Новые VDS на базе Ryzen 9 5950X в Германии!

srv.cheap хостинг VPS VDS на AMD Ryzen 9 5950X
Представляем вам новые локации VDS/VPS на базе Ryzen 9 5950X по низким ценам!

Каждый сервер включает в себя: процессор Ryzen 9 5950X 4.9 ГГц, NVMe диски, DDR4-память, большой выбор ОС (Ubuntu, Debian, CentOS, Windows), игровую защиту от DDoS-атак и бесплатную поддержку 24/7!

Серверы идеально подходят для размещения игровых проектов, сайтов, удаленных рабочих столов, а также для любых задач, благодаря гибким тарифам под различные задачи:

1 vCore / 2 GB / 30 GB NVMe / 319 ₽/мес.
2 vCore / 4 GB / 60 GB NVMe / 669 ₽/мес.
4 vCore / 8 GB / 90 GB NVMe / 1329 ₽/мес.
6 vCore / 12 GB / 125 GB NVMe / 1929 ₽/мес.
12 vCore / 24 GB / 280 GB NVMe / 3829 ₽/мес.

Подробнее: srv.cheap/servers/virtual

Напоминаем про бонус +3% при пополнение баланса от 5000₽!

DDoS защита пользователей на хостинге: почему это важно для сайта

DDoS и хостинг
Хостинг представляет из себя комплекс, состоящий из внутренней сети (автономной системы), пограничных маршрутизаторов и распределенных каналов связи с различными операторами связи.

Если упрощенно показать это на схеме, то получится следующее:

  1. Операторы связи, обеспечивающие связь сети хостинга с внешним миром
  2. Каналы связи с операторами
  3. Пограничные маршрутизаторы
  4. Каналы связи внутренней сети
  5. Серверы хостинга (например, виртуального)

Целью DDoS-атаки является прекращение доступности какого-либо сервиса, будь то один сайт, сервер или даже целый хостинг. Что такое доступность сервиса? В контексте нашей темы это возможность конечного сервера хостинга получать весь легитимный трафик от пользователей, обрабатывать его за адекватное время и отдавать пользователям ответы. Поэтому для упрощения можно сказать, что мы должны обеспечивать хождение легитимного трафика в направлении 1-5-1.

PS: На самом деле, де-факто наша ответственность перед пользователями не заканчивается на том, что мы отдаем трафик операторам связи, т.к. бывают случаи, что даже при этом ответ до пользователя не доходит, но мы пока оставим эти кейсы за рамками нашей статьи.

Почему хостинг не может взять и полностью передать защиту от DDoS специализированным компаниям?

Передача данных в современной сети Internet построена на многоуровневой архитектуре, где каждый уровень несет свое определенное предназначение. Для передачи данных, используется стек протоколов TCP/IP, который построен по принципу эталонной модели OSI. Концепция этой модели заключается в разбиении процесса передачи данных на уровни, где каждый уровень отвечает за свой функционал.

В случае с DDoS атаками, их принято делить по уровням модели OSI, несмотря на то что стек протоколов TCP/IP состоит всего из 4х уровней.


Сами DDOS атаки происходят только на уровнях L3,L4,L7 по модели OSI.

Для защиты на уровне L3-L4 мы 24/7 работаем через специализированный сервис защиты, который постоянно отбивает сотни атак в день, в последнее время достаточно больших. По объему трафика они приближаются к терабиту. Весь наш трафик поступает к магистральным провайдерам через него.

А что с 7-м уровнем? В случае с хостингом — на 7-м уровне предполагается использование протоколов TLS и HTTPS. Они нужны для защиты передаваемых данных с повышенными требованиями к безопасности.

Соответственно, учитывая все вышенаписанное и отвечая на изначальный вопрос — при атаках на уровне L7, нам было бы необходимо постоянно передавать подрядчику сертификаты пользователей (сотни тысяч сертификатов ежемесячно, десятки тысяч каждый день). Скажем прямо — это не очень удобно и потенциально является дополнительной точкой отказа.

Второй причиной является то, что мы как хостинг-провайдер работаем с очень разнообразными сайтами: на разных фреймворках, с разными правилами маршрутизации, разными куками и т.п… У кого-то на сайте много видео, у кого-то одни картинки, кто-то публикует новости. У кого-то частота запросов большая, у кого-то — маленькая. И так далее. Именно поэтому без понимания нашей специфики неизбежно возникает множество ложно-положительных срабатываний защиты: настроить ее универсально просто невозможно. А объяснять пользователям “Ну вы поймите: мы вас защищали, хотели как лучше, но вот система посчитала ваш трафик невалидным. Простите”, — это не наш метод (хотя и такие кейсы бывают, чего уж там).

Ну и третьей причиной является то, что какая бы хорошая защита не была — она не бывает идеальна. А по-настоящему эффективные средства защиты являются многоуровневыми, работающими в несколько “эшелонов”, каждый из которых работает на своем уровне: от каналов связи, до конечного веб-сервера.

Именно поэтому передать полностью защиту специализированным компаниям будет недостаточно. Не получится “просто заплатить и расслабиться” ????

Как отбиваются атаки
Давайте рассмотрим несколько типов атак и разберем, какие части на нашей схеме в первую очередь станут “бутылочным горлышком”.

UDP/TCP Flood
Это один из наиболее частых видов атак, которые мы отбиваем. Он представляет из себя большой объем трафика, который летит в нашу сторону. Смысл атаки — создать такой объем трафика на входе сети, который, по задумке атакующего, нельзя обработать без отбрасывания валидных пакетов.

Таким образом, на схеме мы можем заметить несколько уязвимых мест:
  • Каналы связи с операторами (2).
  • Пограничный маршрутизатор (3)
  • Операторы связи (1) (сюрприз!)

На графиках с трафиком на границе сети такая атака как правило имеет характерный вид:



В зависимости от силы атаки у нас есть несколько вариантов действий:

А. Забить и ничего не делать
Самый простой вариант. Подходит, когда атака слабая и у нас есть большой запас по каналам связи как снаружи сети, так и внутри сети. В этом случае просто смотрим на самый “узкий” канал связи (как правило, это канал до конечного сервера хостинга(5)) и, если укладываемся в него с кратным запасом, то просто следим и ничего не делаем.

Б. Порезать трафик на пограничном маршрутизаторе
Главный критерий для применения такого способа защиты — остался запас емкости в каналах до операторов связи (2). В противном случае сразу переходим к пункту “В”. Данный вариант чуть посложнее, т.к. тут уже требуется анализ поступающего трафика. Обычно есть смысл обращать внимание на следующие параметры:
  • src/dst IP
  • dst порт
  • протокол
  • длина пакета
  • тело пакета
Для анализа трафика просто отливаем информацию о нем с маршрутизатора при помощи netflow/ipfix или настраиваем port mirroring на сервер с толстым каналом и анализируем трафик вместе с телом пакета на нем.



Чем более “однородный” вредоносный трафик, тем проще его заблокировать без последствий. Часто прилетают атаки на заранее закрытые порты или с 5-10 IP-адресов, или с очень большим размером пакета. Поэтому увидеть закономерность и настроить фильтрацию достаточно просто.

Само-собой, делать это вручную не очень удобно. Поэтому тут подойдут различные системы анализа и визуализации трафика, чтобы было проще и быстрее выявить закономерности. В самом простом случае это связка Prometheus + Grafana с парой дашбордов. Для лучшей аналитики можно использовать что-то вроде Fastnetmon или самописные решения. В идеале нужно добиться того, чтобы правила для блокировки трафика на маршрутизаторе по ряду критериев добавлялись автоматически.

Также не забывайте, что на пограничном маршрутизаторе по умолчанию должны быть закрыты все протоколы и порты, которые не используются для легитимного трафика. Это автоматически отобьет 90% мелких атак =) Например, на виртуальном хостинге у нас практически не используется UDP. Это очень помогает: для всех сетей хостинга можно поставить очень жесткий лимит на объем такого трафика.

В. Бороться с атакой за пределами нашей сети
Если емкости каналов связи с операторами (2) недостаточно, то мы попадаем в ситуацию, когда пакеты валидных пользователей начинают отбрасываться уже на стороне маршрутизаторов операторов связи. В этом случае у нас остается вариант передавать правила для блокировки вредоносного трафика аплинкам через BGP FlowSpec. Выделение и генерацию правил для блокировки производим способом, аналогичным предыдущему методу.

FlowSpec имеет свои ограничения:
  • Не все операторы связи поддерживают эту технологию. А те, кто поддерживает, как правило берут за неё дополнительную плату.
  • Набор правил, которые можно передать, обычно ограничен, и в случае очень сложной распределенной атаки, в которой нельзя выделить явные паттерны, заблокировать весь вредоносный трафик не получится.
В любом случае всегда полезно иметь несколько аплинков с FullView (то есть полной связностью со всеми сетями в интернете), и FlowSpec, которые покрывают весь объем легитимного трафика. В этом случае можно просто отключиться от остальных и передать правила для блокировки нежелательного трафика через них.

Интересный случай: пару раз у нас были атаки, от которых в принципе падали сами операторы связи. Например, в марте, когда после падения (или может быть нас просто отключили?) одного из магистральных операторов в результате DDoS’а на наши сети, мы потеряли связность с Европой. Пользователям это не понравилось, хотя формально мы ничего сами не отключали =)

Г. Blackhole
Наверное, это самый печальный вариант отбития атаки, потому что, по сути, мы просто жертвуем атакуемым ресурсом ради того, чтобы остальные ресурсы продолжили работу. Метод равносилен признанию победы атакующего и единственная его цель — минимизация ущерба для остальных клиентов. Осуществляется через специальное BGP Community у операторов связи. Метод не подходит в случае атаки на множество адресов (например, когда пытаются положить сразу весь хостинг).

К счастью, прибегать к этому методу приходится очень редко.

Атаки на уровне приложения (L7)
Атаки на уровне приложения (в случае с виртуальным хостингом это как правило HTTP(S)-флуд) с одной стороны редко когда приносят глобальные проблемы, т.к. целью атаки почти всегда является конкретный сайт пользователя, конечный сервер хостинга (5), и редко когда мы упираемся в каналы связи. С другой стороны, они происходят, буквально, постоянно и непрерывно, поэтому и средства борьбы с ними должны быть максимально экологичными и универсальными.

Суть атаки заключается в флуде HTTP(S)-запросами к сайту/на ip-адрес пользователя с целью:
  • Превысить лимиты хостинга на количество одновременных запросов/процессорное время с целью спровоцировать отключение сайта. По факту мы видим либо большой объем запросов к сайту, либо запросы к “тяжелым страницам” сайта, генерация которых требует много процессорного времени.
  • Использовать уязвимости в CMS/фреймворках, чтобы выполнить какой-либо произвольный код. Чаще всего так запускают различные майнеры или флудеры (тут у нас появляется интересная тема про исходящие ddos-атаки, о которой мы можем рассказать отдельно).

Методы борьбы с такими атаками достаточно разнообразные:
А. Блокировка подозрительных запросов по-умолчанию
Любой хороший системный администратор знает, что доступ к ресурсам необходимо предоставлять только тем клиентам, которые ожидаются. В пределе это называется “политикой белого списка”: все, что явно не разрешено, — запрещено. Для веб-серверов массового хостинга это чрезмерно жесткая мера, но и свои “списки” у нас тоже есть.

Так, например, мы по умолчанию блокируем запросы от уникальных User-Agent, которые были замечены в массовом флуде, блокируем ряд ботов и сканеров, которые ведут себя неадекватно: не считают нужным смотреть robots.txt, ходят по сайтам в несколько потоков и прочими способами увеличивают нагрузку на сервер, не принося никакой пользы. Таких ботов в интернете довольно много и список постоянно расширяется.

Также иногда на длительное время блокируются целые подсети, с которых практически нет легитимного трафика, но зато есть массовые автоматические запросы: привет друзьям из поднебесной и сопредельных стран!

Как ни странно, без этих мер, количество паразитных запросов к серверам было бы просто огромным. Зачастую различные сканеры работают по принципу: если сервер что-то вменяемое ответил, то начинаем активно его исследовать; иначе — просто забиваем на него на некоторое время и прекращаем запросы. Поэтому, по нашей практике, если вы начали отвечать на мусорные запросы — дальнейший их поток будет только возрастать.

Б. Слежение за процессами пользователей (MCPU)
Зачастую проблемы на сервере может создать не миллион http-запросов к одному сайту, а всего пару десятков, но очень “точных”. К таким запросам относятся различные уязвимые страницы на сайте, скрипты (как правило, в админках/плагинах), которых при определенных входных данных начинают “творить дичь”: уходить в бесконечные циклы с запросами к БД, генерацию превьюшек из полноразмерных картинок товаров, сбросу кеша. В конце концов, есть множество уязвимостей, результатом эксплуатации которых будет майнер крипты, работающий от вашего имени на хостинге (и, к сожалению, майнить он будет не в ваш кошелек).

В итоге сервер загибается под бесполезной нагрузкой.

Бороться с этим достаточно сложно, если мы не хотим вводить драконовские ограничения на время выполнения скриптов пользователей или потребляемое CPU.

Мы пошли по пути активного мониторинга процессов на сервере. У нас есть свой демон на Rust, который постоянно следит за всеми процессами пользователей и имеет постоянно пополняющийся набор правил для выставления ограничений (вплоть до убийства), для тех процессов, которые мы считаем неуместными. Он умеет смотреть на:
  • Различные атрибуты процесса (uid, gid, cmdline, cgroup и т.п.).
  • Объем потребляемой памяти.
  • Затраченное процессорное время.
  • Содержимое исполняемого файла.
В случае совпадения, в зависимости от конкретной задачи, он может выполнять различные действия:
  • Логирует событие (для дальнейшего анализа).
  • Убивает процесс.
  • Помещает в cgroup с заданными параметрами.
  • Настраивает OOM Killer для этого процесса.
  • … любое другое действие, которое нам потребуется.
Вот кусочек такого конфига:
# kill all binaries with miner cmdline patterns
- match:
    - proc.group: newcustomers
    - proc.exe: ^/home/\w/\w+/
    - proc.cmdline: zcash\.flypool\.org
  action:
    - log
    - kill
    - last

Иногда пользователи добровольно хотят запускать валидный процесс convert для того же самого ресайза картинок в своих интернет-магазинах. Как правило, он хочет потреблять довольно много ресурсов и надо, с одной стороны, дать ему выполниться, с другой стороны, — не мешать другим пользователям:
- match:  
    - proc.group: newcustomers
    - proc.command: convert
  action:
    - log
    - adjust_oom: 1000
    - cgroup:
            name: convert
            memory:
            memory.limit_in_bytes: 40543505612 # лимит памяти по умолчанию для других процессов меньше
            memory.move_charge_at_immigrate: 0
            blkio:
            blkio.weight: 100
    - last

Помимо прочего этот демон выставляет нужные нам cgroup для ряда служебных процессов в случае их появления.

В. Анализ и слежение за запросами к сайтам в реальном времени
Безусловно, выявить зловредные запросы только по атрибутам вроде User-Agent или характерного URL невозможно: часто флудят вполне валидными на вид запросами к разным страницам с разными адресами.

Чтобы работать с такими атаками можно использовать несколько уровней защиты:

На сервере (5)
Полезно будет анализировать лог входящих запросов, искать подозрительные паттерны, характерные тайминги и автоматически выставлять ограничения/rate-limit для тех src ip, user-agent, которые кажутся нам подозрительными. Подойдет против простых атак, которые может переварить сервер без ущерба для остальных. Но на самом деле простых атак —большинство и именно на этом уровне выполняется большая часть блокировок.

Внутри сети (4)
Если сервер не справляется, то уместно будет проксировать трафик к сайту/серверу через специальные серверы, которые могут переварить множество tls-хендшейков и отделить невалидные запросы от валидных, и выполнить еще какую-либо дополнительную фильтрацию. На сервер при этом прилетает уже только валидный HTTP-трафик. Подойдет, если флуд состоит из множества невалидных https-запросов и атака нацелена на перегрузку CPU.

В качестве заключения
Увы, нет какого-то единственно верного способа защитить всех, навсегда и от всего.

Нельзя ни делегировать защиту на подрядчика (по крайней мере полностью), ни настроить 1 раз правила фильтрации.

Более того, под DDoS порой попадают даже самые безобидные сайты, а общий объём атак поистине огромен и в последние месяцы их интенсивность только возрастает.

По сути, ключевой способ защиты для любого хостинга — это накопленная экспертиза админов, которые систематизируют и внедряют защиту: где-то с помощью внешних решений, где-то с помощью “креатива и творчества” — например, иногда полезно вместо закрытия соединения отправить в ответ пару килобайт мусора, чтобы атакующая вас взломанная веб-камера надолго уходила в раздумья перед тем, как отправить следующий запрос =)

Благодаря всему этому пользователи хостинга чувствуют последствия атак лишь изредка.

Да пребудет с нами аптайм!
beget.com/ru

Бесплатная защита от DDoS всем клиентам



Мы запустили бесплатную защиту от DDoS-атак. Защита по умолчанию включена во все сервисы Selectel в Москве и Санкт-Петербурге.

Под защиту попадает весь входящий сетевой трафик. При обнаружении атаки фильтруется только трафик, относящийся к DDoS-атаке. IP-адрес блокироваться не будет.
kb.selectel.ru/docs/networks-services/anti-ddos/ddos-selectel/

Продукты и сервисы под защитой
  • Выделенные серверы
  • Облачные серверы
  • Сервисы облачной платформы
  • Инфраструктура в аттестованном сегменте ЦОД
  • Размещение оборудования

Типы атак, которые блокирует защита
  • Отказ в обслуживании (UDP flood)
  • Перерасход ресурсов системы (TCP SYN/RST flood)
  • Наводнение запросами (ICMP flood)
  • Усиление полосы пропускания DDoS-атаки (амплификация)
  • Атаки с отражением на основе UDP (DNS, NTP, etc)

Рост DDoS в 2022
Отказ в обслуживании — один из самых популярных видов атак. Она грозит резким увеличением трафика, из-за чего пользователи не могут получить доступ к ресурсу.
В марте этого года количество подобных атак, по данным Selectel, увеличилось в 4 раза по сравнению с февралем. Количество уникальных атакованных IP-адресов увеличилось в 2,5 раза.
DDoS-атаки значительно увеличивают нагрузки на сетевые инфраструктуры и специалистов, работающих с сервисами защиты.

Средства индивидуальной защиты для вашего бизнеса



Мы обновили услугу по защите и ускорению сайтов, которую Selectel предоставляет в партнерстве с DDoS Guard. По опыту нашей компании многие клиенты задумываются о защите от DDoS и иных угроз только тогда, когда их сервис «слег» под атакой. Учитывая рост киберпреступности, стать следующей «жертвой» может каждый. Мы хотим уберечь вас от лишних тревог и потери денег.

Фильтрация 100 LVL (точнее до L7)
Одна из комплексных защит, которую мы рекомендуем клиентам, — это услуга «Защита и ускорение веб‑сайтов». Алгоритмы фильтрации трафика от DDoS Guard помогают противостоять даже самым сложным атакам на уровне приложений (L7).

Среди достоинств защиты:
  • трехступенчатая система фильтрации с предварительной проверкой пакетов данных на сетевом уровне L3-L4;
  • проверка на основе накопленной информации по домену, создание поведенческой модели;
  • неограниченная полоса фильтрации и объем легитимного трафика;
  • защита поддоменов;
  • поддержка сторонних SSL‑сертификатов;
  • ускорение работы сервисов.

Кому нужна? Любому бизнесу, которому есть что терять, — от стартапа до enterprise. Именно поэтому теперь услуга «Защита и ускорение веб‑сайтов» поддерживает 4 тарифа для компаний с разными потребностями.
selectel.ru/services/additional/ddos-protection/

Не оставляйте шансов киберпреступникам с WAF DDoS Guard
Комплексная «охрана» сайта или приложения начинается с защиты на сетевом уровне и завершается подключением Web Application Firewall, или WAF. Этот защитный экран ограждает от целевых атак, которые отличаются от массовых большей сложностью и продуманностью. Вы имеете дело с киберпреступниками, АРТ‑группировками, цель которых — использовать уязвимости именно вашего сервиса. С переходом в онлайн компании становятся более легкой целью для инъекций, брутфорса, межсайтового скриптинга и других видов атак.

Экспоненциальный рост объемов DDoS-атак

Угрозы безопасности, такие как распределенные атаки типа «отказ в обслуживании» (DDoS), нарушают работу предприятий любого размера, что приводит к отключениям и, что еще хуже, к потере доверия пользователей. Эти угрозы — серьезная причина, по которой мы в Google уделяем особое внимание надежности услуг, основанной на надежной сети.

Чтобы обеспечить надежность, мы разработали несколько инновационных способов защиты от сложных атак. В этом посте мы подробно рассмотрим DDoS-угрозы, покажем наблюдаемые тенденции и расскажем, как мы готовимся к многотерабитным атакам, чтобы ваши сайты продолжали работать.

Таксономия возможностей атакующего
С помощью DDoS-атаки злоумышленник надеется нарушить работу своей жертвы потоком бесполезного трафика. Хотя эта атака не раскрывает пользовательские данные и не приводит к компрометации, она может привести к отключению и потере доверия пользователей, если ее быстро не устранить.

Злоумышленники постоянно разрабатывают новые методы нарушения работы систем. Они дают своим атакам причудливые имена, такие как Smurf, Tsunami, XMAS tree, HULK, Slowloris, cache bust, TCP-усиление, javascript-инъекция и дюжина вариантов отраженных атак. Между тем, защитник должен учитывать все возможные цели DDoS-атаки, от сетевого уровня (маршрутизаторы / коммутаторы и пропускная способность канала) до уровня приложений (веб, DNS и почтовые серверы). Некоторые атаки могут даже не фокусироваться на конкретной цели, а вместо этого атаковать каждый IP-адрес в сети. Умножение десятков типов атак на разнообразие инфраструктуры, которую необходимо защищать, открывает бесконечные возможности.

Итак, как мы можем упростить проблему, чтобы сделать ее управляемой? Вместо того, чтобы сосредоточиться на методах атаки, Google группирует объемные атаки по нескольким ключевым показателям:
  • бит / с сеть бит в секунду → атаки на сетевые ссылки
  • pps сетевых пакетов в секунду → атаки на сетевое оборудование или DNS-серверы
  • rps HTTP (S) запросов в секунду → атаки на серверы приложений
Таким образом, мы можем сосредоточить наши усилия на том, чтобы каждая система имела достаточную способность противостоять атакам, что измеряется соответствующими метриками.

Динамика объемов DDoS-атак
Наша следующая задача — определить мощность, необходимую для противостояния крупнейшим DDoS-атакам для каждой ключевой метрики. Правильное выполнение этого шага является необходимым шагом для эффективной работы надежной сети: избыточное выделение ресурсов приводит к потере дорогостоящих ресурсов, а недостаточное выделение ресурсов может привести к отключению.

Для этого мы проанализировали сотни значительных атак, полученных нами по перечисленным показателям, и включили достоверные отчеты, которыми поделились другие. Затем мы составляем график крупнейших атак за последнее десятилетие, чтобы выявить тенденции. (Данные за несколько лет до этого периода позволили нам решить, что использовать для первой точки данных каждой метрики.)


Экспоненциальный рост всех показателей очевиден, что часто вызывает тревожные заголовки по мере роста объемов атак. Но нам нужно учитывать экспоненциальный рост самого Интернета, который также обеспечивает пропускную способность и вычислительные ресурсы для защитников. После учета ожидаемого роста результаты не столь тревожны, но все же проблематичны.

Создание защищаемой инфраструктуры
Учитывая данные и наблюдаемые тенденции, теперь мы можем экстраполировать, чтобы определить резервную мощность, необходимую для отражения самых крупных атак, которые могут произойти.

бит / с (сетевые биты в секунду)
Наша инфраструктура поглотила DDoS со скоростью 2,5 Тбит / с в сентябре 2017 года, что стало кульминацией шестимесячной кампании, в которой использовались несколько методов атаки. Несмотря на то, что одновременно были нацелены на тысячи наших IP-адресов, предположительно в надежде обойти автоматическую защиту, атака не оказала никакого влияния. Злоумышленник использовал несколько сетей для имитации 167 млн ​​пакетов в секунду (миллионов пакетов в секунду) на 180 000 открытых серверов CLDAP, DNS и SMTP, которые затем отправляли нам большие ответы. Это демонстрирует объемы, которых может достичь злоумышленник с хорошими ресурсами: это было в четыре раза больше, чем рекордная атака со скоростью 623 Гбит / с, совершенная ботнетом Mirai годом ранее. На сегодняшний день это остается атакой с максимальной пропускной способностью, что снижает доверие к экстраполяции.
blog.google/threat-analysis-group/how-were-tackling-evolving-online-threats

pps (количество сетевых пакетов в секунду)
Мы наблюдаем устойчивую тенденцию роста: в этом году ботнет Интернета вещей совершил атаку со скоростью 690 млн пакетов в секунду. Заметным исключением стала атака 2015 года на клиентскую виртуальную машину, в которой ботнет IoT разогнался до 445 млн пакетов в секунду за 40 секунд — объем настолько велик, что мы поначалу подумали, что это сбой мониторинга!

rps (HTTP (S) запросов в секунду)
В марте 2014 года вредоносный javascript, внедренный на тысячи веб-сайтов через сетевую атаку «человек посередине», заставил сотни тысяч браузеров завалить YouTube запросами, пик которых достиг 2,7 млн ​​запросов в секунду (миллионы запросов в секунду). Это была самая крупная атака, известная нам до недавнего времени, когда клиент Google Cloud был атакован с использованием 6 Mrps. Медленный рост отличается от других показателей, что позволяет предположить, что мы недооцениваем объем будущих атак.

Хотя мы можем оценить ожидаемый размер будущих атак, нам нужно быть готовыми к неожиданностям, и поэтому мы соответствующим образом чрезмерно обеспечиваем нашу защиту. Кроме того, мы проектируем наши системы таким образом, чтобы в случае перегрузки происходило постепенное ухудшение их работы, и составляем инструкции по выполнению действий вручную при необходимости. Например, наша стратегия многоуровневой защиты позволяет нам блокировать атаки с высоким и высоким числом оборотов в секунду на сетевом уровне до того, как они достигнут серверов приложений. Изящная деградация применяется также на сетевом уровне: обширные пиринговые и сетевые списки контроля доступа, предназначенные для ограничения трафика атак, уменьшат потенциальный сопутствующий ущерб в том случае, если ссылки маловероятны при переполнении.

Дополнительные сведения о многоуровневом подходе, который мы используем для предотвращения рекордных DDoS-атак, нацеленных на наши услуги, инфраструктуру или клиентов, см. В главе 10 нашей книги «Построение безопасных и надежных систем».
landing.google.com/sre/resources/foundationsandprinciples/srs-book/

Облачная защита
Мы понимаем, что масштабы потенциальных DDoS-атак могут быть устрашающими. К счастью, развернув Google Cloud Armor, интегрированный в нашу службу балансировки нагрузки в облаке, которая может масштабироваться для защиты от массовых DDoS-атак, вы можете защитить от атак службы, развернутые в Google Cloud, других облаках или локально. Недавно мы анонсировали Cloud Armor Managed Protection, которая позволяет пользователям еще больше упростить развертывание, управлять расходами и снизить общий риск DDoS-атак и безопасности приложений.
cloud.google.com/load-balancing

Наличие достаточной мощности для отражения самых крупных атак — это лишь одна часть комплексной стратегии предотвращения DDoS-атак. Помимо обеспечения масштабируемости, наш балансировщик нагрузки завершает сетевые подключения на нашей глобальной границе, отправляя только правильно сформированные запросы в серверную инфраструктуру. В результате он может автоматически фильтровать многие типы объемных атак. Например, атаки с усилением UDP, синхронные потоки и некоторые атаки на уровне приложений будут отброшены без уведомления. Следующей линией защиты является Cloud Armor WAF, который предоставляет встроенные правила для распространенных атак, а также возможность развертывания пользовательских правил для отбрасывания оскорбительных запросов уровня приложения с использованием широкого набора семантики HTTP.

Совместная работа ради коллективной безопасности
Google работает с другими участниками интернет-сообщества, чтобы выявлять и демонтировать инфраструктуру, используемую для проведения атак. В качестве конкретного примера, даже несмотря на то, что атака 2,5 Тбит / с в 2017 году не оказала никакого воздействия, мы сообщили о тысячах уязвимых серверов их сетевым провайдерам, а также работали с сетевыми провайдерами, чтобы отследить источник поддельных пакетов, чтобы их можно было отфильтровать.

Мы призываем всех присоединиться к нам в этих усилиях. Отдельные пользователи должны убедиться, что их компьютеры и устройства Интернета вещей исправлены и защищены. Компании должны сообщать о преступной деятельности, просить своих сетевых провайдеров отслеживать источники поддельного трафика атак и делиться информацией об атаках с интернет-сообществом таким образом, чтобы не обеспечивать своевременную обратную связь с противником. Работая вместе, мы можем снизить влияние DDoS-атак.

Пользовательские тесты для решения OVHcloud против DDoS

Мы обращаемся к вам сегодня, потому что мы работаем над чем-то дополнительным, и нам нужна ваша помощь для этого!

Как клиент линейки выделенных серверов Game, вы используете наше глобальное решение для защиты от DDoS.
Мы предлагаем вам эксклюзивный предварительный доступ для участия в тестировании — не упустите эту возможность!

В соответствии с нашей практикой постоянного совершенствования продуктов, мы скоро развернем новую версию нашей защиты от DDoS-игр.
Прежде чем мы сделаем его глобально доступным, мы проводим этап бета-тестирования, и мы хотели бы, чтобы вы были одним из тестеров.

Регистрация на этап бета-тестирования начинается уже сейчас, и мы ищем 50 участников на 1 месяц.

На протяжении всего этапа бета-тестирования один выделенный игровой сервер будет доступен вам бесплатно, но нам нужна ваша обратная связь.
Если вы согласитесь стать одним из бета-тестеров, вы будете в прямом контакте с технической командой, отвечающей за наше решение против DDoS — это уникальная возможность!

Зарегистрируйтесь сейчас в OVH Labs: labs.ovh.com/node/113

Как только вы зарегистрируетесь, мы свяжемся с вами и предоставим дополнительную информацию о том, как будет проходить этап тестирования.

Заранее спасибо
Команда OVHcloud по борьбе с DDoS

DDoS атаки и методы борьбы с ними



Приветствуем тебя, Уважаемый пользователь услуг нашей компании!

Мы вынужденны сообщить, что в последнее время наша компания стала целью серьезных DDoS атак.
Целью атак является не конкретный клиент, а наша компания в целом, в связи с этим от атаки страдают самые разные крупные клиенты.
Мы считаем что данные атаки являются попыткой скомпрометировать нашу компанию в лице клиентов, компаниями конкурентами, хостерами — предоставляющими услуги по защите от DDoS атак.

Сила этих атак достигает ~200Mpps (200 миллионов пакетов в секунду).
Для достежения такой силы DDoS атаки злоумышленники использовали уязвимости видеокамер и умных устройств по всему миру, заразив более 50.000 таких устройств.

На данный момент мы не можем отфильтровать атаку такой силы, наше оборудование не может обработать такую атаку и внешние каналы не могут пропустить и обработать такой обьем трафика.

Просим не поддаватся провакации со стороны нечестных игроков.
Нами предпринимаются все необходимиые действия для увеличения мощности защиты и увеличения пропускной способности каналов.

Немного информации о действиях по защите:
  • DDoS атаки длятся уже более 2-х месяцев, все это время нашими специалистами ведется разработка новой прокаченной до неузноваемости системы защиты, которая уже сейчас, на стадии разработки, показывает рост производительности в 3 раза.
  • Новая версия зашиты разрабатывается с поддержкой самых современных процессоров и сетевого оборудования. При обновлении оборудования, запланированного по завершении тестов новой защиты, производительность зашиты вырастет в 6 раз относительно действующей защиты на данный момент.
  • Нами уже закуплена первая партия оборудования, необходимого для увеличения мощностей защиты и ожидается в течении 2-х недель.
  • Для увеличения пропускной способности каналов связи и не допущения перегрузок каналов в момент атаки, нами, в феврале этого года, заключен договор на расширение каналов связи, по которым идет трафик из России, Украины и стран СНГ, расширение запланировано на март этого года. Данные изменения позволят нам достичь стабильной работы с пользователями из России, Ураины и некоторых стран Европы во время DDoS атак.
  • После достижения стабильности при работе с трафиком России, Украины и стран СНГ, планируется закупка второй партии оборудования и увеличение пропускной способности до дальних стран Европы, Китая и т.д. Данные изменения позволят нам принять и отфильтровать часть атаки которая идет из-за рубежа.

Действия по отражению имеющихся атак, обеспечению бесперебойного сервиса в условиях атак, а так же атак значительно большей силы — мероприятия требующие больших финансовых ресурсов.В связи с этим наша компания до завершения мероприятий, необходимых для обеспечения стабильной работы, переходит в режим «экономии» для более быстрой закупки всего оборудования необходимого для апгрейдов.

Мы временно прекращаем закупку новых серверов и части комплектующих для сборки новых серверов.
Наш приоритет — обеспечить стабильную работу текущих клиентов, а не увеличить количество новых клиентов. Всем новым клиентам будут доступны только сервера, имеющиеся в наличии.
Так же возможна недоступность некоторых изменений комплектации действующих тарифов.

К сожалению мы можем поделиться только частью информации о наших действиях и цифрах, так как большая часть деятельности по предотвращению атак является коммерческой тайной и не должна стать известна компаниям организующим атаки.

С уважением, команда АртПланет.

artplanet.ru

Проблемы в ДЦ Германии (First-colo)



Обновлено: 1 ноября 2019 г. 14:42
На корневом корневом маршрутизаторе вышел из строя компонент управления. В связи с чем, нарушена сетевая доступность всех IP сетей дата-центра. Инженеры дата-центра занимаются восстановительными работами. Мы будем обновлять информацию в этой новости.

Обновлено: 1 ноября 2019 г. 15:23
К сожалению, замена сбойного компонента на корневом маршрутизаторе — не дала положительного результата. Инженерами дата-центра будет произведена срочная замена маршрутизатора. Работы займут не менее 30-40 минут. Как только у нас появится новая информация о сроках и решениях, мы обязательно дополним эту новость.

Обновлено: 1 ноября 2019 г. 16:44
К работе над данным инцидентом подключились специалисты Arista Networks (производители core-маршрутизаторов).

Обновлено: 1 ноября 2019 г. 17:48
Сетевые подключения в некоторых сегментах дата-центра — вновь доступны. Мы обновим новость когда все сегменты сети в дата-центре будут полноценно введены в работу.

Обновлено: 1 ноября 2019 г. 20:46
Дата-центр партнер, First-colo.net сообщил о том что по последним данным, испытывает DDoS атаку ёмкостью более чем 300 гигабит в секунду. Инженеры дата-центра продолжают заниматься устранением данного инцидента и отфильтровывать вредоносный трафик на свои сети.

Обновлено: 1 ноября 2019 г. 21:09
В данный момент, мы подготавливаем техническую платформу для миграции наших IP сетей в отдельный центр фильтрации трафика.

Обновлено: 2 ноября 2019 г. 0:34
Наши инженеры, совместно с инженерами дата-центра First-colo и центра фильтрации продолжаю заниматься решением проблемы в режиме 24/7. Мы прикладываем максимально усилия чтоб как можно скорее стабилизировать работу сети в нашем партнерском дата-центре в Германии.

Обновлено: 2 ноября 2019 г. 10:26
Примерно с 01:00 (МСК) все наши IP сети проходят через несколько центров фильтрации трафика. Наши инженеры продолжают внимательно следить за состоянием сети и оперативно настраивать отдельные её элементы чтоб сохранять доступность. Если у вас остались проблемы с доступом, пожалуйста, свяжитесь с нашей поддержкой через тикет-систему fornex.com/my/tickets/. Полный отчет об инциденте, условия компенсации и другая информация — будет в рассылке, которую вскоре мы сделаем.



Обновление | 2019-11-01 15:22:36 CET
Что касается нарушения работы сети, проблема может быть еще более ограниченной. Наши сетевые инженеры усердно работают над решением проблем.
Когда приблизительное время восстановления услуг станет известно, мы незамедлительно уведомим вас. Мы стараемся решить проблемы в краткосрочной перспективе и приносим извинения за возникшие проблемы с сетью.

Обновление | 2019-11-01 18:26:06 CET
С 12:00 мы до сих пор получаем мощные DDoS-атаки на более чем 1000 IP-адресов с пропускной способностью атаки более 300 Гбит / с. Наши сетевые инженеры в настоящее время пытаются смягчить атаки различными способами. Мы уже связались с нашими перевозчиками, чтобы уменьшить входящий трафик.

В настоящее время мы не можем дать точное заявление, когда проблема будет решена.

Мы приносим свои извинения за это долгое нарушение работы сети и надеемся на ваше понимание.

Решено | 2019-11-01 19:00:00 CET
Прежде всего, все наши системы в настоящее время стабильны и работают. Отключение сети было вызвано так называемыми DDOS-атаками «Ковровая бомба», которые продолжались с 12:00 до 19:00 CET с постоянной скоростью атаки более 350 Гбит / с. Атаки вызвали немедленные проблемы для нашей сети, как только они начались. Мы сразу начали отлаживать сеть для проблем и смогли определить причину проблем. Но из-за большого количества атакованных хостов нам потребовалось некоторое время, чтобы взять атаку под контроль.

Чтобы уменьшить поверхность атаки для дальнейших атак, трафик от атакованных клиентов был перенаправлен и теперь фильтруется дополнительными приложениями DDOS.

Мы приносим извинения за все неприятности, возникшие в результате этих атак, и надеемся на ваше понимание в этом вопросе.

Тестирование производительности VPS

Наши VPS самые мощные! Мы провели тестирование, и делимся результатами с вами
В тестировании участвовали VPS-32 и VPS-12.

VPS-32


Тариф имеет 8 ядер 4.5 Ггц, 32 GB DDR4 ОЗУ, 400 GB NVMe, 10 Гбит/с сеть.
Стоимость — 3.999 рублей / месяц.

Мощность CPU проверяем с помощью CPU-Z

По мощности он значительно обгоняет Intel Core i7 7700K, который сейчас стоит у ресселеров почти 10.000 рублей / месяц.

Или немного уступает Inel Core i7 8700K

Отличная производительность за 3.999 рублей, лучше не найти.

Теперь проверим скорость NVMe диска тестом CrystalDiskMark, файлом 1 GB и проходом 5 раз.

Получаем больше гигабайта в секунду запись и чтение, в три раза быстрее SATA SSD

На всех наших нодах используется Raid-1, которого нет на Game SoYouStart, поэтому вы не потеряете однажды все свои данные.

Теперь проверим сеть, используем сайт speedtest.net, поэтому тесты не будут точными — всего 4 http потока, и ssl дают о себе знать.

Не смотря на эти ограничения, мы получаем 1.5 Гбит/с на загрузку и 1 на отдачу.

Теперь проверим скорость в Москву


Скорость загрузки более 1 Гбит, отдача 150 Мбит, пинг 33 ms (сервер находится в Германии). Результаты отличные как для http теста.

С Ubuntu получаем результаты намного интереснее:

7 Гбит/с загрузка в один поток, тестирование с speedtest.tele2.net
Таким образом VPS-32, который стоит дешевле популярного тарифа на SoYouStart Intel Core i7 6700K, значительно обходит его.

Теперь проверим VPS-12

Тариф имеет 4 ядра 4.5 Ггц, 12 GB DDR4 ОЗУ, 60 GB NVMe, 10 Гбит/с сеть.
Стоимость — 1499 рублей / месяц.

Проверяем только CPU, все остальное без изменений.

VPS-12 по производительности немного уступает Intel Core i7 4790K, или мощнее Intel Core i7 2600K, а стоит всего 1499 рублей / месяц.

На всех наших тарифах есть собственная игровая защита от DDoS атак UDP/TCP.

Купить можно всегда на нашем сайте: https://waf.ovh/
Написать нам: https://vk.me/wafovh

Как работает удаленная защита?



К сожалению, сейчас Anti-DDoS защита от OVH не справляется с новыми атаками L4-L7.

Например внутри сети OVH VAC не работает, и любой может положить сервер с 1 Гбит сетью двумя серверам по 1 Гбит. От такого спастись почти невозможно — атака L4, без payload. А создать такую атаку может любой школьник, для такой атаки хватит и hping3.

Или как многие знают OVH VAC не фильтрует L7 атаки, поэтому ваш сервер смогут положить банально мощными игровыми ботами, пример такой атаки на нашего клиента с сервером Minecraft —

80 тысяч ботов в секунду, и это с срезанным 70% трафика! Сервер стоял у нас, понятное дело он не заметил такой атаки, но для обычного дедика на OVH хватает 10-20 тысяч ботов в секунду, чтобы он перестал принимать новые соединения.

Пример атаки на мощный сервер с процессором Intel Xeon W-2145, 10гбит сетью:

Включенный VAC, жесткие лимиты в Iptables, настроенный sysclt не помогли, сервер упал.
Ещё OVH пропускают до 20 SYN пакетов в секунду с одного айпи, и можно положить сервер с небольшого ботнета в ~8000 устройств, банально SYN атакой.

Это только примеры некоторых атак, которые применяют, на самом деле их намного больше, поэтому мы создали WAF.OVH — не просто мощные VPS-сервера, но и отличная защита от DDoS атак.

Как подключить защиту?

У нас есть разные тарифы для удаленной защиты TCP сервисов, начиная с 399 рублей в месяц, почти по цене IP! За такую сумму вы получаете — 50мбит/с трафик, 10Гбит/с порт, и отличную защиту.

Сейчас сервер защиты располагается в Германии, OVH, поэтому при использовании туннеля с Hetzner можно не только хорошо сэкономить, но и получить хорошую защиту и низкий пинг. Надбавка пинга при работе туннеля с серверами во Франции, OVH, обычно не более 6ms. Но в скором времени будут добавлены сервера и во Франции.

При покупке вам нужно настроить некоторые параметры —
Backend IP — Айпи вашего сервера, который нужно защитить. Если вас уже атакуют по этому айпи рекомендуем его сменить, или написать нам, чтобы мы помогли вам «правильно» закрывать все ненужные подключения.

Необходимые порты — порты которые нужно пробросить через туннель. Рекомендуем пробрасывать только порты вашего сервиса, например для Minecraft — 25565, для сайта — 80, 443. По SSH подключатся лучше по реальному айпи вашего сервера.

Тип туннеля — на выбор есть 3 типа туннелей GRE / IPIP / L7 (посредствам nginx tcp proxy, без реального IP клиентов). Для OVH нужно использовать GRE. Для всех других, например Hetzner лучше использовать IPIP.

После настройки заказ можно оплачивать, и ждать получения скрипта туннеля по email, обычно это занимает ~30 минут.

Загружаем файл tunnel.sh, переносим на дедик, устанавливаем права 777

chmod -R 777 tunnel.sh

В самом фале меняем некоторые настройки


IFACE — замените название сетевого интерфейса, на название вашего главного сетевого интерфейса (обычно узнать можно с помощью команды ifconfig).

Другие настройки не трогаем, и сохраняем файл.

Далее просто запускаем его ./tunnel.sh start
(Чтобы остановить пишем ./tunnel.sh stop)

Теперь можно менять айпи вашего BungeeCord, или сервиса который используете, на локальный айпи туннеля, который указан в L_OUT


bind_local_address тоже ставим на false, чтобы ваш трафик к локальным серверам не ходил через туннель, перезапускаем сервис.

Последнее — это сменить в вашем домене записи, на защищенный айпи туннеля, и можно не бояться DDoS атак :)

Наш сайт — https://waf.ovh/
Удаленная защита — https://waf.ovh/remote-protection.php
Написать нам — https://vk.me/wafovh

В скором времени мы планируем запустить web-защиту, и CDN, следите за новостями в группе — https://vk.com/wafovh