывают, как часто пользователи открывают сайт, сколько страниц просматривают и совершают ли целевые действия;
  • исправление технических ошибок – дубли контента, некорректная настройка редиректов, низкая скорость загрузки страниц и другие ошибки негативно влияют на эффективность сайта;
  • корректировки под обновленные алгоритмы – алгоритмы поисковых систем постоянно обновляются, поэтому важно уметь перестраиваться и улучшать стратегию продвижения;
  • составление и интеграцию в контент нужного семантического ядра – это набор слов и словосочетаний, отражающих тематику и структуру сайта, который позволяет оптимизировать каждую страницу под конкретный запрос;
  • отслеживание трафика и позиций по целевым запросам – для комплексного анализа сайта следует изучать поисковые запросы и URL‑адреса страниц, после перехода на которые пользователи совершали целевые действия.

Какие показатели влияют на SEO‑продвижение
Uptime
Этот показатель отображается в Яндекс.Метрике и указывает на среднее время бесперебойной работы сервера, то есть доступность сайта. Низкий Uptime негативно влияет на индексацию страниц сайта и поведенческие факторы – никому не понравится, если связь с ресурсом внезапно прервется. Uptime сайта 99,9% обеспечивают провайдеры с дата-центрами повышенной безопасности. Дата-центры Бегет соответствуют стандарту Tier III и обеспечивают Uptime примерно 99,98%.

Скорость загрузки сайта
Время загрузки страниц зависит от внутренней оптимизации и специфики серверной части. Яндекс, Google и другие поисковые системы отдают предпочтение быстрым ресурсам. Идеальным считается время загрузки 0,5 сек. Проверить скорость загрузки сайта можно с помощью PageSpeed Insights, SpeedTest, WebPageTest и других инструментов.
pagespeed.web.dev/
www.speedtest.net/
www.webpagetest.org/

Локализация серверов
География – один из факторов ранжирования сайта: чем дальше располагаются сервера от пользователя, тем длиннее путь, который преодолевают данные. Геолокация серверов отражается на скорости загрузки, поэтому если ваш сайт ориентирован на местных пользователей, нет смысла использовать дата-центр за океаном.

SSL-сертификат
Любое действие в сети – это обмен данными. По умолчанию он происходит посредством HTTP, стандартного, но не защищенного протокола. Защищенным является протокол HTTPS – он обеспечивает конфиденциальность обмена данными, шифруя их с помощью SSL‑сертификата. Поисковые системы относят сайты без SSL‑сертификата к небезопасным. Бегет предлагает пользователям переключать сайты на использование защищенного протокола HTTPS с помощью бесплатного SSL‑сертификата, который зашифрован 256-битным симметричным ключом, автоматически устанавливается и обновляется.

Наличие файла Sitemap
Sitemap – служебный файл, содержащий адреса всех страниц, которые необходимо проиндексировать. XML-карта сайта выполняет функцию навигационных подсказок, помогая роботам ориентироваться среди папок и файлов. Из Sitemap поисковые системы получают информацию о дате, приоритете и частоте обновления страниц.

Важно: Если вы хотите ограничить поисковым системам доступ к контенту, это можно сделать с помощью файла robots.txt. Как и sitemap.xml, robots.txt находится в корне сайта – папке, содержащей все его файлы. Robots.txt может создаваться вручную или автоматически, помогает скрыть от индексации сайты‑зеркала, служебные файлы, страницы с личной информацией и другой контент.

Правильно заполненные метатеги
Эти необходимые для успешной индексации элементы html-кода сообщают поисковикам техническую информацию о странице. Метатеги прописываются после тега и выполняют разные функции: например, Keywords содержит перечень ключевиков страницы, Description – ее описание, а Content-Language указывает на язык документа.

Корректная микроразметка
Микроразметка – это разметка элементов на странице, которая кратко передает ее содержание и помогает увеличить трафик. Микроразметка применяется, чтобы поисковые системы понимали, какой тип контента они обрабатывают. Она удобна для пользователей – например, позволит им увидеть адрес и график работы, цену и характеристики продукции.

Помимо перечисленных выше параметров, на ранжирование сайта влияют и другие факторы – например, качество контента: поисковые роботы ценят оптимизированные под тематические запросы инструкции, экспертные и полезные статьи. Чем чаще на сайте появляются уникальные текстовые, фото- и видеоматериалы, тем выше лояльность поисковых систем. Оптимизировать затраты на SEO-продвижение помогает правильная перелинковка – размещение гиперссылок, ведущих на другие элементы сайта и сторонние ресурсы. Перелинковка ускоряет индексацию сайта, позволяет успешно решать задачи пользователя и облегчить совершение целевого действия.

Важно: Владельцу сайта следует регулярно поддерживать его работоспособность. Если сайт упадет на несколько часов из-за багов в ПО, ошибки кода или плагина, это негативно отразится на ранжировании.

Как видим, на SEO-продвижение влияют многие факторы. Мы бы хотели отдельно остановиться на одном из фундаментальных столпов SEO – Sitemap. Это важный атрибут продвижения, с которым мы решили помочь вам. Недавно мы внедрили в нашу панель управления бесплатный генератор карты сайта, чтобы ваши ресурсы были значимыми для поисковых систем. С помощью удобного генератора можно создать Sitemap в пару кликов.

Генератор Sitemap – полезный инструмент для продвижения сайта, поскольку он создает готовый файл для поискового робота, который объясняет, какие страницы есть, какой на них контент и как их найти. Как все это работает – расскажем дальше.

Обзор генератора карты сайта
Наш генератор позволяет вам создать файл sitemap.xml для того чтобы Google, Яндекс и другие поисковые системы максимально точно индексировали материалы сайта.

Важно: Карта сайта может генерироваться для любого домена, который не является поддоменом и техническим доменом. Кроме того, для создания карты сайта у домена должны быть указаны NS-записи Бегет и корректная A-запись нашего виртуального хостинга.

При создании карты сайта вы можете настроить глубину сканирования и задержку между запросами. Глубина сканирования представляет собой уровень вложенности страниц, которые попадут в карту сайта. Это то, сколько кликов потребуется, чтобы перейти на нужную страницу, начиная с главной. Задержка между запросами отвечает за интервал между открытиями каждой страницы сайта. Чем он больше, тем дольше будет генерироваться карта сайта, но и тем меньше генерация будет влиять на работу ресурса. Если вы хотите ускорить генерацию Sitemap, рекомендуем задать в настройках задержку между запросами, равную 1 сек.

Помимо настройки глубины сканирования и задержки между запросами, в рамках использования генератора карты сайта вам доступны дополнительные параметры.

Если поставить галочку возле пункта «Генерация отдельного документа со всеми адресами страниц вашего сайта», будет сформирован отдельный текстовый документ с адресами страниц, которые попали в сгенерированную карту сайта. Если поставить галочку возле пункта «Электронное письмо со ссылкой на скачивание на почту», то по окончании генерации карты на контактную почту будет отправлено письмо со ссылкой на скачивание файла.

После скачивания карты необходимо добавить файл Sitemap на свой сайт, руководствуясь инструкцией.
beget.com/ru/kb/how-to/services/kak-zagruzit-sitemap-na-moj-sajt

Надеемся, эта статья была для вас полезна!

Чтобы воспользоваться генератором, перейдите в панель управления, добавьте домен и внедрите Sitemap на свой сайт для его индексации поисковыми системами.
cp.beget.com/cloudservices/sitemap

Если у вас возникли проблемы или вопросы по работе генератора карты сайта, мы с радостью вам поможем: свяжитесь с нами любым удобным для вас способом – и получите подробную консультацию.

Бегет VPN – получите свободный доступ к сайтам

Всем привет!

Мы продолжаем развивать наш маркетплейс приложений и сегодня хотим сообщить о новом доступном ПО – Бегет VPN.

Теперь вы сможете создать собственный VPN‑сервер всего за пару кликов.

Возможности нашего VPN:
  • Надежное шифрование данных на транспортном уровне благодаря работе по протоколам IPSec с IKEv2 и L2TP.
  • Подключение к собственному VPN на VPS с любых устройств без установки дополнительного программного обеспечения.
  • Поддержка нескольких пользователей со своими параметрами аутентификации.
  • Отсутствие ограничения трафика и независимость от сторонних ВПН-провайдеров – то есть вы получите собственный готовый к работе ВПН-сервер с полным доступом к нему и без дополнительных компаний, участвующих в предоставлении услуги.

Чем полезен VPN от Бегет
В первую очередь это конфиденциальность. VPN (от англ. virtual private network – виртуальная частная сеть) означает защищенное соединение между пользователем и сервером. При подключении к безопасному VPN весь трафик будет перенаправляться через зашифрованный канал.

Также это доступ к нужным ресурсам из любой точки мира. Это значит, что где бы вы ни находились, у вас всегда будет доступ к нужным сайтам, в том числе и российским.

Как использовать VPN от Бегет
Мы постарались сделать использование VPN максимально простым и понятным. Для запуска собственного сервера необходимо выбрать это ПО в маркетплейсе.

А затем в панели управления воспользоваться одной из инструкций по подключению, которые пошагово описывают, как подключиться с разных устройств.

beget.com/ru/cloud/marketplace

Один API, чтобы править всем



Спешим поделиться свежими новостями от отдела разработки – открываем наш API для облака. В публичный API входит: онлайн-документация, готовые клиенты на трех языках и описание нашего API в формате Open API (Swagger) для генерации собственных клиентов. Публичное API позволяет взаимодействовать с сервисом с помощью программных клиентов (скриптов), которые может создавать любой пользователь Облака для решения своих задач. Благодаря наличию готовых клиентов для трех популярных языков, вы можете начать использование публичного API буквально за считанные минуты.

Наша цель – предоставить пользователям возможность с удобством решать задачи по автоматизации своей инфраструктуры.

Для примера хотим поделиться, как мы внутри используем API.

У нас есть каталог готовых приложений для виртуальных серверов и для обеспечения качества работы этого раздела мы используем большое количество скриптов с целью тестирования ПО перед его публикацией для пользователей.
С помощью API мы автоматизировали развертывание и тестирование всех предлагаемых в маркетплейсе решений.

Для этого очень пригодилась возможность динамически создавать облачный сервер нужной конфигурации с нужными доступами, устанавливать ПО, перезагружать сервер и при необходимости – удалять его.

Очень удобно и экономит кучу времени! =)

Возможности нашего API достаточно широкие, мы убеждены, что и у вас найдется ряд операций, которые давно хотелось автоматизировать.

Вот лишь некоторые разделы и методы API:
  • Автоматическое резервное копирование и снапшоты – вы сможете восстановить сервер и файл/директорию из резервной копии, получить перечень доступных копий и файлов определенной копии, создать и удалить снапшоты, выгрузить их список, восстановить виртуальный сервер из снапшота и узнать историю восстановлений.
  • Маркетплейс приложений – владельцам облачных серверов доступно программное обеспечение и автоматически устанавливаемые готовые решения для проектов.
  • Статистика по серверу – получайте достоверные данные об использовании CPU и оперативной памяти, занятом месте на диске и нагрузке на систему, входящем и исходящем трафике.
  • Управление сетью – создавайте приватную сеть, получайте информацию об IP‑адресах и сетях, заказывайте и удаляйте дополнительный IP-адрес.
  • Управление SSH-ключами – вы сможете выгружать список SSH-ключей, добавлять и удалять их.
  • Управление облачными серверами – с нашим API доступны все необходимые настройки виртуального сервера: вы сможете создавать, запускать, обновлять, перезагружать и удалять VPS-сервер, добавлять и удалять его из приватной сети, включать и выключать rescue-режим, открывать и закрывать доступ к удаленному виртуальному серверу через файловый менеджер.

Итак, публичное API от Beget – это интерфейс взаимодействия с сервисами, который помогает пользователям автоматизировать бизнес-процессы и выступает посредником, передающим информацию из одного сервиса в другой.

Документацию вы найдете здесь.
developer.beget.com/#overview-/v1/vps
Если у вас возникли какие-либо проблемы или вопросы по работе с API или нашими облачными сервисами, мы с радостью вам поможем: свяжитесь с нами любым удобным для вас способом – и получите подробную консультацию.

На этом всё, следите за нашими новостями

Пополнение баланса по QR-коду через СБП

Мы стремимся делать продукт максимально удобным и полезным, поэтому регулярно совершенствуем его.

Сегодня рады сообщить о внедрении нового способа оплаты домена и хостинга – через систему быстрых платежей.



Пользоваться СБП предельно просто – для пополнения баланса отсканируйте QR-код, и нажмите кнопку «Оплатить» в приложении банка.



Обратите внимание: Оплата по QR-коду через СБП недоступна в мобильном приложении Beget.

Главные преимущества платежей через СБП:
  • Отсутствие необходимости вводить реквизиты карты;
  • Безопасность и оперативность зачисления платежей;
  • Доступность в любой день и время.

Что такое СБП?
СБП – это сервис Банка России и Национальной системы платежных карт, который позволяет оплачивать товары и услуги с помощью мобильных приложений банков-участников.

Как подключить систему быстрых платежей?
Если у вас не активированы платежи через СБП, зайдите в мобильное приложение банка, выберите в настройках систему быстрых платежей, а затем подключите отправку переводов по СБП и оплату по QR-коду.

Как быстро будет зачислен платеж через СБП?
Перечисления на счет поступают практически мгновенно, в режиме 24/7. Задержка зачисления может быть связана с ошибкой во время выполнения операции, сбоем в работе конкретного банка или приложения.

Есть ли ограничения по суммам платежа?
Минимальный размер платежа составляет 10 рублей, максимальный – 1 млн рублей.

Какие банки работают с СБП?
С СБП работают более 200 банков, включая крупнейшие (ВТБ, Газпромбанк, Альфа-Банк, Тинькофф, Райффайзен Банк, Сбербанк, Русский Стандарт, Россельхозбанк, Совкомбанк и др.).

DDoS защита пользователей на хостинге: почему это важно для сайта

DDoS и хостинг
Хостинг представляет из себя комплекс, состоящий из внутренней сети (автономной системы), пограничных маршрутизаторов и распределенных каналов связи с различными операторами связи.

Если упрощенно показать это на схеме, то получится следующее:

  1. Операторы связи, обеспечивающие связь сети хостинга с внешним миром
  2. Каналы связи с операторами
  3. Пограничные маршрутизаторы
  4. Каналы связи внутренней сети
  5. Серверы хостинга (например, виртуального)

Целью DDoS-атаки является прекращение доступности какого-либо сервиса, будь то один сайт, сервер или даже целый хостинг. Что такое доступность сервиса? В контексте нашей темы это возможность конечного сервера хостинга получать весь легитимный трафик от пользователей, обрабатывать его за адекватное время и отдавать пользователям ответы. Поэтому для упрощения можно сказать, что мы должны обеспечивать хождение легитимного трафика в направлении 1-5-1.

PS: На самом деле, де-факто наша ответственность перед пользователями не заканчивается на том, что мы отдаем трафик операторам связи, т.к. бывают случаи, что даже при этом ответ до пользователя не доходит, но мы пока оставим эти кейсы за рамками нашей статьи.

Почему хостинг не может взять и полностью передать защиту от DDoS специализированным компаниям?

Передача данных в современной сети Internet построена на многоуровневой архитектуре, где каждый уровень несет свое определенное предназначение. Для передачи данных, используется стек протоколов TCP/IP, который построен по принципу эталонной модели OSI. Концепция этой модели заключается в разбиении процесса передачи данных на уровни, где каждый уровень отвечает за свой функционал.

В случае с DDoS атаками, их принято делить по уровням модели OSI, несмотря на то что стек протоколов TCP/IP состоит всего из 4х уровней.


Сами DDOS атаки происходят только на уровнях L3,L4,L7 по модели OSI.

Для защиты на уровне L3-L4 мы 24/7 работаем через специализированный сервис защиты, который постоянно отбивает сотни атак в день, в последнее время достаточно больших. По объему трафика они приближаются к терабиту. Весь наш трафик поступает к магистральным провайдерам через него.

А что с 7-м уровнем? В случае с хостингом — на 7-м уровне предполагается использование протоколов TLS и HTTPS. Они нужны для защиты передаваемых данных с повышенными требованиями к безопасности.

Соответственно, учитывая все вышенаписанное и отвечая на изначальный вопрос — при атаках на уровне L7, нам было бы необходимо постоянно передавать подрядчику сертификаты пользователей (сотни тысяч сертификатов ежемесячно, десятки тысяч каждый день). Скажем прямо — это не очень удобно и потенциально является дополнительной точкой отказа.

Второй причиной является то, что мы как хостинг-провайдер работаем с очень разнообразными сайтами: на разных фреймворках, с разными правилами маршрутизации, разными куками и т.п… У кого-то на сайте много видео, у кого-то одни картинки, кто-то публикует новости. У кого-то частота запросов большая, у кого-то — маленькая. И так далее. Именно поэтому без понимания нашей специфики неизбежно возникает множество ложно-положительных срабатываний защиты: настроить ее универсально просто невозможно. А объяснять пользователям “Ну вы поймите: мы вас защищали, хотели как лучше, но вот система посчитала ваш трафик невалидным. Простите”, — это не наш метод (хотя и такие кейсы бывают, чего уж там).

Ну и третьей причиной является то, что какая бы хорошая защита не была — она не бывает идеальна. А по-настоящему эффективные средства защиты являются многоуровневыми, работающими в несколько “эшелонов”, каждый из которых работает на своем уровне: от каналов связи, до конечного веб-сервера.

Именно поэтому передать полностью защиту специализированным компаниям будет недостаточно. Не получится “просто заплатить и расслабиться” ????

Как отбиваются атаки
Давайте рассмотрим несколько типов атак и разберем, какие части на нашей схеме в первую очередь станут “бутылочным горлышком”.

UDP/TCP Flood
Это один из наиболее частых видов атак, которые мы отбиваем. Он представляет из себя большой объем трафика, который летит в нашу сторону. Смысл атаки — создать такой объем трафика на входе сети, который, по задумке атакующего, нельзя обработать без отбрасывания валидных пакетов.

Таким образом, на схеме мы можем заметить несколько уязвимых мест:
  • Каналы связи с операторами (2).
  • Пограничный маршрутизатор (3)
  • Операторы связи (1) (сюрприз!)

На графиках с трафиком на границе сети такая атака как правило имеет характерный вид:



В зависимости от силы атаки у нас есть несколько вариантов действий:

А. Забить и ничего не делать
Самый простой вариант. Подходит, когда атака слабая и у нас есть большой запас по каналам связи как снаружи сети, так и внутри сети. В этом случае просто смотрим на самый “узкий” канал связи (как правило, это канал до конечного сервера хостинга(5)) и, если укладываемся в него с кратным запасом, то просто следим и ничего не делаем.

Б. Порезать трафик на пограничном маршрутизаторе
Главный критерий для применения такого способа защиты — остался запас емкости в каналах до операторов связи (2). В противном случае сразу переходим к пункту “В”. Данный вариант чуть посложнее, т.к. тут уже требуется анализ поступающего трафика. Обычно есть смысл обращать внимание на следующие параметры:
  • src/dst IP
  • dst порт
  • протокол
  • длина пакета
  • тело пакета
Для анализа трафика просто отливаем информацию о нем с маршрутизатора при помощи netflow/ipfix или настраиваем port mirroring на сервер с толстым каналом и анализируем трафик вместе с телом пакета на нем.



Чем более “однородный” вредоносный трафик, тем проще его заблокировать без последствий. Часто прилетают атаки на заранее закрытые порты или с 5-10 IP-адресов, или с очень большим размером пакета. Поэтому увидеть закономерность и настроить фильтрацию достаточно просто.

Само-собой, делать это вручную не очень удобно. Поэтому тут подойдут различные системы анализа и визуализации трафика, чтобы было проще и быстрее выявить закономерности. В самом простом случае это связка Prometheus + Grafana с парой дашбордов. Для лучшей аналитики можно использовать что-то вроде Fastnetmon или самописные решения. В идеале нужно добиться того, чтобы правила для блокировки трафика на маршрутизаторе по ряду критериев добавлялись автоматически.

Также не забывайте, что на пограничном маршрутизаторе по умолчанию должны быть закрыты все протоколы и порты, которые не используются для легитимного трафика. Это автоматически отобьет 90% мелких атак =) Например, на виртуальном хостинге у нас практически не используется UDP. Это очень помогает: для всех сетей хостинга можно поставить очень жесткий лимит на объем такого трафика.

В. Бороться с атакой за пределами нашей сети
Если емкости каналов связи с операторами (2) недостаточно, то мы попадаем в ситуацию, когда пакеты валидных пользователей начинают отбрасываться уже на стороне маршрутизаторов операторов связи. В этом случае у нас остается вариант передавать правила для блокировки вредоносного трафика аплинкам через BGP FlowSpec. Выделение и генерацию правил для блокировки производим способом, аналогичным предыдущему методу.

FlowSpec имеет свои ограничения:
  • Не все операторы связи поддерживают эту технологию. А те, кто поддерживает, как правило берут за неё дополнительную плату.
  • Набор правил, которые можно передать, обычно ограничен, и в случае очень сложной распределенной атаки, в которой нельзя выделить явные паттерны, заблокировать весь вредоносный трафик не получится.
В любом случае всегда полезно иметь несколько аплинков с FullView (то есть полной связностью со всеми сетями в интернете), и FlowSpec, которые покрывают весь объем легитимного трафика. В этом случае можно просто отключиться от остальных и передать правила для блокировки нежелательного трафика через них.

Интересный случай: пару раз у нас были атаки, от которых в принципе падали сами операторы связи. Например, в марте, когда после падения (или может быть нас просто отключили?) одного из магистральных операторов в результате DDoS’а на наши сети, мы потеряли связность с Европой. Пользователям это не понравилось, хотя формально мы ничего сами не отключали =)

Г. Blackhole
Наверное, это самый печальный вариант отбития атаки, потому что, по сути, мы просто жертвуем атакуемым ресурсом ради того, чтобы остальные ресурсы продолжили работу. Метод равносилен признанию победы атакующего и единственная его цель — минимизация ущерба для остальных клиентов. Осуществляется через специальное BGP Community у операторов связи. Метод не подходит в случае атаки на множество адресов (например, когда пытаются положить сразу весь хостинг).

К счастью, прибегать к этому методу приходится очень редко.

Атаки на уровне приложения (L7)
Атаки на уровне приложения (в случае с виртуальным хостингом это как правило HTTP(S)-флуд) с одной стороны редко когда приносят глобальные проблемы, т.к. целью атаки почти всегда является конкретный сайт пользователя, конечный сервер хостинга (5), и редко когда мы упираемся в каналы связи. С другой стороны, они происходят, буквально, постоянно и непрерывно, поэтому и средства борьбы с ними должны быть максимально экологичными и универсальными.

Суть атаки заключается в флуде HTTP(S)-запросами к сайту/на ip-адрес пользователя с целью:
  • Превысить лимиты хостинга на количество одновременных запросов/процессорное время с целью спровоцировать отключение сайта. По факту мы видим либо большой объем запросов к сайту, либо запросы к “тяжелым страницам” сайта, генерация которых требует много процессорного времени.
  • Использовать уязвимости в CMS/фреймворках, чтобы выполнить какой-либо произвольный код. Чаще всего так запускают различные майнеры или флудеры (тут у нас появляется интересная тема про исходящие ddos-атаки, о которой мы можем рассказать отдельно).

Методы борьбы с такими атаками достаточно разнообразные:
А. Блокировка подозрительных запросов по-умолчанию
Любой хороший системный администратор знает, что доступ к ресурсам необходимо предоставлять только тем клиентам, которые ожидаются. В пределе это называется “политикой белого списка”: все, что явно не разрешено, — запрещено. Для веб-серверов массового хостинга это чрезмерно жесткая мера, но и свои “списки” у нас тоже есть.

Так, например, мы по умолчанию блокируем запросы от уникальных User-Agent, которые были замечены в массовом флуде, блокируем ряд ботов и сканеров, которые ведут себя неадекватно: не считают нужным смотреть robots.txt, ходят по сайтам в несколько потоков и прочими способами увеличивают нагрузку на сервер, не принося никакой пользы. Таких ботов в интернете довольно много и список постоянно расширяется.

Также иногда на длительное время блокируются целые подсети, с которых практически нет легитимного трафика, но зато есть массовые автоматические запросы: привет друзьям из поднебесной и сопредельных стран!

Как ни странно, без этих мер, количество паразитных запросов к серверам было бы просто огромным. Зачастую различные сканеры работают по принципу: если сервер что-то вменяемое ответил, то начинаем активно его исследовать; иначе — просто забиваем на него на некоторое время и прекращаем запросы. Поэтому, по нашей практике, если вы начали отвечать на мусорные запросы — дальнейший их поток будет только возрастать.

Б. Слежение за процессами пользователей (MCPU)
Зачастую проблемы на сервере может создать не миллион http-запросов к одному сайту, а всего пару десятков, но очень “точных”. К таким запросам относятся различные уязвимые страницы на сайте, скрипты (как правило, в админках/плагинах), которых при определенных входных данных начинают “творить дичь”: уходить в бесконечные циклы с запросами к БД, генерацию превьюшек из полноразмерных картинок товаров, сбросу кеша. В конце концов, есть множество уязвимостей, результатом эксплуатации которых будет майнер крипты, работающий от вашего имени на хостинге (и, к сожалению, майнить он будет не в ваш кошелек).

В итоге сервер загибается под бесполезной нагрузкой.

Бороться с этим достаточно сложно, если мы не хотим вводить драконовские ограничения на время выполнения скриптов пользователей или потребляемое CPU.

Мы пошли по пути активного мониторинга процессов на сервере. У нас есть свой демон на Rust, который постоянно следит за всеми процессами пользователей и имеет постоянно пополняющийся набор правил для выставления ограничений (вплоть до убийства), для тех процессов, которые мы считаем неуместными. Он умеет смотреть на:
  • Различные атрибуты процесса (uid, gid, cmdline, cgroup и т.п.).
  • Объем потребляемой памяти.
  • Затраченное процессорное время.
  • Содержимое исполняемого файла.
В случае совпадения, в зависимости от конкретной задачи, он может выполнять различные действия:
  • Логирует событие (для дальнейшего анализа).
  • Убивает процесс.
  • Помещает в cgroup с заданными параметрами.
  • Настраивает OOM Killer для этого процесса.
  • … любое другое действие, которое нам потребуется.
Вот кусочек такого конфига:
# kill all binaries with miner cmdline patterns
- match:
    - proc.group: newcustomers
    - proc.exe: ^/home/\w/\w+/
    - proc.cmdline: zcash\.flypool\.org
  action:
    - log
    - kill
    - last

Иногда пользователи добровольно хотят запускать валидный процесс convert для того же самого ресайза картинок в своих интернет-магазинах. Как правило, он хочет потреблять довольно много ресурсов и надо, с одной стороны, дать ему выполниться, с другой стороны, — не мешать другим пользователям:
- match:  
    - proc.group: newcustomers
    - proc.command: convert
  action:
    - log
    - adjust_oom: 1000
    - cgroup:
            name: convert
            memory:
            memory.limit_in_bytes: 40543505612 # лимит памяти по умолчанию для других процессов меньше
            memory.move_charge_at_immigrate: 0
            blkio:
            blkio.weight: 100
    - last

Помимо прочего этот демон выставляет нужные нам cgroup для ряда служебных процессов в случае их появления.

В. Анализ и слежение за запросами к сайтам в реальном времени
Безусловно, выявить зловредные запросы только по атрибутам вроде User-Agent или характерного URL невозможно: часто флудят вполне валидными на вид запросами к разным страницам с разными адресами.

Чтобы работать с такими атаками можно использовать несколько уровней защиты:

На сервере (5)
Полезно будет анализировать лог входящих запросов, искать подозрительные паттерны, характерные тайминги и автоматически выставлять ограничения/rate-limit для тех src ip, user-agent, которые кажутся нам подозрительными. Подойдет против простых атак, которые может переварить сервер без ущерба для остальных. Но на самом деле простых атак —большинство и именно на этом уровне выполняется большая часть блокировок.

Внутри сети (4)
Если сервер не справляется, то уместно будет проксировать трафик к сайту/серверу через специальные серверы, которые могут переварить множество tls-хендшейков и отделить невалидные запросы от валидных, и выполнить еще какую-либо дополнительную фильтрацию. На сервер при этом прилетает уже только валидный HTTP-трафик. Подойдет, если флуд состоит из множества невалидных https-запросов и атака нацелена на перегрузку CPU.

В качестве заключения
Увы, нет какого-то единственно верного способа защитить всех, навсегда и от всего.

Нельзя ни делегировать защиту на подрядчика (по крайней мере полностью), ни настроить 1 раз правила фильтрации.

Более того, под DDoS порой попадают даже самые безобидные сайты, а общий объём атак поистине огромен и в последние месяцы их интенсивность только возрастает.

По сути, ключевой способ защиты для любого хостинга — это накопленная экспертиза админов, которые систематизируют и внедряют защиту: где-то с помощью внешних решений, где-то с помощью “креатива и творчества” — например, иногда полезно вместо закрытия соединения отправить в ответ пару килобайт мусора, чтобы атакующая вас взломанная веб-камера надолго уходила в раздумья перед тем, как отправить следующий запрос =)

Благодаря всему этому пользователи хостинга чувствуют последствия атак лишь изредка.

Да пребудет с нами аптайм!
beget.com/ru

Beget 13 лет!



Мы обещаем продолжать развиваться, делать для вас лучший хостинг для ваших проектов и помогать в любом вопросе, когда мы вам нужны.
Спасибо за то что вы с нами!

Мы как никто другой заинтересованы в том, чтобы ваши проекты росли и развивались вместе с нами, поэтому решили предложить специальные условия на наши ключевые продукты.

Итак, что мы предлагаем:
— Всем пользователям виртуального хостинга — 13% скидка при пополнении баланса на год или два года по любому тарифу;

— Всем пользователям Виртуального хостинга, кто давно хотел прокачать свои проекты по мощности, а также всем нашим пользователям ВПС мы предлагаем — 25% скидку на приобретение новой VPS на данные конфигурации:

Обновление тарифных планов виртуального хостинга

Сегодня мы хотим рассказать об изменениях в наших тарифах на виртуальном хостинге.

В текущей экономической ситуации мы столкнулись с кратным ростом стоимости оборудования, увеличением цен на услуги ЦОДов и операторов связи, существенно усложнилась логистика, а также сильно подорожали услуги у наших ключевых партнеров.

Мы убеждены, что предоставление качественных услуг хостинга неразрывно связано, в том числе, с использованием надежных комплектующих, современного оборудования и проверенных поставщиков.

В связи с этим, для сохранения качества наших услуг на высоком уровне, мы пришли к решению пересмотреть наши тарифы.

Изменения коснулись увеличения дискового пространства и ценовой политики.

Новая тарифная сетка:


Новые условия вступают в силу 1 июня 2022 года в 00:00 часов по МСК.
Все средства, внесенные на баланс аккаунта до 1го июня, будут расходоваться по старому тарифу до их окончания.

beget.com

Облачные базы данных в Beget



Мы снова к вам с продуктовыми новостями, и в этот раз обновление масштабное!

Рады сообщить, что запустили новый продукт: Cloud DBaaS (Data Base as a Service). Это наш первый шаг в развитии облачной платформы под кодовым названием «Облако». Зашифровали специально, чтобы никто не догадался.

Cloud DBaaS — это полноценный сервис, при создании которого вы получите сервер с установленной и настроенной базой данных.

Это значит, теперь вы можете создать свой личный облачный MySQL-сервер и использовать его в проектах без необходимости самостоятельной установки и настройки сервера БД на VPS или выделенном сервере. Всё необходимое для подключения и управления сервером БД будет доступно в удобном интерфейсе Панели управления.



Наши облачные БД обладают необходимым набором ПО для запуска сразу с момента создания:
  • MySQL версии 5.7 или 8 (версию можно выбрать при создании)
  • phpMyAdmin, доступный из браузера по техническому домену, который выделяется при создании облачного сервера
Зачем вам облачная БД?
Допустим, у вас уже есть виртуальный хостинг или VPS, созданные в Beget (мы очень надеемся, что есть). При этом ваш проект предполагает большую интенсивность обращений к БД или имеющаяся БД сильно выросла и занимает существенную часть диска. В такой ситуации сервер с облачной базой данных поможет распределить нагрузку и продолжать расти.

Вместе с сервером вы получите:
  • Наше администрирование и поддержку
  • БД, готовую к работе сразу после нажатия на кнопку “Создать”
  • Бесплатные бэкапы (временно доступны только по запросу в техническую поддержку, скоро сделаем в интерфейсе ПУ)
  • Автоматическое объединение в приватную сеть с ранее созданными у нас VPS
  • Возможность выбора необходимого тарифа с нужным количеством мощностей
  • Максимальное удобство в создании и управлении
И это только начало!
В перспективе мы видим «Облако» как большую функциональную платформу, с помощью которой можно будет создавать проекты под любые задачи. В ближайшее время планируем запустить и другие облачные сервисы — скоро всё сами увидите!

При создании нового сервиса мы следовали нашему неизменному правилу — делать просто и понятно. Интерфейс управления разработан таким образом, что все необходимые настройки доступны из панели управления в пару кликов.

Интуитивно и удобно, как всегда!
cp.beget.com/login

Предустановка Big Blue Button и Hestia

У нас для вас свежие продуктовые новости — мы обновили раздел «Готовые решения» для VPS и добавили новое ПО, которое поможет нашим пользователям в работе с сервером и в работе не с сервером


Обо всём по порядку
Мы всегда стремимся делать продукт максимально простым, удобным, полезным и главное — полноценным для решения задач, стоящих перед пользователями.

Исходя из этого, мы решили проапдейтить доступное к установке на VPS ПО следующим образом:

Теперь в панели управления есть возможность установить Hestia CP автоматически.


Это бесплатная и, что немаловажно для всех нас, open source панель управления, которая пришла на смену Vesta.

К сожалению, Vesta перестала обновляться, а Hestia это форк Vesta, который может работать под Ubuntu 20.04 и который активно поддерживается своими разработчиками.

Она позволяет осуществлять управление сервером, и размещение веб-приложений на нём без специальных знаний.

Чтобы подробнее познакомиться с HestiaCP, можно использовать demo-версию панели.

Теперь в панели управления есть возможность установить Big Blue Button автоматически.


BBB — это бесплатная платформа для проведения вебинаров, онлайн-занятий, онлайн-консультаций и видеоконференций. Demo-версия доступна по ссылке.

Официальная страница продукта. bigbluebutton.org
Мы протестировали эту платформу и ответственно можем заявить, что она отлично подойдёт в качестве бесплатной альтернативы Zoom.

Данная платформа изначально предназначена для учителей и студентов, но по своей сути она даёт огромные возможности для любых категорий пользователей и предоставляет им:
  • Возможность общаться прямо из браузера;
  • Возможность загружать документы и презентации для совместной работы и обсуждения;
  • White Board с возможностью коллективной работы и комментирования;
  • Отдельные “комнаты отдыха” для неформального общения;
  • Возможность настроить разрешение видео в соответствии с пропускной способностью Wi-Fi канала;
  • Возможность проводить быстрые опросы;

BBB прекрасно работает под нагрузкой и отлично работает с мобилок, мы проверили и рекомендуем ее вам.
Обратите внимание!
Для VPS, при создании или переустановке которых было выбрано дополнительное ПО HestiaCP или BigBlueButton, будет автоматически создан технический поддомен вида mysubdomain.beget.app.
Это домен, куда автоматически ставится Hestia CP или BBB, и на нем сразу будет Let’s encrypt SSL сертификат.
Этот домен создается сам, из коробки, и позволяет сразу пользоваться выбранным ПО.
cp.beget.com/vps/create