TimeWeb Хостинг

Ваши итоги года и конкурс сторис
27 декабря 2023 г.

Новогодний дайджест к нам приходит… Пройдёмся галопом по главным релизам 2023
timeweb.cloud/blog/digest-2023
22 декабря 2023 г.

Встречайте Cloud Apps
18 декабря 2023 г.

Ноябрьский дайджест. Плавающие IP, брокер сообщений RabbitMQ и дедики in Moscow
timeweb.cloud/blog/digest-november-2023
13 декабря 2023 г.

Новые правила для хостеров: саммари
09 декабря 2023 г.

Полноценная почта в ваших руках
08 декабря 2023 г.

Новые расширения для PostgreSQL
29 ноября 2023 г.

Фотки с Хайлоада: День первый
28 ноября 2023 г.

Поднимаем выплаты багхантерам — до полумиллиона
24 ноября 2023 г.

Черная пятница 2.0
24 ноября 2023 г.

Новый сервис — Плавающие IP
22 ноября 2023 г.

​Новый раздел «Сети»
17 ноября 2023 г.

По 3 апдейта в базах и файрволе, плюс парочка других
16 ноября 2023 г.

Октябрьский дайджест: 1 локация в образах, 3 апдейта в DBaaS и 4 жирных кейса
timeweb.cloud/blog/digest-october-2023
14 ноября 2023 г.

Удваиваем скидку при пополнении баланса в черную пятницу
10 ноября 2023 г.

Мы шестые в рейтинге SLA
09 ноября 2023 г.

Как мы переписали панель управления и перешли с PHP на React
09 ноября 2023 г.

Новые графики в Kafka
08 ноября 2023 г.

RabbitMQ как сервис
07 ноября 2023 г.

Добавили поддержку cloud-init в Terraform
02 ноября 2023 г.

Digest as a Product: как рассказывать про новые фичи регулярно, много, френдли — и без подвигов
01 ноября 2023 г.

Топ статей про Windows
27 октября 2023 г.

Просмотр почтовых вложений
26 октября 2023 г.

Делимся продуктовым роадмапом Клауда
18 октября 2023 г.

А вот и лучшие гайды сентября
16 октября 2023 г.

Сентябрьский дайджест. Базы данных Kafka и OpenSearch, балансировщики в Польше и свой логин в панели
timeweb.cloud/blog/digest-september-2023
11 октября 2023 г.

Добавили SDK для нашего API
11 октября 2023 г.

Kafka и OpenSearch в базах данных
09 октября 2023 г.

Письма в Telegram, общие контакты и другие обновления в почте
28 сентября 2023 г.

Изменение логина в панели
27 сентября 2023 г.

Как работает CRM-маркетинг Клауда и зачем нам CDP
21 сентября 2023 г.

Топовые туториалы августа
15 сентября 2023 г.

Новый роутер Juniper MX480 в инфраструктуре Timeweb Cloud
14 сентября 2023 г.

Августовский дайджест. GPT в тикетах, Cloud-init в VDS и PostgreSQL 14 в DBaaS
timeweb.cloud/blog/digest-august-2023
08 сентября 2023 г.

Добавили cloud-init для ВМ
07 сентября 2023 г.

Good News в Load Balancers
05 сентября 2023 г.

Хранилище MinIO теперь в маркетплейсе
05 сентября 2023 г.

Новая подборочка статей
01 сентября 2023 г.

Подписаться на релиз новой локации
31 августа 2023 г.

TimewebGPT теперь и в тикетах
31 августа 2023 г.

Как работает команда разработки Клауда
29 августа 2023 г.

Есть уикенд — есть время почитать
25 августа 2023 г.

Большой апдейт CLI
24 августа 2023 г.

Пиши, помогай, получай деньги. Приходите к нам писать гайды по девопсу и разработке
24 августа 2023 г.

Ещё две фичи в «Приватных сетях»
21 августа 2023 г.

Много полезных букв для разрабов на грядущий уикенд
18 августа 2023 г.

Добавили в базы данных поддержку PostgreSQL 14
16 августа 2023 г.

Кое-какая обнова в «Приватных сетях»
14 августа 2023 г.

Июльский дайджест. VPC, кластеры DBaaS, оплата по СБП и архитектура numad
timeweb.cloud/blog/digest-july-2023
10 августа 2023 г.

Продолжаем оптимизировать и рефакторить код
09 августа 2023 г.

+4 апдейта в DBaaS
08 августа 2023 г.

Еще одни выходные с Линуксом
04 августа 2023 г.

Продуктовый роадмап — что планируем выкатить в августе
03 августа 2023 г.

​Пополнили Terraform приватными сетями — но не только
02 августа 2023 г.

Большой апдейт DBaaS: кластеры, пользователи и их права
31 июля 2023 г.

Научились переносить к себе огромные бакеты S3
25 июля 2023 г.

Этот уикенд посвящаем Линуксу
21 июля 2023 г.

Внедрили систему быстрых платежей
20 июля 2023 г.

Внедрили numad и увеличили производительность
19 июля 2023 г.

Аптайм панели = 100%
18 июля 2023 г.

Поддержка образов ISO
18 июля 2023 г.

Гоу читать про Go
14 июля 2023 г.

Адаптив страницы заказа сервера
14 июля 2023 г.

Добавили Load Balancer и Firewall в Terraform
13 июля 2023 г.

О, кто-то вошел в ваш аккаунт. Это вы?
10 июля 2023 г.

Статьи за июнь — полезное чтение на этот уикенд
07 июля 2023 г.

Июньский дайджест. Timeweb Mail, English Interface & Good UX
timeweb.cloud/blog/digest-june-2023
06 июля 2023 г.

Поженили Firewall с DBaaS и Load Balancer
06 июля 2023 г.

VPC: Virtual Private Cloud as a Service
05 июля 2023 г.

Progress bar: бэкап создан… на 43%
04 июля 2023 г.

Лучшие гайды по Kubernetes
30 июня 2023 г.

Новая версия CLI — 2.3.0
29 июня 2023 г.

Нормально так прокачали раздел с уведомлениями
29 июня 2023 г.

Инсайдерская инфа. Делимся продуктовым роадмапом Клауда
27 июня 2023 г.

Некритичная ошибка в QEMU на Ubuntu 22.04
26 июня 2023 г.

Топовые гайды по MongoDB
23 июня 2023 г.

Системная тема при первом входе в панель
22 июня 2023 г.

Управление активными сессиями
21 июня 2023 г.

Английский интерфейс в панели
20 июня 2023 г.

Новости дедиков: снижение цен и новые конфиги
19 июня 2023 г.

Топ-5 статей по Redis
16 июня 2023 г.

Обновили CLI — до версии 2.2.0
15 июня 2023 г.

Обновления облачного файрвола
14 июня 2023 г.

Timeweb Mail. Новый, красивый и летает
08 июня 2023 г.

Майский дайджест. TimewebGPT, шифрование паролей + UX-обновы
timeweb.cloud/blog/digest-may-2023
08 июня 2023 г.

Гибкий конфигуратор — теперь во всех локациях
07 июня 2023 г.

TimewebGPT. Уже в панели
07 июня 2023 г.

Подружили Терраформ с кластерами k8s
05 июня 2023 г.

Минутка спорта
04 июня 2023 г.

Опасная уязвимость в Битриксе
03 июня 2023 г.

Топ-5 статей по PostgreSQL
02 июня 2023 г.

Храним ваши пароли в зашифрованном виде
29 мая 2023 г.

Лучшие инструкции по работе с MySQL
26 мая 2023 г.

Таймвебу сегодня 17 лет
25 мая 2023 г.

Root-пароль от сервера — теперь в панели
25 мая 2023 г.

Новая версия Терраформа уже на проде
18 мая 2023 г.

Закрытые порты — на дашборде
17 мая 2023 г.

Апрельский дайджест. Обновления в DBaaS — большие и маленькие
timeweb.cloud/blog/digest-april-2023
12 мая 2023 г.

Локальная сеть в Польше
12 мая 2023 г.

Timeweb Cloud CLI — версия 2.0.0
07 мая 2023 г.

Создание облачных серверов оптом
04 мая 2023 г.

Базы данных: новые параметры и их сброс в один клик
03 мая 2023 г.

Обновили бэкапы в DBaaS
29 апреля 2023 г.

Обновили Terraform: Версия 1.4.0
28 апреля 2023 г.

Новая локация DBaaS — Польша
27 апреля 2023 г.

Встречайте CLI — версия 1.3
26 апреля 2023 г.

Умный поиск в выпадающих списках
18 апреля 2023 г.

Группа компаний Timeweb на BIZONE Bug Bounty
14 апреля 2023 г.

Мартовский дайджест. Terraform, дата-центр в Нидерландах, файрвол и пара Good UX фич
timeweb.cloud/blog/digest-march-2023
14 апреля 2023 г.

Чтобы отключить коды, введите код
13 апреля 2023 г.

Два обновления в провайдере Terraform
07 апреля 2023 г.

Улучшили логику создания пароля при регистрации
06 апреля 2023 г.

Обновили CLI
05 апреля 2023 г.

Новая страница «Пригласи друга»
04 апреля 2023 г.

Вошли в топ-5 облачных провайдеров России
31 марта 2023 г.

Запустили FWaaS: файрвол как сервис
31 марта 2023 г.

Новый раздел с настройками уведомлений
29 марта 2023 г

Вышла новая версия CLI
29 марта 2023 г.

Новая версия Terraform-провайдера
23 марта 2023 г.

Удаление сервисов через API — без кодов в Телеграме
21 марта 2023 г.

Пинг до дата-центра
20 марта 2023 г.

Образы сервера: два больших обновления
17 марта 2023 г.

В маркетплейсе ПО появились категории
15 марта 2023 г.

Вход в панель по емейлу
14 марта 2023 г.

Управляйте облаком с помощью Terraform
11 марта 2023 г.

Февральский дайджест. Прокачали образы сервера, дополнили API, выкатили CLI, записали два подкаста
timeweb.cloud/blog/digest-february-2023
10 марта 2023 г.

Облачные серверы в Нидерландах
10 марта 2023 г.

Добавили IPv6 для серверов в Польше
03 марта 2023 г.

Пуш-уведомления об операциях в Телеграм
02 марта 2023 г.

Выкатили первую версию CLI
28 февраля 2023 г.

Новый функционал образов сервера
27 февраля 2023 г.

Про роль девопса, будущее профессии и ChatGPT
26 февраля 2023 г.

Управляйте своей почтой через новые методы API
25 февраля 2023 г.

Статусы в списке серверов
24 февраля 2023 г.

Как устроены процессы в Amazon и Google
17 февраля 2023 г.

Еще два обновления в нашем API
16 февраля 2023 г.

Январский дайджест. Public API, новосибирские серверы, резидентство в Сколково и три подкаста
timeweb.cloud/blog/digest-january-2023
10 февраля 2023 г.

На сайте вышла первая инструкция от нашего читателя
07 февраля 2023 г.

Держим в курсе развития API
06 февраля 2023 г.

Выделенные серверы в Европе
03 февраля 2023 г.

Обновили график оперативной памяти на дашборде
02 февраля 2023 г.

Иконки стран в списках облачных серверов
31 января 2023 г.

Чаевые поддержке — с баланса аккаунта
27 января 2023 г.

Выпуск про wellness-приложения
27 января 2023 г.

Timeweb Cloud и Neoflex объявили о начале стратегического партнерства
26 января 2023 г.

Загрузка образов в Google и Яндекс Диск
25 января 2023 г.

Добавили серверы в Новосибирске
22 января 2023 г.

Мы стали резидентами Сколково
21 января 2023 г.

Подкаст с дизайнером про дизайн
20 января 2023 г.

Мы снова в топе CNews
На этот раз мы заняли 4-е место и обошли VK, Yandex Cloud и Selectel!
19 января 2023 г.

Апгрейд раздела с историей входов
17 января 2023 г.

Первый выпуск нового сезона подкаста — уже на Ютубе
13 января 2023 г.

Запустили Public API
11 января 2023 г.

Раздел «Инструкции» на сайте
06 января 2023 г.

Новогодний дайджест. Вспомним всё за 2022 крупными мазками
timeweb.cloud/blog/digest-2022
29 декабря 2022 г.

Панель переехала на брендовый домен
timeweb.cloud/my — основной адрес панели: теперь вы попадете именно на него, если зайдете в панель с сайта или по старому домену.
my.timeweb.cloud — дополнительный адрес, который редиректит на основной: его удобно вбивать в адресной строке.
Старый домен vds.timeweb.ru будет работать еще несколько месяцев, чтобы у вас было время привыкнуть.
26 декабря 2022 г.

Дайджест за ноябрь–декабрь. Серверы в Алматы, образы, переход на React и спецвыпуск подкаста
timeweb.cloud/blog/digest-november-december-2022
23 декабря 2022 г.

Добавили образы сервера
21 декабря 2022 г.

Новостной выпуск подкаста уже на канале
16 декабря 2022 г.

Облачные серверы в Казахстане
13 декабря 2022 г.

Панель на чистом React
03 декабря 2022 г.

Октябрьский дайджест. Создание DBaaS за 30 секунд, история авторизаций и новые ОС
timeweb.cloud/blog/digest-october-2022
18 ноября 2022 г.

Новая линейка тарифов облачных серверов
31 октября 2022 г.

История входов в аккаунт
27 октября 2022 г.

Заявки на сетевые диски
25 октября 2022 г.

Сентябрьский дайджест. Базы данных NoSQL, личная сеть и новый UX в панели
timeweb.cloud/blog/digest-september-2022
14 октября 2022 г.

Облачные базы Redis
19 сентября 2022 г.

Вебинар «Деплой Docker-приложений через Ansible»
19 сентября 2022 г.

Дайджест за июль–август. Редизайн панели, эфиры Cloud Talks и новые фичи «под капотом»
timeweb.cloud/blog/digest-july-august-2022
16 сентября 2022 г.

Новый домен Timeweb Cloud и облачные базы данных Redis
Переехали на новый домен timeweb.cloud
15 сентября 2022 г.

Автоматический отложенный платеж
05 сентября 2022 г.

Завершили редизайн панели управления
02 сентября 2022 г.

Вебинар «Методы защиты от DDoS-атак»
01 сентября 2022 г.

1 млн серверов в облаке Timeweb Cloud
26 августа 2022 г.

Cloud Talks: Карьера в IT
23 августа 2022 г.

Пользовательские иконки для VDS и поиск по сайту Timeweb Cloud
11 августа 2022 г.

Cloud Talks: Просто про Kubernetes
09 августа 2022 г.

Мы в рейтинге CNews
05 августа 2022 г.

Улучшения для выделенных серверов и обновления интерфейса
27 июля 2022 г.

Заказ выделенных серверов из панели, поиск по базе знаний и маркетплейсу
14 июля 2022 г.

Июньский дайджест. Что нового в панели управления, на сайте и «под капотом»
timeweb.cloud/blog/digest-june2022
04 июля 2022 г.

Проекты и новая база знаний
23 июня 2022 г.

Привязка собственных доменов к бакетам в S3, отключение доступа к БД по публичному IP и другие изменения
02 июня 2022 г.

Timeweb Cloud на Highload++ 2022
16 мая 2022 г.

Конфигуратор облачных серверов и обновления блога Timeweb Cloud
12 мая 2022 г.

Kubernetes и поддержка Virtual Hosted для S3
19 апреля 2022 г.

Объектный менеджер S3, улучшения почты и обновленный раздел «Есть идея»
01 апреля 2022 г.

Изменение стоимости услуг Timeweb Cloud
31 марта 2022 г.

Темная тема, оплата с иностранных карт и обновленный раздел почты
15 марта 2022 г.

AlmaLinux, отложенный платеж и обновленный раздел помощи
24 февраля 2022 г.

Подсветка кода, комментарии, соцсети для входа и регистрации и другие обновления
03 февраля 2022 г.

Конфигуратор выделенного сервера, новые инструкции для подключения к S3 и другие изменения
19 января 2022 г.

Поддержка методов для работы с Multipart Upload, добавление RSS feed и другие обновления
31 декабря 2021 г.

Хранилище S3, тариф балансировщика за 99 рублей и другие изменения
16 декабря 2021 г.

Получили топовые процессоры и поставили их в дедики. Родились 4 новые конфигурации.

Первая на базе Intel Xeon W7-3455. Имеет 24 ядра и 48 потоков — максимальная частота 4.8 ГГц. Внутри 256 гигов оперативки DDR5 и два NVMe по 2 терабайта в каждом. Стоимость — 50 200 рублей в месяц.

Вторая — с AMD Ryzen 9 7950X3D. 16 ядер, 32 потока и потолок частоты в 5.7 ГГц. Память 128 Гб DDR5 и 2 NVMe по терабайту. Можно арендовать за 27 200 в месяц.

AMD EPYC 9654 внутри третьей. Сейчас будет рекорд — 192 потока, 96 ядер и частота до 3.7 ГГц. Планки DDR5 на 256 гигов и два гигантских диска NVMe на 4 терабайта. Стоимость соответствует — 91 600 в месяц.

И, наконец, Intel Xeon Gold 6448Y. В нем 64 ядра, 128 потоков, частота до 4.1 ГГц, DDR5 на 512 Гб и 2 х 8 Тб NVMe. Цена 126 400 в месяц.

Все сборки доступны и в Москве и в Питере, цена одна. Просто выбираете понравившуюся, оформляете заказ, и через час — она ваша. А по запросу сделаем кастомный конфиг — всего за день.

timeweb.cloud/my/registration

С 25 июня 2024 года мы изменим стоимость и характеристики тарифов. Об изменениях рассказываем ниже.

Главное:


О новых характеристиках тарифов:

• Увеличились количество сайтов – это значит, что вы сможете перенести к нам еще больше своих сайтов, или создать новые без смены тарифа на более дорогой.
• Увеличилось дисковое пространство внутри тарифа, а значит, ваши сайты могут занимать больше места без потребности перехода на другой тариф.
• Увеличились лимиты нагрузки на базы данных и на процессор, теперь большие нагрузки будут проходить незаметно для работы сайтов.

До конца оплаченного периода цена тарифа останется прежней, а после – начнет действовать новая.

Если вы хотите сохранить стоимость старого тарифа, вы можете оплатить сразу на год или даже несколько лет вперед, и для вас цена останется прежней до конца этого срока.

Вернули возможность оплачивать сервисы Клауда иностранными картами, выпущенными в странах СНГ: Казахстане, Армении, Азербайджане, Кыргызстане, Таджикистане, Туркменистане и Узбекистане.

Как это работает

• На странице пополнения баланса выбирайте «Иностранной банковской картой» → «Перейти к оплате». Вы попадете на страницу платежного шлюза.
• Там уже будут ваши логин и сумма к оплате, сконвертированная в тенге. На этом этапе потребуются только реквизиты вашей карты для проведения платежа.

Платежи зачисляются на баланс так же быстро, как и при оплате из РФ.
timeweb.cloud

У нас три новости

Первая — в панели появилась отдельная страница, посвященная поиску багов. Если вы профессиональный багхантер, на странице вы найдете грейды багов и выплат, и увидите ссылку на БагБаунти-платформу. Если вы просто нашли баг в панели или на сайте, теперь сможете передать его нам через специальную форму там же — за спасибо
timeweb.cloud/my/bug-bounty

Вторая. Мы решили увеличить выплаты по БагБаунти в два раза на постоянной основе. Теперь за небольшие баги вы сможете заработать до 7,5к рублей, а за самые критичные — до полумиллиона.

Чтобы начать зарабатывать на багах, регистрируйтесь на платформе BI ZONE Bug Bounty и присоединяйтесь к нашей программе. Кстати, по размеру вознаграждений мы занимаем 4 место и уже выплатили багхантерам более 3 млн рублей.
app.bugbounty.bi.zone/companies/timeweb/main

И, наконец, новость третья. Тот, кто первым пришлет валидный отчет уровня critical, high и medium/low, получит на баланс в нашем облаке 100к, 50к или 10к рублей соответственно. А за 10 первых отчетов любого уровня мы с BI ZONE подарим крутой мерч.

С 4 июня повысим стоимость облачных серверов, баз данных, доп сервисов и лицензий. Для удобства собрали все изменения в один документ.

Посмотреть новые цены
st.timeweb.com/cloud-static/timeweb-cloud-pricing-04-06-2024.pdf



Главное

• Теперь у всех сервисов, кроме Cloud Apps и Kubernetes, IPv4-адреса будут тарифицироваться отдельно, по цене 150 рублей за шт. Каждый IP можно будет переносить с одного сервиса на другой. Если вам будет не нужен IP, вы сможете его отключить.
• Стоимость облачных серверов, баз данных, образов, доп. дисков, лицензий и защиты от DDoS — вырастет. Мы достаточно долго сдерживали низкие цены на эти сервисы, но текущая экономика больше не позволяет этого делать.
• На все перечисленные сервисы можно получить скидку, пополнив баланс на 3, 6 или 12 месяцев вперед до повышения. В этом случае после повышения у вас будут новые цены, но к ним применится скидка 5, 7 или 10%.

Гигабитный канал в СПб — бесплатно
Во всех фиксированных тарифах с NVMe-диском в Санкт-Петербурге увеличим канал с 200 мегабит до 1 гигабита. За прошедший год мы полностью пересобрали сети и теперь можем бесплатно давать такую скорость без ущерба качеству.

Чтобы получить новую скорость, после 4 июня вам нужно будет самостоятельно перезагрузить ваш сервер.

Все остальные сервисы продолжат работать без изменений.
timeweb.cloud/

Открыли возможность создавать облачные серверы в Москве. И вместе с этим опцию создавать их без IP-адреса.

Москва — наш третий инфраструктурный регион в России.

Мы тщательно подбирали площадку и остановились на IXcellerate Moscow South. Это современный Tier III со всеми передовыми технологиями резервирования и защиты данных.

Первое отличие новой локации — гигабитный канал. Это в 5 раз больше Питера, и в 10 больше Новосиба. На канал даем 64 терабайта трафика в месяц бесплатно. Этого с головой хватит на большинство задач и в то же время не даст забить канал чем-то ненужным. Превышение платное — 200 руб/Тб.

Второе — возможность создавать серверы без внешнего IP, исключая их стоимость из цены. Например, если вам нужен сервер в приватной сети (скоро добавим) без внешнего IP, стоимость начинается всего от 150 рублей.

Минимальная конфигурация стандартная: 1 CPU, 1 Гб RAM и 15 Гб NVMe. Обойдется в 300 рублей в месяц вместе с IP. Максимальная — 8 CPU, 16 Гб RAM, 160 Гб NVMe — в 4 200 рублей.

Произвольные тоже на подходе, скоро добавим.
timeweb.cloud/my/servers/create?location=ru-3&zone=msk-1&preset=4795&os=79

Дисклеймер ↓

Этот материал должен был выйти в декабре 2023, прямо перед Новым годом, — и это классический пример про «лучшее враг хорошего». Сначала нам не нравилось, что мало подробностей. Потом — что их излишне много. Была версия с цитатами, но без скринов. Со скринами, но без цитат. Мы записали столько интервью с сетевиками, что сами в них запутались.

Но в итоге сегодня наша статья наконец-то выходит в свет. Из цензуры — только внимательная рука корректора. Передаем слово Максу Яковлеву.

Меня зовут Максим, я руковожу отделом сетевых инженеров в Таймвебе. Как вы уже поняли из заголовка, речь пойдет про наш прошлогодний DDoS. Это не стандартный постмортем, а скорее история от первого лица. Расскажу и покажу, каково это было изнутри — жить на энергетиках и пересобрать ядро сети всего за пару месяцев.

❯ Некоторое время до

Про Таймвеб вы, скорее всего, знаете. И скорее всего — как про хостинг, работающий по модели shared, с саб-сервисами вроде регистрации доменов, конструктора сайтов и пр. Еще есть облако, выросшее из хостинга, — о нем и пойдет речь.

В 2023 мы начали потихонечку распиливать легаси-сеть хостинга и делать ее похожей на сеть IaaS-провайдера. Но в целом архитектура на момент дня Х была довольно типичной для хостинга: несколько маршрутизаторов, стопка растянутых VLAN, три транзита и пара обменников.

В хостинговом бизнесе объем каналов рассчитывается от объема общего трафика на сеть, плюс запас на случай аварий и атак, обычно не превышающий 10х от трафика в ЧНН. Отсюда выстраивается защита инфраструктуры и клиентов: оценивается максимально ожидаемая совокупная мощность атак, берется небольшой запас и подбираются механизмы противодействия, чтобы и отдельного клиента защитить, и самим при этом не упасть.

Важно понимать, что любой типичный хостинг находится под DDoS-атакой практически 24/7: хоть одного клиента в каждый момент времени да атакуют. Поэтому DDoS для нас — это даже несколько банально. За 17 лет мы повидали много чего и в принципе знаем ключевые (и не только) паттерны, откуда, что, куда и как.

❯ Добрый вечер

14 сентября, ближе к 18:00, в нас влетел очередной DDoS, с которым известно что делать. Отбили — пошли отдыхать. И не успел я допить чай, как атака повторилась, потом опять, а потом еще раз. Каждый раз интервал уменьшался, а объем нарастал.

Скриншот от StormWall в тот момент

Далее для любителей краткого изложения перечислю возникшую причинно-следственную связь по инфраструктуре.

В площадку наливается больше, чем та способна переварить → роутеры перегружаются вплоть до потери сигнализации → мы через OOB блокируем атаку через RTBH/FS или переключаем сеть на сторонний центр очистки трафика → цель атаки меняется в течение пяти минут.

Из дополнительных проблем в СПб: аплинки подключены через свитчи с переподпиской, QOS или не работает, или не хватает буфера → разваливается сигнализация. Дополнительно существуют громадные растянутые VLAN, из-за чего атака на одну подсеть затрагивает огромное количество клиентов. Мониторинг и контрмеры работают слишком медленно.

Иногда приходилось расставлять приоритеты

И в остальных локациях: нет своей сети, а ЦОДы нас блочат, защищая свою инфраструктуру. Когда сеть отдается напрямую с железок дата-центра, нет не то что возможности заблокировать атаку, затруднена даже идентификация паттерна: раз — и ноды отвалились. Из доступной информации только триггер в Заббиксе. Самые печальные моменты — когда у нас сутками лежало несколько локаций целиком и наглухо. Даже аплинки наших провайдеров в дата-центрах просто говорили, что мы не готовы это фильтровать, поэтому мы вас отключаем. Как атаки прекратятся, подключим обратно.

❯ Мы накидываем план

Первое: научиться блокировать хотя бы часть атаки на уровне маршрутизаторов провайдеров. Цель — снизить воздействие на клиентов, защитить инфраструктуру. Второе: научить нашу сеть переваривать всю аплинковую емкость без спецэффектов, параллельно ее расширяя.

По железу: разобрать кучу мелких маршрутизаторов и поставить шасси, расширить каналы или пересадить их напрямую на роутеры либо убрать переподписку. Параллельно: доработать DDoS-защиту до состояния, когда мы можем блокировать атаку быстрее, чем это заметят клиенты, на которых не идет паразитный трафик.

И стратегически: построить свои сети во всех локациях. И собственную защиту.

В первую очередь отказываемся от существующей системы подавления DDoS, потому что она приносит больше вреда, чем пользы. Сетевики начинают спать по очереди, текущий flow-мониторинг меняем на семплированный Inline IPFIX с payload-ом. Таким образом не ждем, пока соберется поток, и принимаем решения за секунды. Этот шаг помог уменьшить среднее время обнаружения каждой атаки: чтобы понять, что она началась и как нужно действовать, нам сначала нужна была пара минут, чуть позже — 15 секунд, а сейчас автоматика реагирует почти мгновенно.

Рабочая обстановка

Изначально управление было ручным, чуть позже принятие решений стало автоматизированным: мониторинг научился блокировать DDoS сразу же после обнаружения. В итоге за период с 14 по 20 сентября мы заблокировали более 20 тысяч отдельных паттернов.

В это время по всем каналам — в телеге, в соцсетях, в тикетах — клиенты переживали, ругались и задавали вопросы. И я их прекрасно понимаю. Кстати, о прекрасном:


Дорабатываем защиту: делаем ее быстрее, технологичнее, чтобы принимала максимально правильные решения. Разбираем всю старую архитектуру и избыточные куски сети — все под нагрузкой и идущими атаками и так, чтобы воздействие на клиентов было минимальным.
Примерно в это же время атакующие понимают, что мы что-то сделали, поэтому меняют паттерны. Мы стали получать мощные краткосрочные волны трафика, на которые не успевала реагировать ни наша программа, ни большинство предлагаемых на рынке защит: заливало настолько разнообразно и быстро, что наши стыки и некоторые обменники начали складывать в нас сессии по prefix-limit. В эти периоды бывало и такое:

❯ Строим свою сеть

Начинаем с Питера. План включал в себя апгрейд маршрутизатора с установкой дополнительных плат и подключение к различным каналам и точкам обмена трафиком. Цель — увеличить пропускную способность: нам нужно было научиться принимать трафик атак и блокировать более точечно, а не просто кидаться блекхолами и снимать префиксы. Кроме того, стало понятно, что объемы атак могут расти и нам нужно будет научиться расширять емкость более оперативно, не проходя весь цикл «найти железо → найти емкость → собрать».

Главный роутер в СПб. На скрине MX480 в составе 2xSCBE2, 2xRE-S-2X00x6, 4xMPC7E MRATE

Обычные маршрутизаторы не всегда эффективны для такой деятельности: они обладают слишком сложным и дорогим конвейером обработки трафика, предназначенным для других задач. Исходя из этого мы решили действовать комплексно: помимо расширения каналов и увеличения портовой емкости сервисных и пограничных маршрутизаторов начали внедрять пакетные платформы на базе Juniper PTX. Они хоть и попроще, но в них много дешевых 100G/400G-портов, как раз то, что нам нужно.

Благодаря хорошим отношениям с поставщиками мы смогли быстро найти сетевое оборудование: поставка заняла всего полтора месяца. Для техники такого класса это очень быстро.

В итоге в Питере мы добили емкость по основным направлениям до 500+ гбит, а по автономке у нас сейчас суммарно около терабита. Уже через две недели после этого ситуация в СПб стабилизировалась: емкости хватало, фильтры отрабатывали оперативно. В остальных локациях сеть была арендованная: и в Казахстане, и в Европе. По этой причине параллельно с выравниванием ситуации в Питере у нас появилась новая приоритетная задача: поставить в заграничные локации собственные маршрутизаторы и дотянуться до них из Питера — тянуться решили через M9.

Девятка до сих пор крупнейшая пиринговая точка и сосредоточение телеком-инфраструктуры РФ и СНГ. Кроме основных трасс для всей России, туда же заходят каналы от СНГ — зачастую единственные.

Магистральные каналы между площадками дают несколько преимуществ:

• Возможность отправлять и получать трафик через любые другие стыки Таймвеба во всех странах.
• Возможность предоставлять клиентам дополнительные сервисы в виде каналов связи.
• Наше управление не развалится никогда, даже если внешние стыки в локации будут забиты под полку.

Собственно, начинаем с Казахстана. Протянули канал до девятки и пустили трафик уже через свою сеть.


MX204 на девятке, собирает магистрали и внешние линки. Скоро заменим его 960-м и будем забивать сотками

Кстати, с доставкой в Казахстан повезло не с первого раза. На казахской таможне менялся состав — и все встало мертвым грузом. Ситуацию решили творчески: отправили одного из наших сотрудников везти 204. Забавно, что изначально мы собирались отправлять MX104 — довольно старую и давно снятую с поддержки платформу, которой, впрочем, с запасом хватает на нужды этой площадки.

MX104 со склада — кусочек истории телекоммуникаций

Но из-за ее громоздкости отправили 204 — и теперь в казахстанском ЦОДе у нас стоит платформа, которой хватит на целый машинный зал облака, а не на наши несколько стоек. На память осталась только фотка со стикером из аэропорта Екб:


К декабрю дотянулись и в Европу: теперь у нас есть узлы во Франкфурте и Амстердаме с арендованной магистральной емкостью. Там появились выходы и в интернет — через Tier-1 операторов, и на европейские обменники.

Следующий логичный шаг — перевели площадки в Амстердаме и Польше на свою сеть. Теперь нас никто не отключит в случае атак, как бонус — интернета стало больше и появились выделенные каналы для клиентских выделенных серверов, скоро будут и во всем Клауде. В итоге вы сможете не только заказать себе сервер с 10G-интернетом, но и расширить локальную сеть до любой нашей точки присутствия — с гарантированной полосой и любыми удобными вам настройками.

Раз уж пошли по локациям, то добавлю, что в этом году запустились и в Москве, в IXcellerate. Это Tier-3 с уникальной системой охлаждения по типу «холодная стена». Я там был на экскурсии — наверное, самое интересное, что я видел в России и СНГ, а поездил я немало. Пиво еще вкусное у них было — тоже плюс.

Москва, кстати, у нас сразу же запустилась с нормальной архитектурой: широкие линки на стойку, 200G до девятки, масштабируемый слой агрегации. По умолчанию даем на все виртуальные серверы по гигабиту в секунду вместо 200 мегабит, на всех дедиках доступно 10G/40G по запросу. В результате, если клиентам это необходимо, мы можем дать гораздо больше емкости, чем могли бы в Петербурге еще полгода назад.

2xQFX5120-32C в IXcellerate

❯ Почему мы не спрятались за подрядчиками

На самом деле мы обращались к нескольким компаниям, но на тот момент уже стало понятно, что у нас не получится использовать их как общее средство защиты для всей сети.

Решения по комплексной защите от DDoS, по сути, делятся на два вида: это готовые решения, устанавливающиеся непосредственно на сети компании, и сторонние центры очистки трафика, через которые этот самый трафик нужно пропускать. На тот момент у нас существовали собственные чистилки и был опыт постройки подобных решений. Посоветовавшись с коллегами по цеху, решили двигаться именно по такому сценарию: принимать трафик → очищать большие потоки на уровне сети, привлекая центры очистки в отдельных случаях → заниматься тонкой очисткой с помощью вендорских решений.

Важно отметить, что при использовании внутренних решений для защиты от DDoS необходима сеть, способная обрабатывать и фильтровать трафик, не затрагивая других клиентов или локации. То, что отфильтровать не удалось, должно быть направлено на системы тонкой очистки с минимальной задержкой и воздействием на чистый трафик.

Необходимо было сначала усовершенствовать сеть до этого состояния, а затем заниматься внедрением коробочных решений. Мы переводили атакуемые подсети в партнерские центры очистки, хоть иногда это больше аффектило на нормальный трафик, чем помогало.

Такое положение дел было связано с характером самого трафика и с тем, что атаки были короткими и частыми: классифицировать «чистый» трафик в подсети, состав серверов которой меняется от недели к неделе, если не чаще, — малореально. А переключить маршрутизацию за время между атаками часто и вовсе не получается: цели меняются быстрее, чем BGP-апдейты распространяются по интернету.

❯ Что сейчас

Подобные атаки прилетают, но в целом мы научились их фильтровать: чистить на уровне сетевого оборудования или деприоритизировать/блокировать клиента, если объем превышает пороги.

Работы еще много: всю эту новообразовавшуюся сеть нужно резервировать и расширять. На М9 мы взяли целую стойку и собираемся ставить шасси MX960 — с большим запасом на будущее. Оно будет выполнять роль магистральной развязки, принимать внешние стыки и выступать ядром сети дата-центров по Москве, у нас там большие планы. Не забываем и про Северную столицу: платформа PTX10003 станет ядром нового узла на Кантемировской («Радуга»), где будет перемыкать магистрали и стыки с внешними сетями, выступая частью инфраструктуры очистки трафика в Санкт-Петербурге.

Находимся на этапе тестирования с Servicepipe: будем пробовать систему уже тонкой очистки трафика — если атака на клиента не угрожает инфраструктуре, не полностью все блокировать, а принимать трафик атак на себя и отдавать клиенту уже очищенный, вплоть до L7.

Много работы будет по пирингам: думаем, что скоро мы сделаем прямые подключения к Google, AWS, Azure и другим гиперскейлерам. Хотим организовывать серьезные продуктовые преимущества для наших клиентов: если ваш продукт требует очень хорошей связности с мировыми облаками или у вас мультиклауд — мы сможем обеспечить как хорошую связность по интернету, так и выделенные линии, если потребуется.

Для выделенных серверов по части сети у нас получилось очень интересное предложение. По запросу скорости мы даем вплоть до 100—200 гигабит на сервер, так мало кто умеет. Кроме простого интернета — широкий набор сетевых решений: тут и более-менее стандартные L2/L3 VPN на MPLS, и любые манипуляции с внешней маршрутизацией. Для владельцев своих AS соберем транзит, притянем любую популярную точку обмена трафиком. Для тех, кто хочет ими стать, — поможем выпустить ASN, арендовать или купить сети, анонсировать их в мир.

Глобально у нас были компетенции, ресурсы и возможность их тратить на инвестиции в сеть, были контакты и налаженные взаимоотношения с огромным количеством людей. Все это очень сильно нам помогло.

❯ И напоследок — неудобный вопрос от маркетинга

Почему не начали делать все это раньше, а триггером стало то, что на нас пришла атака?

Расширение в целом планировалось, Таймвеб всегда делал упор на качество сети, но процесс шел постепенно. Исторически мы сфокусировались на нашем центральном хабе в СПб, а стройка в остальных локациях планировалась по мере их расширения.

А почему атаки стали триггером? Все банально. Во-первых, мы поняли, что начали расти сильно быстрее, чем планировали. Стало понятно, что нужно больше емкости, больше сервисов — и не когда-то, а сейчас. Во-вторых, появились новые угрозы, которые не отражаются стандартными средствами. В какой-то момент мы переросли «стандартные» подходы, которые мог бы использовать игрок меньшего размера, — нужно было пилить какой-то кастом или средствами сторонней компании, или самостоятельно. Мы выбрали второе.

Сделано много работы, коротко:

• Поставили и перенесли сервисы на новый мощный роутер (последние тех работы об этом)
• в Спб расширены входящие каналы, съели практически всю емкость, которую можно забрать с Цветочки, на неделе еще подключим пару сотен гбит емкости, а остальное заберем с Москвы. Запущены фильтры, которые чистят атаку.
• в Мск развернули точку присутствия, роутер, свои каналы, будем принимать там большой трафик и чистить, включаем фильтрацию в течение недели, отдаем чистый трафик в СПб и Казахастан
• в Казахстане поставили новый роутер, проложили канал Мск-Алматы (5000 км), не зависим от местных аплинков, которые не выдерживают атаку и снимают анонсы.
• в Европе запустили две точки присутствия в Нидерландах и Франкфурте со своими каналами и роутерами, тянем каналы до локаций в Нидерландах и Польше, настраиваем фильтрацию как в Спб и Мск.

С каждым шагом сеть крепчает, а атаки становятся менее заметными. Что-то прилетает и влияет на сеть, задача свести влияние к минимуму. Сильно проинвестировали в развитие сети, скоро будем по сетевой мощности как телеком оператор. Спасибо ддосерам, за счет такого буста по сети мы сможем в дальнейшем давать сервисы локальной сети между ДЦ и защищенные каналы и другие сетевые плюшки между всеми локациями.

timeweb.cloud