H2.NEXUS - Скидки 40%, уведомления



???? Ваш сервер работает как тыква? Вы не боитесь Хэллоуина, ведь нет ничего страшнее вашего хостера?

Самое время переходить на прекрасные сервера на базе Ryzen 7950X3D Overclocked 5.4 ГГц!
Мы запускаем вечные скидки -40% на все сервера RED на базе Ryzen 7950X3D OC 5.4 GHz в честь Хэллоуина
Акция действует на покупку и продление серверов, продлится до 31 октября 2024 года — успейте купить суперсервер по суперцене!

Это еще не все, мы запускаем публичный Telegram-канал с уведомлениями о DDoS-атаках — нет смысла скрывать позор атакующих.
Подписывайтесь на канал — @h2nexus_alerts в нем будут не только уведомления об атаках, но и о различных технических работах и сбоях.
Важно: мощность атаки отображается на момент начала атаки, фактическая всегда больше.

Есть вопросы? Обращайтесь! @h2nexus_support

H2.NEXUS ????

Project Shield расширяет бесплатную защиту от DDoS-атак для еще большего числа организаций и некоммерческих организаций



Project Shield помогает новостным, правозащитным и связанным с выборами организациям защищаться от атак типа «распределенный отказ в обслуживании» (DDoS) с 2013 года в рамках обязательств Google по обеспечению всеобщей доступности онлайн-контента. Решение помогло сохранить онлайн-ресурсы по выборам, поддержало новостные репортажи во время важных геополитических событий и помогло правительствам в чрезвычайные времена.

Мы рады сообщить, что Project Shield расширяет наши критерии соответствия для поддержки и защиты организаций, представляющих маргинализированные группы, и некоммерческих организаций, поддерживающих искусство и науку. Эти типы организаций часто подвергаются атакам и попыткам цензуры, и DDoS представляет собой распространенный компонент этих атак. Теперь с Project Shield эти новые организации, получившие право, могут защищать свои веб-сайты от DDoS-атак бесплатно.

Те же технологии, которые защищают Google
Project Shield создан на основе Google Cloud Networking и нашего глобального решения front-end. Управляемый Google Cloud в партнерстве с Jigsaw, он объединяет глобальный front-end с Google Cloud Load Balancing, Cloud CDN и Cloud Armor. Это решение и базовые продукты работают вместе, чтобы смягчить атаки, кэшировать ваш контент и обслуживать его из нескольких точек в периферийной сети Google.

Эта защита построена на той же инфраструктуре и поддерживается теми же командами, которые защищают основные сервисы Google, включая Поиск, Карты и Gmail.

Каждое из решений, входящих в Project Shield, играет важную роль в защите наших клиентов. Google Cloud Load Balancing обслуживает ваш трафик из глобальной сети Google и может повысить вашу производительность, позволяя масштабируемый глобальный контроль трафика. Это может помочь пользователям по всему миру подключаться к вашему сайту быстрее и надежнее. После того, как ваш трафик обслуживается Cloud Load Balancer, Project Shield может задействовать дополнительные средства защиты, такие как Cloud Armor и Cloud CDN.

Cloud Armor смягчает трафик атак на границе инфраструктуры Google, поэтому ваш веб-сайт остается в безопасности и в сети, независимо от расположения бэкэнда. Adaptive Protection использует машинное обучение для анализа вашего трафика, чтобы находить и смягчать атаки, используя те же средства защиты, которые защищают наших крупнейших корпоративных клиентов.
cloud.google.com/security/products/armor

Project Shield использует индивидуальные ограничения скорости, которые настраиваются индивидуально для вашего сайта, усиливая защиту без блокировки реальных пользователей или поисковых систем, посещающих ваш сайт. Эти защиты включаются проактивно и быстро срабатывают при обнаружении вредоносного трафика, часто блокируя злоумышленников в течение первых нескольких секунд.

Cloud CDN обеспечивает кэширование, давая вашему бэкэнду передышку, позволяя трафику разрешаться на границе сети Google. Это может помочь защититься от широких, поверхностных атак DDoS, когда миллионы злоумышленников отправляют то, что выглядит как обычный объем трафика. Кэшируемый контент с вашего сайта может быстрее доходить до пользователей и снижать нагрузку на ваши хостинговые серверы. Во время законных всплесков, таких как вирусный рост вашего сайта или крупное событие, такое как день выборов, кэширование может значительно снизить нагрузку на ваши серверы и помочь поддерживать ваш сайт в сети.
cloud.google.com/cdn

Эти сервисы напрямую доступны любой организации через консоль Google Cloud и могут быть настроены и настроены для защиты любого типа рабочей нагрузки, а не только тех, которые соответствуют требованиям Project Shield. Организации, которые не соответствуют требованиям Project Shield, могут по-прежнему использовать те же технологии Cloud Networking, которые поддерживают Project Shield, с помощью этого руководства.

Получите защиту сегодня
DDoS — это надвигающаяся угроза, способная вывести из строя ваш сервис без необходимости в специальном доступе или компромиссе. Мы призываем организации из любой из категорий, соответствующих требованиям Project Shield, зарегистрироваться на g.co/shield. Рассмотрение заявки обычно занимает несколько часов (но может растянуться до нескольких рабочих дней). Одобренные организации могут настроить защиту Project Shield для своих сайтов всего за несколько минут.

Другие организации могут узнать больше о начале работы с корпоративными сервисами Google Cloud Networking и могут настроить балансировщик нагрузки и защиту уже сегодня.

H2.NEXUS - Собственная защита



Привет! Мы завершили внедрение нашей собственной защиты!

Теперь у нас есть двухуровневая защита от DDoS атак для наших клиентов:

Защита от ёмкостных атак, таких как DNS Amplification, NTP Amplification, Memcached, атак с использованием ботнетов и подобных, которые не требуют отслеживания соединений. Ёмкость первого уровня достигает 120 Тбит/с и предоставляется нашим провайдером CDN77.
Наша собственная защита, более умная и тонкая, которая отслеживает все соединения и разработана с упором на защиту TCP стека. Она надежно защищает от атак TCP SYN flood, любых невалидных TCP пакетов и подмены IP (IP-Spoofing), не нарушает работу сложных VPN протоколов. Ёмкость — 100 Гбит/с с возможностью оперативного расширения и внесения правок.
Обновленная защита уже работает на всех серверах и не требует дополнительных действий со стороны клиента.
Бесплатная для всех. Приятного использования!

Есть вопросы? Обращайтесь! @h2nexus_support

H2.NEXUS

Бесплатная защита от DDoS включена в ваши услуги Leaseweb



В рамках нашего стремления обеспечить безопасную среду для вашего бизнеса мы хотели сообщить вам о часто упускаемом из виду аспекте безопасности ваших услуг с Leaseweb. По умолчанию ваши сервисы Leaseweb автоматически защищены от DDoS-атак со скоростью до 5 Гбит/с.

DDoS-атаки направлены на то, чтобы перегрузить ваши серверы потоком трафика, сделав их недоступными для законных пользователей. Последствия таких атак могут быть пагубными и привести к потере доходов, повреждению репутации IP и неудовлетворенности клиентов.

Защита от DDoS — важный компонент вашей стратегии кибербезопасности. Leaseweb применяет упреждающий подход к защите ваших онлайн-активов от угроз с помощью нашей бесплатной базовой защиты от DDoS. Весь трафик активно отслеживается для выявления подозрительных закономерностей или аномалий, которые могут указывать на потенциальную атаку. При обнаружении DDoS-атаки наша система очищает атакующий трафик, обеспечивая бесперебойную работу обычного трафика. Все это бесплатно и без необходимости настройки.

Leaseweb понимает важность поддержания безопасного и стабильного присутствия в Интернете, и мы стремимся предоставить вам необходимые инструменты для достижения этой цели. Если вы когда-нибудь обнаружите, что вам требуется более 5 Гбит/с защиты, которую обеспечивает наша базовая защита от DDoS, расширенная защита от DDoS от Leaseweb предлагает покрытие до 10 Гбит/с и выбор профилей, которые обеспечивают повышенную точность. Обновление до DDoS Protection Advanced происходит легко и просто через наш клиентский портал.
kb.leaseweb.com/products/cyber-security/ddos-ip-protection

Ищете дополнительную защиту? Мы также предлагаем индивидуальную и постоянную защиту для специализированных сред. Пожалуйста, обратитесь к своему менеджеру по работе с клиентами или по адресу sales@us.leaseweb.com сегодня для получения дополнительной информации или назначения времени для общения с нашими инженерами.

Рег.ру отразил новый вид массированной DDoS-атаки



Рег.ру успешно заблокировал продолжи-тельную DDoS-атаку нового типа. Она длилась 72 часа, а суммарная емкость атаки составила более 40 Гбит/с. Системы защиты хостинг-провайдера зафиксировали участие более 40 000 уникальных IP-адресов ботнета. Серверы Рег.ру подверглись крупной кибератаке от смешанных ботнетов, состоящих из нескольких вредоносных программ. Одновременно были атакованы почти 10 000 собственных IP-адресов хостинг-провайдера. С помощью специальной утилиты присоединиться к атаке могло любое устройство, компьютер, сервер и даже виртуальный хостинг.

Кибератака не оказала значительного влияния на клиентские сайты, все сервисы компании работали в штатном режиме.

DDoS-атака была направлена на основные услуги компании: облачные сервисы Рег.облако, VPS, выделенные сервера и виртуальный хостинг. На части стыков с операторами и внутри инфраструктуры хостинг-провайдера наблюдался повышенный уровень полосы входящего трафика, ставший причиной периодических кратковременных потерь до включения основной системы фильтрации. Впоследствии по портам 3306, 5432, 27017 была настроена и запущена индивидуальная фильтрация нелегитимного трафика. Уровень фильтрации постепенно был снижен, а сейчас фильтрация полностью отключена.

«Несмотря на то, что наблюдалась некоторая деградация сети, это могла ощутить лишь небольшая часть клиентских сайтов. Вопреки массовому характеру кибератаки нового типа, на каждый IP-адрес приходилось незначительное количество вредоносного трафика, и существенного влияния не произошло. Небольшим хостинг-провайдерам от подобных атак отбиться сложнее, так как может не хватить мощностей на входе даже после очистки внешними поставщиками», – отметили в пресс-службе Рег.ру.

В Рег.ру настроена автоматическая защита от DDoS-атак. Система защиты использует серию программно-аппаратных комплексов, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

www.reg.ru

Объявляем акцию с растущей скидкой на DDoS-Guard!



С 31 октября по 31 декабря при покупке модуля DDoS-Guard в панеле управления ispmanager вы можете воспользоваться растущей скидкой на модуль.

  • Первый месяц — 30%
  • Второй месяц — 50%
  • Третий месяц — 70%
  • А четвертый месяц — бесплатно!
Чтобы получить скидку, поделитесь страшной, веселой или волнительной историей из рабочей практики в этой форме. В качестве компенсации за пережитые ужасы вы получите промокод на скидку. Воспользоваться промокодом необходимо до 31 декабря 2023 года при покупке модуля в Личном кабинете ispmanager. Участвовать в акции могут все пользователи платных версий ispmanager 6 lite, host, pro.

Также историей из рабочих будней можно поделится в Телеграм сообществе ispmanager, где уже собраны истории других пользователей. В этом случае промокод на скидку придет в личные сообщения.

Бонус для тех, кто пока не пользуется ispmanager
Для тех, кто ещё не пользуется панелью, у нас тоже есть подарок: установите бесплатную триальную версию ispmanager и в течение 14 дней, пока она действует, купите модуль DDoS-Guard. Введите промокод ddos-trial, и второй месяц пользования DDoS-Guard будет в подарок! Бесплатный второй месяц вы можете активировать сразу после оплаты первого.

Напомним, что ispmanager — это панель управления сайтами, веб-окружением и сервисами на linux-серверах. Модуль DDoS-Guard подключается в ispmanager дополнительно и фильтрует трафик, отсекая вредоносные запросы и сохраняя стабильность системы. Это эффективнее, чем пытаться пресечь атаку с помощью блокировки IP-адреса. DDoS-Guard защищает сайты от всех известных DDoS-атак на уровнях L3-L4, L7 OSI, спасает даже от массивных атак с плотностью трафика до 3,2 T,bn/c и обеспечивает русскоязычную поддержку с гарантированным SLA 99,5%.

Игровые серверы OVH, Anti-DDoS - скидки до 55%



Предлагаем игровые серверы от дата центра OVH с Anti-DDoS. Бесплатная установка и скидки до 55% на выделенные серверы на процессорах Ryzen.

  • AMD Ryzen 5 5600X [6c-12t] (4.6GHz) / 32GB DDR4 ECC 2666MHz / 2x500 GB NVMe SSD — 7200р./месяц, 0р. установка
  • AMD Ryzen 5 5600X [6c-12t] (4.6GHz) / 64GB DDR4 ECC 2666MHz / 2x500 GB NVMe SSD — 8320р./месяц, 0р. установка
  • AMD Ryzen 7 5800X [8c-16t] (4.7GHz) / 64GB DDR4 ECC 2666MHz / 2x960 GB NVMe SSD — 10720р./месяц, 0р. установка
  • AMD Ryzen 7 5800X [8c-16t] (4.7GHz) / 128GB DDR4 ECC 2666MHz / 2x960 GB NVMe SSD — 12960р./месяц, 0р. установка

Доступны в локациях Франция, Германия, Польша, Англия, Канада.
Anti-DDoS Game (Exclusive protection)
OS Linux,Windows Server
Безлимитный трафик
Панель управления сервером

Для заказа пишите на почту sales@abcd.host либо создайте тикет в личном кабинете panel.abcd.host/

Спасибо что остаетесь с нами!
ABCD.HOST

Новые VDS на базе Ryzen 9 5950X в Германии!

srv.cheap хостинг VPS VDS на AMD Ryzen 9 5950X
Представляем вам новые локации VDS/VPS на базе Ryzen 9 5950X по низким ценам!

Каждый сервер включает в себя: процессор Ryzen 9 5950X 4.9 ГГц, NVMe диски, DDR4-память, большой выбор ОС (Ubuntu, Debian, CentOS, Windows), игровую защиту от DDoS-атак и бесплатную поддержку 24/7!

Серверы идеально подходят для размещения игровых проектов, сайтов, удаленных рабочих столов, а также для любых задач, благодаря гибким тарифам под различные задачи:

1 vCore / 2 GB / 30 GB NVMe / 319 ₽/мес.
2 vCore / 4 GB / 60 GB NVMe / 669 ₽/мес.
4 vCore / 8 GB / 90 GB NVMe / 1329 ₽/мес.
6 vCore / 12 GB / 125 GB NVMe / 1929 ₽/мес.
12 vCore / 24 GB / 280 GB NVMe / 3829 ₽/мес.

Подробнее: srv.cheap/servers/virtual

Напоминаем про бонус +3% при пополнение баланса от 5000₽!

DDoS защита пользователей на хостинге: почему это важно для сайта

DDoS и хостинг
Хостинг представляет из себя комплекс, состоящий из внутренней сети (автономной системы), пограничных маршрутизаторов и распределенных каналов связи с различными операторами связи.

Если упрощенно показать это на схеме, то получится следующее:

  1. Операторы связи, обеспечивающие связь сети хостинга с внешним миром
  2. Каналы связи с операторами
  3. Пограничные маршрутизаторы
  4. Каналы связи внутренней сети
  5. Серверы хостинга (например, виртуального)

Целью DDoS-атаки является прекращение доступности какого-либо сервиса, будь то один сайт, сервер или даже целый хостинг. Что такое доступность сервиса? В контексте нашей темы это возможность конечного сервера хостинга получать весь легитимный трафик от пользователей, обрабатывать его за адекватное время и отдавать пользователям ответы. Поэтому для упрощения можно сказать, что мы должны обеспечивать хождение легитимного трафика в направлении 1-5-1.

PS: На самом деле, де-факто наша ответственность перед пользователями не заканчивается на том, что мы отдаем трафик операторам связи, т.к. бывают случаи, что даже при этом ответ до пользователя не доходит, но мы пока оставим эти кейсы за рамками нашей статьи.

Почему хостинг не может взять и полностью передать защиту от DDoS специализированным компаниям?

Передача данных в современной сети Internet построена на многоуровневой архитектуре, где каждый уровень несет свое определенное предназначение. Для передачи данных, используется стек протоколов TCP/IP, который построен по принципу эталонной модели OSI. Концепция этой модели заключается в разбиении процесса передачи данных на уровни, где каждый уровень отвечает за свой функционал.

В случае с DDoS атаками, их принято делить по уровням модели OSI, несмотря на то что стек протоколов TCP/IP состоит всего из 4х уровней.


Сами DDOS атаки происходят только на уровнях L3,L4,L7 по модели OSI.

Для защиты на уровне L3-L4 мы 24/7 работаем через специализированный сервис защиты, который постоянно отбивает сотни атак в день, в последнее время достаточно больших. По объему трафика они приближаются к терабиту. Весь наш трафик поступает к магистральным провайдерам через него.

А что с 7-м уровнем? В случае с хостингом — на 7-м уровне предполагается использование протоколов TLS и HTTPS. Они нужны для защиты передаваемых данных с повышенными требованиями к безопасности.

Соответственно, учитывая все вышенаписанное и отвечая на изначальный вопрос — при атаках на уровне L7, нам было бы необходимо постоянно передавать подрядчику сертификаты пользователей (сотни тысяч сертификатов ежемесячно, десятки тысяч каждый день). Скажем прямо — это не очень удобно и потенциально является дополнительной точкой отказа.

Второй причиной является то, что мы как хостинг-провайдер работаем с очень разнообразными сайтами: на разных фреймворках, с разными правилами маршрутизации, разными куками и т.п… У кого-то на сайте много видео, у кого-то одни картинки, кто-то публикует новости. У кого-то частота запросов большая, у кого-то — маленькая. И так далее. Именно поэтому без понимания нашей специфики неизбежно возникает множество ложно-положительных срабатываний защиты: настроить ее универсально просто невозможно. А объяснять пользователям “Ну вы поймите: мы вас защищали, хотели как лучше, но вот система посчитала ваш трафик невалидным. Простите”, — это не наш метод (хотя и такие кейсы бывают, чего уж там).

Ну и третьей причиной является то, что какая бы хорошая защита не была — она не бывает идеальна. А по-настоящему эффективные средства защиты являются многоуровневыми, работающими в несколько “эшелонов”, каждый из которых работает на своем уровне: от каналов связи, до конечного веб-сервера.

Именно поэтому передать полностью защиту специализированным компаниям будет недостаточно. Не получится “просто заплатить и расслабиться” ????

Как отбиваются атаки
Давайте рассмотрим несколько типов атак и разберем, какие части на нашей схеме в первую очередь станут “бутылочным горлышком”.

UDP/TCP Flood
Это один из наиболее частых видов атак, которые мы отбиваем. Он представляет из себя большой объем трафика, который летит в нашу сторону. Смысл атаки — создать такой объем трафика на входе сети, который, по задумке атакующего, нельзя обработать без отбрасывания валидных пакетов.

Таким образом, на схеме мы можем заметить несколько уязвимых мест:
  • Каналы связи с операторами (2).
  • Пограничный маршрутизатор (3)
  • Операторы связи (1) (сюрприз!)

На графиках с трафиком на границе сети такая атака как правило имеет характерный вид:



В зависимости от силы атаки у нас есть несколько вариантов действий:

А. Забить и ничего не делать
Самый простой вариант. Подходит, когда атака слабая и у нас есть большой запас по каналам связи как снаружи сети, так и внутри сети. В этом случае просто смотрим на самый “узкий” канал связи (как правило, это канал до конечного сервера хостинга(5)) и, если укладываемся в него с кратным запасом, то просто следим и ничего не делаем.

Б. Порезать трафик на пограничном маршрутизаторе
Главный критерий для применения такого способа защиты — остался запас емкости в каналах до операторов связи (2). В противном случае сразу переходим к пункту “В”. Данный вариант чуть посложнее, т.к. тут уже требуется анализ поступающего трафика. Обычно есть смысл обращать внимание на следующие параметры:
  • src/dst IP
  • dst порт
  • протокол
  • длина пакета
  • тело пакета
Для анализа трафика просто отливаем информацию о нем с маршрутизатора при помощи netflow/ipfix или настраиваем port mirroring на сервер с толстым каналом и анализируем трафик вместе с телом пакета на нем.



Чем более “однородный” вредоносный трафик, тем проще его заблокировать без последствий. Часто прилетают атаки на заранее закрытые порты или с 5-10 IP-адресов, или с очень большим размером пакета. Поэтому увидеть закономерность и настроить фильтрацию достаточно просто.

Само-собой, делать это вручную не очень удобно. Поэтому тут подойдут различные системы анализа и визуализации трафика, чтобы было проще и быстрее выявить закономерности. В самом простом случае это связка Prometheus + Grafana с парой дашбордов. Для лучшей аналитики можно использовать что-то вроде Fastnetmon или самописные решения. В идеале нужно добиться того, чтобы правила для блокировки трафика на маршрутизаторе по ряду критериев добавлялись автоматически.

Также не забывайте, что на пограничном маршрутизаторе по умолчанию должны быть закрыты все протоколы и порты, которые не используются для легитимного трафика. Это автоматически отобьет 90% мелких атак =) Например, на виртуальном хостинге у нас практически не используется UDP. Это очень помогает: для всех сетей хостинга можно поставить очень жесткий лимит на объем такого трафика.

В. Бороться с атакой за пределами нашей сети
Если емкости каналов связи с операторами (2) недостаточно, то мы попадаем в ситуацию, когда пакеты валидных пользователей начинают отбрасываться уже на стороне маршрутизаторов операторов связи. В этом случае у нас остается вариант передавать правила для блокировки вредоносного трафика аплинкам через BGP FlowSpec. Выделение и генерацию правил для блокировки производим способом, аналогичным предыдущему методу.

FlowSpec имеет свои ограничения:
  • Не все операторы связи поддерживают эту технологию. А те, кто поддерживает, как правило берут за неё дополнительную плату.
  • Набор правил, которые можно передать, обычно ограничен, и в случае очень сложной распределенной атаки, в которой нельзя выделить явные паттерны, заблокировать весь вредоносный трафик не получится.
В любом случае всегда полезно иметь несколько аплинков с FullView (то есть полной связностью со всеми сетями в интернете), и FlowSpec, которые покрывают весь объем легитимного трафика. В этом случае можно просто отключиться от остальных и передать правила для блокировки нежелательного трафика через них.

Интересный случай: пару раз у нас были атаки, от которых в принципе падали сами операторы связи. Например, в марте, когда после падения (или может быть нас просто отключили?) одного из магистральных операторов в результате DDoS’а на наши сети, мы потеряли связность с Европой. Пользователям это не понравилось, хотя формально мы ничего сами не отключали =)

Г. Blackhole
Наверное, это самый печальный вариант отбития атаки, потому что, по сути, мы просто жертвуем атакуемым ресурсом ради того, чтобы остальные ресурсы продолжили работу. Метод равносилен признанию победы атакующего и единственная его цель — минимизация ущерба для остальных клиентов. Осуществляется через специальное BGP Community у операторов связи. Метод не подходит в случае атаки на множество адресов (например, когда пытаются положить сразу весь хостинг).

К счастью, прибегать к этому методу приходится очень редко.

Атаки на уровне приложения (L7)
Атаки на уровне приложения (в случае с виртуальным хостингом это как правило HTTP(S)-флуд) с одной стороны редко когда приносят глобальные проблемы, т.к. целью атаки почти всегда является конкретный сайт пользователя, конечный сервер хостинга (5), и редко когда мы упираемся в каналы связи. С другой стороны, они происходят, буквально, постоянно и непрерывно, поэтому и средства борьбы с ними должны быть максимально экологичными и универсальными.

Суть атаки заключается в флуде HTTP(S)-запросами к сайту/на ip-адрес пользователя с целью:
  • Превысить лимиты хостинга на количество одновременных запросов/процессорное время с целью спровоцировать отключение сайта. По факту мы видим либо большой объем запросов к сайту, либо запросы к “тяжелым страницам” сайта, генерация которых требует много процессорного времени.
  • Использовать уязвимости в CMS/фреймворках, чтобы выполнить какой-либо произвольный код. Чаще всего так запускают различные майнеры или флудеры (тут у нас появляется интересная тема про исходящие ddos-атаки, о которой мы можем рассказать отдельно).

Методы борьбы с такими атаками достаточно разнообразные:
А. Блокировка подозрительных запросов по-умолчанию
Любой хороший системный администратор знает, что доступ к ресурсам необходимо предоставлять только тем клиентам, которые ожидаются. В пределе это называется “политикой белого списка”: все, что явно не разрешено, — запрещено. Для веб-серверов массового хостинга это чрезмерно жесткая мера, но и свои “списки” у нас тоже есть.

Так, например, мы по умолчанию блокируем запросы от уникальных User-Agent, которые были замечены в массовом флуде, блокируем ряд ботов и сканеров, которые ведут себя неадекватно: не считают нужным смотреть robots.txt, ходят по сайтам в несколько потоков и прочими способами увеличивают нагрузку на сервер, не принося никакой пользы. Таких ботов в интернете довольно много и список постоянно расширяется.

Также иногда на длительное время блокируются целые подсети, с которых практически нет легитимного трафика, но зато есть массовые автоматические запросы: привет друзьям из поднебесной и сопредельных стран!

Как ни странно, без этих мер, количество паразитных запросов к серверам было бы просто огромным. Зачастую различные сканеры работают по принципу: если сервер что-то вменяемое ответил, то начинаем активно его исследовать; иначе — просто забиваем на него на некоторое время и прекращаем запросы. Поэтому, по нашей практике, если вы начали отвечать на мусорные запросы — дальнейший их поток будет только возрастать.

Б. Слежение за процессами пользователей (MCPU)
Зачастую проблемы на сервере может создать не миллион http-запросов к одному сайту, а всего пару десятков, но очень “точных”. К таким запросам относятся различные уязвимые страницы на сайте, скрипты (как правило, в админках/плагинах), которых при определенных входных данных начинают “творить дичь”: уходить в бесконечные циклы с запросами к БД, генерацию превьюшек из полноразмерных картинок товаров, сбросу кеша. В конце концов, есть множество уязвимостей, результатом эксплуатации которых будет майнер крипты, работающий от вашего имени на хостинге (и, к сожалению, майнить он будет не в ваш кошелек).

В итоге сервер загибается под бесполезной нагрузкой.

Бороться с этим достаточно сложно, если мы не хотим вводить драконовские ограничения на время выполнения скриптов пользователей или потребляемое CPU.

Мы пошли по пути активного мониторинга процессов на сервере. У нас есть свой демон на Rust, который постоянно следит за всеми процессами пользователей и имеет постоянно пополняющийся набор правил для выставления ограничений (вплоть до убийства), для тех процессов, которые мы считаем неуместными. Он умеет смотреть на:
  • Различные атрибуты процесса (uid, gid, cmdline, cgroup и т.п.).
  • Объем потребляемой памяти.
  • Затраченное процессорное время.
  • Содержимое исполняемого файла.
В случае совпадения, в зависимости от конкретной задачи, он может выполнять различные действия:
  • Логирует событие (для дальнейшего анализа).
  • Убивает процесс.
  • Помещает в cgroup с заданными параметрами.
  • Настраивает OOM Killer для этого процесса.
  • … любое другое действие, которое нам потребуется.
Вот кусочек такого конфига:
# kill all binaries with miner cmdline patterns
- match:
    - proc.group: newcustomers
    - proc.exe: ^/home/\w/\w+/
    - proc.cmdline: zcash\.flypool\.org
  action:
    - log
    - kill
    - last

Иногда пользователи добровольно хотят запускать валидный процесс convert для того же самого ресайза картинок в своих интернет-магазинах. Как правило, он хочет потреблять довольно много ресурсов и надо, с одной стороны, дать ему выполниться, с другой стороны, — не мешать другим пользователям:
- match:  
    - proc.group: newcustomers
    - proc.command: convert
  action:
    - log
    - adjust_oom: 1000
    - cgroup:
            name: convert
            memory:
            memory.limit_in_bytes: 40543505612 # лимит памяти по умолчанию для других процессов меньше
            memory.move_charge_at_immigrate: 0
            blkio:
            blkio.weight: 100
    - last

Помимо прочего этот демон выставляет нужные нам cgroup для ряда служебных процессов в случае их появления.

В. Анализ и слежение за запросами к сайтам в реальном времени
Безусловно, выявить зловредные запросы только по атрибутам вроде User-Agent или характерного URL невозможно: часто флудят вполне валидными на вид запросами к разным страницам с разными адресами.

Чтобы работать с такими атаками можно использовать несколько уровней защиты:

На сервере (5)
Полезно будет анализировать лог входящих запросов, искать подозрительные паттерны, характерные тайминги и автоматически выставлять ограничения/rate-limit для тех src ip, user-agent, которые кажутся нам подозрительными. Подойдет против простых атак, которые может переварить сервер без ущерба для остальных. Но на самом деле простых атак —большинство и именно на этом уровне выполняется большая часть блокировок.

Внутри сети (4)
Если сервер не справляется, то уместно будет проксировать трафик к сайту/серверу через специальные серверы, которые могут переварить множество tls-хендшейков и отделить невалидные запросы от валидных, и выполнить еще какую-либо дополнительную фильтрацию. На сервер при этом прилетает уже только валидный HTTP-трафик. Подойдет, если флуд состоит из множества невалидных https-запросов и атака нацелена на перегрузку CPU.

В качестве заключения
Увы, нет какого-то единственно верного способа защитить всех, навсегда и от всего.

Нельзя ни делегировать защиту на подрядчика (по крайней мере полностью), ни настроить 1 раз правила фильтрации.

Более того, под DDoS порой попадают даже самые безобидные сайты, а общий объём атак поистине огромен и в последние месяцы их интенсивность только возрастает.

По сути, ключевой способ защиты для любого хостинга — это накопленная экспертиза админов, которые систематизируют и внедряют защиту: где-то с помощью внешних решений, где-то с помощью “креатива и творчества” — например, иногда полезно вместо закрытия соединения отправить в ответ пару килобайт мусора, чтобы атакующая вас взломанная веб-камера надолго уходила в раздумья перед тем, как отправить следующий запрос =)

Благодаря всему этому пользователи хостинга чувствуют последствия атак лишь изредка.

Да пребудет с нами аптайм!
beget.com/ru

Бесплатная защита от DDoS всем клиентам



Мы запустили бесплатную защиту от DDoS-атак. Защита по умолчанию включена во все сервисы Selectel в Москве и Санкт-Петербурге.

Под защиту попадает весь входящий сетевой трафик. При обнаружении атаки фильтруется только трафик, относящийся к DDoS-атаке. IP-адрес блокироваться не будет.
kb.selectel.ru/docs/networks-services/anti-ddos/ddos-selectel/

Продукты и сервисы под защитой
  • Выделенные серверы
  • Облачные серверы
  • Сервисы облачной платформы
  • Инфраструктура в аттестованном сегменте ЦОД
  • Размещение оборудования

Типы атак, которые блокирует защита
  • Отказ в обслуживании (UDP flood)
  • Перерасход ресурсов системы (TCP SYN/RST flood)
  • Наводнение запросами (ICMP flood)
  • Усиление полосы пропускания DDoS-атаки (амплификация)
  • Атаки с отражением на основе UDP (DNS, NTP, etc)

Рост DDoS в 2022
Отказ в обслуживании — один из самых популярных видов атак. Она грозит резким увеличением трафика, из-за чего пользователи не могут получить доступ к ресурсу.
В марте этого года количество подобных атак, по данным Selectel, увеличилось в 4 раза по сравнению с февралем. Количество уникальных атакованных IP-адресов увеличилось в 2,5 раза.
DDoS-атаки значительно увеличивают нагрузки на сетевые инфраструктуры и специалистов, работающих с сервисами защиты.