Мы пишем, чтобы сообщить вам, что в соответствии с решением об адекватности, принятым Европейской комиссией в отношении передачи персональных данных в Соединенные Штаты, Cloudflare прошла сертификацию в соответствии с Рамочной программой конфиденциальности данных ЕС-США, Рамочной программой конфиденциальности данных между Швейцарией и США. и расширение Соединенного Королевства (Великобритании) к Соглашению о конфиденциальности данных ЕС-США (вместе именуемому «DPF»). В результате, если каждая структура будет признана адекватной, Cloudflare теперь будет полагаться на DPF как на юридический механизм передачи данных из ЕС, Швейцарии и Великобритании.

Как указано в нашем Дополнении об обработке данных, мы продолжим полагаться на Стандартные договорные условия ЕС (и Дополнение Великобритании) при переводах из ЕС, Швейцарии и Великобритании в другие третьи страны, которые не подлежат определению адекватности.

Мы также обновили нашу Политику конфиденциальности, включив в нее подробную информацию о нашей самостоятельной сертификации в DPF, в частности, о механизмах рассмотрения жалоб и надзоре, осуществляемых Федеральной торговой комиссией США.

Что мне нужно делать?
Если вы являетесь клиентом самообслуживания или корпоративным клиентом по нашему стандартному контракту (что означает отсутствие изменений в Дополнении об обработке данных), то никаких действий не требуется. Мы просим вас ознакомиться с нашим обновленным DPA, который включен посредством ссылки в наше Соглашение о подписке на самообслуживание и Соглашение о корпоративной подписке. Мы обновили наше Дополнение об обработке данных, чтобы отразить, что любая передача персональных данных за пределы Европейской экономической зоны, Великобритании или Швейцарии будет осуществляться в соответствии с Рамочным соглашением о конфиденциальности данных ЕС-США, расширением британско-американского соглашения о данных ЕС-США. Структура конфиденциальности и Соглашение о конфиденциальности данных между Швейцарией и США соответственно, при условии, что эти структуры признаны участвующими юрисдикциями в качестве адекватных правовых механизмов для передачи данных из ЕС, Великобритании и Швейцарии в США. Для переводов из ЕЭЗ, Великобритании и Швейцарии в любую другую страну, в которой нет действующего соглашения об адекватности, DPA Cloudflare продолжит включать соответствующие стандартные договорные положения.
www.cloudflare.com/terms/

Если у вас есть договорное соглашение: пожалуйста, свяжитесь с вашими менеджерами по работе с клиентами, если вы хотите обновить свое соглашение с Cloudflare.

Вам нужно больше рекомендаций?
Если у вас есть какие-либо вопросы, обратитесь к Cloudflare Trust Hub для получения дополнительной информации. www.cloudflare.com/trust-hub/gdpr/

Команда Cloudflare по вопросам конфиденциальности

Первый раз за 10 лет — кто-то атаковал cloudflare и оно сыпало целой пачкой
Не разу такого не видал еще, только на ОВХ видел.

Cloudflare поднимает цены впервые за последние 12 лет. Начиная с 15 января 2023 года с новых регистраций будет взиматься плата в размере 25 долларов США в месяц для нашего плана Pro (ранее 20 долларов США в месяц) и 250 долларов США в месяц для нашего бизнес-плана (больше 200 долларов США в месяц). Любые платные клиенты, которые зарегистрируются до 15 января 2023 года, включая всех платящих клиентов, которые зарегистрировались в любой момент в течение последних 12 лет, будут использовать старую месячную цену до 14 мая 2023 года.

Мы также представляем вариант оплаты ежегодно, а не ежемесячно, на который, как мы надеемся, перейдет большинство клиентов. Годовые планы доступны сегодня со скидкой от новой месячной ставки до 240 долларов в год для плана Pro (эквивалент 20 долларов в месяц, экономия 60 долларов в год) и 2400 долларов в год для бизнес-плана (эквивалент 200 долларов в месяц, экономия 600 долларов в год). Другими словами, если вы решите платить за Cloudflare ежегодно, вы можете зафиксировать наши старые месячные цены.

После того, как мы не повышали цены в нашей истории, мы тщательно обдумали это, прежде чем принять решение. Хотя у нас за плечами более десяти лет расширения сети и инноваций, может показаться нелогичным, что наша цель не в том, чтобы увеличить доход от этого изменения. Нам нужно заранее инвестировать в создание нашей сети, и основная причина, по которой мы вносим это изменение, заключается в том, чтобы более точно сопоставить наш бизнес со сроками наших основных затрат. Это позволит нам еще больше ускорить расширение нашей сети и темпы внедрения инноваций, от чего выиграют все наши клиенты. Поскольку это большое изменение для нас, я хотел бы найти время, чтобы рассказать, как мы пришли к этому решению.

История Cloudflare
Cloudflare был запущен 27 сентября 2010 года. В то время у нас было два плана: один бесплатный план, который был бесплатным, и план Pro, который стоил 20 долларов в месяц. Наша сеть на тот момент состояла из «четырех с половиной» дата-центров: Чикаго, Иллинойс; Эшберн, Вирджиния; Сан-Хосе, Калифорния; Амстердам, Нидерланды; и Токио, Япония. Маршрутизация в Токио была настолько нестабильной, что мы отключали ее на полдня, чтобы не испортить маршрутизацию по всему миру. Самая большая разница в первые пару лет между нашими бесплатными и профессиональными планами заключалась в том, что только последний включал поддержку HTTPS.


В июне 2012 года мы представили наш бизнес-план за 200 долларов в месяц и корпоративный план, адаптированный для наших крупнейших клиентов. К тому времени мы не только добились надежной работы в Токио, но и добавили еще 18 центров обработки данных по всему миру, в общей сложности 23. В наш бизнес-план в качестве основного преимущества было добавлено смягчение последствий DDoS-атак, чего раньше мы боялись предлагать.


Перенесемся в сегодняшний день, и многое изменилось. Мы работаем более чем в 275 городах более чем в 100 странах мира. Мы включили поддержку HTTPS в наш бесплатный план с запуском Universal SSL в сентябре 2014 года. Мы включили неограниченную защиту от DDoS-атак в наш бесплатный план с запуском Unmetered DDoS Mitigation в сентябре 2017 года. Сегодня мы ежедневно останавливаем атаки для пользователей бесплатного плана. основе, что более чем в 10 раз превышает то, что было в заголовках новостей еще в 2013 году.


Наша стратегия всегда заключалась в том, чтобы развертывать функции, ограничивая их сначала платными клиентами более высокого уровня, но со временем развертывая их в наших планах и, в конечном итоге, даже для наших клиентов с бесплатным планом. Мы считаем, что каждый должен быть быстрым, надежным и безопасным в Интернете, независимо от его бюджета. И мы считаем, что наш дальнейший успех должен основываться в первую очередь на новых инновациях, а не на извлечении прибыли из старых функций.


И мы выполнили это обещание, ускорив развертывание новых функций на нашей платформе и включив их в наши существующие планы без повышения цен. То, что вы получаете сегодня с нашими бесплатными, профессиональными и бизнес-планами, на порядки более ценно по всем параметрам — производительности, надежности и безопасности — чем эти планы, когда они были запущены.

И все же мы знаем, что являемся инфраструктурой наших клиентов. Вы полагаетесь на нас. И поэтому мы очень неохотно поднимали цены только для того, чтобы забрать цену и получить больше дохода.

Годовые планы для еще более быстрого внедрения инноваций
Раньше мы взимали плату только ежемесячно, потому что мы были непроверенным сервисом, и мы знали, что клиенты рискуют. Сегодня это уже не так. Большинство наших клиентов используют нас годами и, судя по нашим разговорам с ними, планируют продолжать использовать нас в обозримом будущем. На самом деле, один из самых популярных запросов, которые мы получаем, исходит от клиентов, которые хотят платить один раз в год, а не получать счета каждый месяц.

Хотя я горжусь темпами наших инноваций, одной из наших проблем является управление денежными потоками для финансирования этих инвестиций так быстро, как мы хотели бы. Мы инвестируем авансом в создание нашей сети или разработку новой функции, но затем наши клиенты платят только ежемесячно. Это, по сути, является регулятором нашего темпа инноваций. Мы можем инвестировать еще быстрее — нанять больше инженеров, развернуть больше серверов — если те клиенты, которые знают, что будут использовать нас в следующем году, заплатят за нас авансом. У нас нет недостатка в вещах, которые, как мы знаем, клиенты хотят, чтобы мы построили, поэтому, собирая доход раньше, мы знаем, что можем открыть еще более быстрые инновации.

Другими словами, мы вносим это изменение, надеясь, что большинство из вас не будет платить нам больше, чем раньше. Вместо этого мы надеемся, что большинство из вас примут наши годовые планы — вы сможете зафиксировать существующие цены и поможете нам еще больше ускорить рост нашей сети и темпы инноваций.

Наконец, я хотел упомянуть, что кое-что не меняется: наш бесплатный план. Это все равно будет бесплатно. Он по-прежнему будет иметь все функции, которые есть сегодня. И мы по-прежнему стремимся со временем перевести многие другие функции, которые сегодня доступны только в платных планах, на бесплатный план. Наша миссия — помочь сделать Интернет лучше. Мы хотим победить, став самой инновационной компанией в мире. А это означает, что мы должны сделать наши услуги доступными как можно большему количеству людей, даже тем, кто не может позволить себе платить нам прямо сейчас.

Но для тех из вас, кто может заплатить: спасибо. Вы профинансировали наше новшество на сегодняшний день. И я надеюсь, что вы решите перейти на годовое выставление счетов, чтобы мы могли еще больше ускорить расширение нашей сети и темпы внедрения инноваций.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения, ускорять любой веб-сайт или интернет-приложение, предотвращать DDoS-атаки, держать хакеров в страхе и можем помочь вам на пути к нулевому доверию.

8chan (новое название 8kun) — популярный анонимный форум с возможностью пользователей создавать собственные тематические разделы сайта и самостоятельно их администрировать. Известен своей политикой минимального вмешательства администрации в модерирование контента, из-за чего стал популярен у разной сомнительной публики.

После того как на сайте оставили свои послания террористы-одиночки, на форум начались гонения — их стали выгонять со всех хостингов, регистраторы разделегировали доменные имена и т.д.

С правовой точки зрения ситуация с 8chan достаточно спорная, так как администрация декларирует, что следует законам США и удаляет запрещённый контент с сайта, а также выполняет запросы правоохранительных органов. Претензии к 8chan носят скорее морально-этический характер: место имеет дурную репутацию.

2 ноября 2019 к нам на хостинг vdsina.ru пришёл 8chan. Это вызвало оживлённые споры внутри нашего коллектива из-за чего мы решили опубликовать этот пост. В статье рассказывается история гонений на 8chan и почему мы в итоге решили предоставить хостинг проекту 8chan (который всё равно закрылся).

Хронология событий
Мы не будем описывать конкретные эпизоды трагедий, участники которых как-либо упоминаются в контексте 8chan. Отношение к этим событиям однозначно для любого здорового человека и не является для нас предметом споров. Главный вопрос, который мы хотим поднять — это может ли поставщик услуг выступать в роли цензора и решать кому отказывать в предоставлении сервиса, основываясь не на букве закона, а на своём представлении о морали.

Опасность такого подхода несложно представить, ведь если развить эту идею, то в какой-то момент, например, ваш мобильный оператор может отключить вам услуги связи, потому что вы, по его мнению, аморальный человек, или как либо сотрудничали с недостойными людьми. Или интернет-провайдер отключит вам интернет, потому что вы посещаете плохие сайты.

Исключение из поисковой выдачи Google
В августе 2015 сайт 8ch.net перестал показываться в поисковой выдаче Google. В качестве причины для удаления было указано «Жалобы на контент, содержащий насилие над детьми». При этом правила сайта явно запрещали публикацию такого контента и с самого сайта 8ch.net подобный медиа-контент оперативно удалялся.

Спустя несколько дней, после публикации на ArsTechnica, сайт 8ch.net частично вернулся в поисковую выдачу Google.

Отключение от CloudFlare

Сайт 8chan использовал сервис CloudFlare для защиты от DDoS-атак и в качестве CDN. 5 августа 2019 года в блоге Cloudflare был опубликован большой пост о том почему они решили прекратить обслуживание 8chan.

Вот краткие выдержки из этого поста:

… стало известно, что подозреваемый в расстрелах террорист был вдохновлён интернет-форумом 8chan. Основываясь на предоставленных доказательствах, можно утверждать, что он выложил целую речь прямо перед тем, как убить 20 человек.

...8chan не раз подтверждал звание выгребной ямы для ненависти.

— Cloudflare о прекращении обслуживания 8chan

В своём посте CloudFlare сравнивает сайт 8chan с другим скандальным сайтом, антисемитским новостным изданием The Daily Stormer, которому так же ранее было отказано в обслуживании. Однако главное отличие The Daily Stormer от 8chan в том, что первый сайт прямо позиционируется как антисемитский и контент публикуется самими авторами сайта, в то время как на 8chan весь контент является пользовательским, точно так же, как в условном facebook или twitter. При этом позиция администрации 8chan состоит в том, чтобы не вмешиваться в контент пользователей «сверх того, что требует закон США». То есть администрация сайта блокирует, к примеру, сцены насилия над несовершеннолетними, но не запрещает дискуссии.

CloudFlare явно осознают неоднозначность своего решения, когда пишут, что им оно не слишком нравится, но при этом полностью законно.

Нам по-прежнему крайне неудобно находиться в роли судей контента и мы не планируем часто делать это. Многие ошибочно предполагают, что причина тому — первая поправка США. Это не так. Во-первых, мы частная компания и мы не ограничены первой поправкой. Во-вторых, подавляющее большинство наших покупателей, и более 50% нашего дохода приходит из-за границ США, где, ни первая поправка, ни аналогичная ей либертарианская защита свободы слова не применимы. Единственное сходство с первой поправкой здесь в том, что мы имеем право выбирать с кем вести бизнес, а с кем нет. Нас не обязывают вести бизнес со всеми.

— Cloudflare о прекращении обслуживания 8chan

Новость о решении CloudFlare вызвала резонанс в интернете. Под постом появилось много возмущённых комментариев. Один из верхних комментариев, при сортировке по числу лайков, принадлежит хабраюзеру ValdikSS

Вольный перевод:

Чо? Почему вы называете 8chan сайтом ненависти и обвиняете его в «беззаконии»? Это просто движок, на котором любой может создать свою борду и самостоятельно её администрировать. Как можно сравнивать это с The Daily Stormer, новостным сайтом со своим администратором?

И вообще почему вы обвиняете сайт в убийствах? Это люди убивают людей, а не форум в интернете. Если они будут использовать смски и мобильную связь, чтобы общаться с другими людьми, то надо отключить мобильную связь?

Отключение хостинга
После отключения от CloudFlare обнаружился реальный IP хостинг-площадки 8chan. Это были адреса дата-центра Voxility. Официальный аккаунт Voxility в твиттере написал, что адреса принадлежали реселлеру под названиями Epik/Bitmitigate, которого сразу отключили.


Переезд в Россию
Спустя три месяца после отключения хостинга, сайт возобновил работу под новым именем 8kun.net. Согласно расследованию CBS News, сперва сайт развернулся на площадке Selectel, но в тот же день был заблокирован. После чего переехал к нам.

Почти сразу один из наших бизнес-партнёров потребовал заблокировать ресурс, потому что 8kun нарушает их AUP. Мы начали искать возможность предоставить хостинг для 8kun, не нарушая партнёрских договорённостей и как только нашли такой, разблокировали серверы 8kun. К тому моменту ресурс успел переехать на Medialand.

Мы приняли решение не блокировать сайт, пока он не нарушает законы стран, в которых мы работаем.

Подпольный хостинг Medialand
Вскоре домен 8kun.net стал указывать на IP-адрес 185.254.121.200, который формально не должен принадлежать никому, так как находится в нераспределённом пуле адресов и официально не выделен ещё ни одному провайдеру. Однако этот адрес анонсируется из автономной системы AS206728, которая по данным Whois принадлежит провайдеру MEDIALAND. Это русский подпольный хостинг, получивший известность после расследование Брайна Кребса — Крупнейший пуленепробиваемый хостинг.

Компания «Медиа Лэнд» принадлежит россиянину Александру Воловику, и по мнению Брайана Кребса и других исследователей, используется для хостинга мошеннических проектов, контрольных панелей ботнетов, вирусов и прочих преступных целей.

Доклад на конференции BlackHat USA 2017 о сетевой инфраструктуре преступников, в которой фигурирует хостер «Медиа Лэнд».

Разделегирование доменов
За время существования сайта, у него сменился владелец. Из-за разногласий с прошлым владельцем, доменное имя 8ch.net сохранить не удалось. В октябре 2019 сайт был переименован в 8kun.net и анонсирован перезапуск проекта.

Пока домен 8kun.net был активен, посторонние люди зарегистрировали у регистратора name.com несколько доменов:

• 8kun.app
• 8kun.dev
• 8kun.live
• 8kun.org

И установили переадресацию на домен 8kun.net. Все эти домены были разделегированы Name.com якобы за нарушение правил, при этом заблокировав возможность переноса доменов к другому регистратору. Об этом сообщил владелец доменов.

Вскоре домен 8kun.net был разделегирован по заявлению бывшего владельца.

Некоторые время сайт был доступен по адресу 8kun.us, но и этот домен был разделегирован.
Забавный момент — нам писал регистратор этого домена с просьбой заблокировать хостинг, хотя сами они могли выключить домен в один клик.


На текущий момент сайт 8chan полностью недоступен в клирнете (обычном интернете) и зайти на него можно только через сеть TOR используя onion-адрес.

Заключение
Мы никоим образом не поддерживаем насилие и нетерпимость в любой форме. Целью данного поста является обсуждение технической и правовой стороны проблемы. А именно: могут ли поставщики услуг самостоятельно, не дожидаясь судебных решений, определять какой ресурс является незаконным.

Совершенно очевидно, что любые публичные сервисы, которые разрешают публикацию пользовательского контента, обязательно будут регулярно использованы во зло. На площадках Facebook, Instagram, Twitter публикуются сотни обращений террористов и даже их прямые трансляции. При этом не ставится вопрос о том, что существование этих площадок влияет на количество преступлений.

Случай с 8chan показывает, что несколько частных компаний могут объединиться и попросту уничтожить другой ресурс, методично отключая услуги связи и разделегируя домены. По такой же схеме могут быть уничтожены и любые другие ресурсы. Вряд ли полное цензурирование интернета приведёт к снижению насилия в мире, но совершенно точно породит множество аналогичных площадок в даркнете, где отследить авторов уже будет намного сложнее.

Вопрос сложный и легко можно найти аргументы как за, так и против блокировки 8chan. А как вы считаете?

https://vdsina.ru

15 июня или после 2019 Cloudflare начнет собирать налог на добавленную стоимость («НДС») по продажам своих услуг клиентам на территории Российской Федерации в соответствии с требованиями новых российских правил НДС, вступившие в силу с 1 января 2019 г. В соответствии новые правила, Cloudflare обязано взимать налог НДС в размере 20%. Другими словами, 16,67% от счета представляет собой НДС.

Пример:

• Стоимость продукта: $ 100
• НДС цены: $ 120
• Сумма НДС: $ 20 ($ 100 * 20%)
• Ставка НДС: 16,67% ($ 20/120)

Вы получили это уведомление, потому что ваш счет подлежит новому НДС. Наши данные свидетельствуют о том, что ваша компания или ее руководство находится в России или услуги выполняются в России. Если ваша компания или управление больше не находятся в России или услуги не производятся в России, пожалуйста, обновите ваш профиль учетной записи, следуя инструкции, приведенные здесь с помощью учетной записи электронной почты, связанную с вашей учетной записью CloudFlare. Там, вы можете также указать свой номер НДС России, если вы хотите, чтобы ваш номер НДС указан в счете-фактуре.

Спасибо за ваше сотрудничество.

Несколько советов как сделать ваш сайт быстрее всего за пару минут.

Первый совет это перейти на PHP версии 7 или выше. Много тестов показали что PHP7 работает намного быстрее чем PHP5. В версии PHP7 было внесено много изменений и усовершенствований.
Что-бы сменить версию PHP вам необходимо всего лишь зайти в свой хостиг аккаунт и перейти в раздел WWW -> PHP в котором выбрать версию PHP по умолчанию. Затем, выбрать нужный вам домен и сменить ему версию PHP. Ваши сайтымогут работать с PHP как модуль Apache и как CGI. После смены версии PHP сайт автоматически перейдет на работу с выбранныой версией.

Следующий совет это кеширование отдачи сайта через прокси CloudFlare www.cloudflare.com Наш хостинг поддерживает интеграция с CloudFlare.
Вам необходимо ввести логин и пароль от CloudFlare в панели хостинга в разделе Инструменты -> CloudFlare.
После этого вы можете выбрать любой ваш сайт переключить его на работу с CloudFlare всего в один клик.

bill.conturov.net/manager/billmgr?func=register

Cloudflare допустил утечку конфиденциальных данных своих клиентов за период с 22.09.2016 по 18.02.2017.
Если Вы используете сервис Cloudflare, мы подготовили рекомендации, как проверить, коснулась ли Вас эта проблема.
Это не означает, что данные именно Ваших доменов похищены. Однако вероятность этого существует.
Утечка коснулась паролей, токенов OAuth, сессионных cookie, закрытых сообщений, ключей для доступа к API и ряда других данных.
На github опубликован файл со списком доменов, данные которых с наибольшей вероятностью похищены.
В этом файле (22МБ) представлен список из 4287625 доменов github.com/pirate/sites-using-cloudflare/archive/master.zip

Для проверки наличия вашего сайта в этом списке:

• распакуйте архив
• выполните команду в командной строке (замените domain.tld на имя вашего домена)

Если домен найден в файле, то, скорее всего, данные из учетной записи Cloudflare похищены.
Если данные домена с сервиса Cloudflare похищены, что можно сделать?

• Вам следует убедиться, что все маркеры сессий сброшены. Если ваш сайт имеет кнопку «выйти из всех активных сеансов», используйте ее.
• Далее в панели управления доменом на Cloudflare Вам необходимо отключить все активные приложения и включить их.

• Изменить все пароли на ваших сайтах. Используйте только криптостойкие пароли.
• Смените ключи API и пароли API. Используйте только криптостойкие пароли.
• После смены паролей перезагрузите сервисы, которые используют эти пароли, или перезагрузите полностью Ваш сервер.

Этих действий будет достаточно для обеспечения защищенного доступа к Вашим сайтам и веб-приложениям.

Более подробную информацию об утечке данных с сервиса Cldouflare Вы можете найти по ссылкам ниже:
blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
www.opennet.ru/opennews/art.shtml?num=46100
github.com/pirate/sites-using-cloudflare/blob/master/README.md

Если у Вас остались вопросы, пожалуйста, свяжитесь с нашей службой технической поддержки.
С уважением, KeyWeb.ru

Данным сообщением мы хотим уведомить владельцев сайтов, которые использует службы Cloudflare. В том случае, если ваши проекты не используют данный сервис, эта информация не является обязательной к прочтению.

В период с 22 сентября 2016 года по 18 февраля 2017 года сервис Cloudflare допустил утечку данных своих клиентов — пароли, токены OAut, сессионные cookies, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные.

Что это означает?
Конфиденциальные данные, такие как: данные доступа пользователей, сессионные cookie, ключи к API и т.д. могут быть похищены!

Что необходимо предпринять?
Вам следует убедиться в следующем:

• для обеспечения большей безопасности, рекомендуется изменить ВСЕ пароли на ваших сайтах, а так же все пароли ваших пользователей;
• смените ключи и пароли API;
• все маркеры сессий сброшены. Если ваш сайт имеет кнопку «выйти из всех активных сеансов»,

используйте ее;
С подробностями Вы можете ознакомиться на следующих источниках:
blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
www.opennet.ru/opennews/art.shtml?num=46100
github.com/pirate/sites-using-cloudflare/blob/master/README.md

Внимание: мы обращаем ваше внимание, о необходимости создавать надежные пароли. О том как это сделать, Вы сможете прочитать в нашей статье — wiki.keyweb.ru/faq:%D0%BA%D0%B0%D0%BA_%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C_%D0%BD%D0%B0%D0%B4%D0%B5%D0%B6%D0%BD%D1%8B%D0%B9_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C

С Уважением, Ваш KeyWeb.Ru.

Технологии и сервисы для защиты от DDoS атак
Интернет не только дает практически безграничные возможности для расширения сферы влияния любой компании, увеличения клиентской базы, но является весьма «агрессивной средой», чтобы можно было игнорировать необходимость защиты от действий злоумышленников. Так, согласно статистике, каждая вторая компания рано или поздно сталкивается с атаками DDoS, направленными на отказ в обслуживании.

Суть атаки сводится к генерации огромного объема паразитного трафика, который направляется на целевой сервер, занимая все его ресурсы и мешая нормальному функционированию. Справиться своими силами с подобной угрозой практически невозможно: спрос рождает предложение, и в этой сфере сформировался свой рынок услуг и оборудования. О чем и пойдет речь в нашей новой статье.

Немного статистики
К сожалению, как статистика, так и прогнозы экспертов неутешительны — и на российском рынке, и на мировом. Так, в 2015 году, по данным «Лаборатории Касперского», более 17% отечественных компаний испытали на себе всю серьезность массовых DDoS-атак. Тенденция негативна: ежегодно их объем увеличивается на 20–30%.

Мировая аналитика является еще более пугающей. Например, компания Radware подготовила отчет Global Application & Network Security Report за 2014–2015 годы, где также прогнозируется рост DDoS-атак ежегодно на 20%. При этом эксперты компании обращают внимание не только на рост количества атак, но и на увеличение их продолжительности, на их усложнение. Все чаще атакующий трафик подделывают под реальный, что создает серьезные трудности при его фильтрации.


Отдельного внимания достоин отчет компаний Wallarm и Orator Labs об уровне интернет-безопасности в масштабах России и всего мира: в отчете выделяются типы сайтов, которые чаще всего подвергались DDoS-атакам за последние годы: это платежные системы, финансовые компании, соцсети, интернет-магазины, агентства недвижимости и рекламы. Впрочем, ни одна компания, деятельность которой подразумевает возможность предоставления информации или услуг через Интернет, будь то банки или медицинские центры, СМИ или туристические компании, не застрахована от DDoS-атак.


Аналитики Orator Labs предупреждают об повышении сложности DDoS-атак: прогнозируется, что к концу 2016 года возрастет конкуренция за амплификаторы, увеличится количество атак L7 (на приложения). Поэтому эксперты рекомендуют применять для защиты комбинированные средства, поставляемые удаленно.

По результатам подготовленного компанией DDoS-GUARD отчета, Россия в 2015 году заняла «почетное» третье место по числу совершаемых атак.

DDoS-атаки: виды, особенности

• Volumetric Attacks (connectionless). Направлены на переполнение каналов связи, подавление пропускной способности участка. Как правило, для атак используются бот-сети, компьютеры, зараженные вредоносными программами.
• TCP State-Exhaustion Attacks. Атаки, направленные на устройства связи, осуществляющие контроль состояний (Web-серверы, межсетевые экраны) для разрушения связей, нарушения функциональности этих устройств.
• Application Layer Attacks (connection-based). Представляют собой малозаметные атаки на приложения. Нацеливаются на различные уязвимости приложений — эти атаки сложнее всего обнаружить, так как уровень паразитного трафика может быть минимальным.

DDoS-атаки: механизмы осуществления

• HTTP-флуд. Злоумышленник шлет небольшой HTTP-пакет, на который сервер отвечает пакетом, в сотни раз большим по размеру. Таким образом, если, например, серверский канал шире в 10 раз канала атакующего, существует большая вероятность перенасыщения полосы пропускания сервера жертвы. Чтобы ответные HTTP-каналы не привели к отказу в обслуживании у злоумышленника, атакующий регулярно меняет свой IP-адрес, подменяя его на IP-адреса сетевых узлов.
• ICMP-флуд (атака Smurf). Является на сегодня одним из самых опасных видов атак, так как дает практически 100%-ную гарантию, что после атаки жертва (ее компьютер) столкнется с отказом в обслуживании. Для проверки работающих в системе узлов злоумышленник применяет широковещательную рассылку (ping-запрос). В усиливающей сети по широковещательному адресу отправляется поддельный ICMP-пакет, после чего адрес злоумышленника меняется на адрес жертвы и жертва получает ответ от всех узлов от ping-запроса.
• UPD-флуд (атака Fraggle, «осколочная граната»). Представляет собой полный аналог Smurf-атаки, однако в отличие от последней вместо ICMP-пакетов применяются UPD-пакеты. На седьмой порт жертвы по широковещательному запросу злоумышленники отправляют echo-запросы. После чего IP-адрес злоумышленника меняется на IP-адрес жертвы, и последняя получает огромный объем ответных сообщений, количество которых определяется числом узлов в Сети. В результате атаки полосы пропускания перенасыщаются и жертва сталкивается с отказом в обслуживании.
• Фрагментированные пакеты. Этот тип атаки сегодня практически не используется (в связи с появлением атак типа Smurf). Действие достаточно простое: есть две системы, устанавливающие между собой TCP-соединения для обмена данными. Для установки соединения требуется определенный объем ресурсов: злоумышленник отправляет ложные запросы, благодаря чему ресурсы системы на установление соединения просто «съедаются».

Решения для защиты от DDoS-атак
Защита от DDoS-атак может осуществляться собственными силами (с применением специализированного программного и аппаратного обеспечения, усиленных организационными мерами, начиная от расширения каналов и заканчивая балансировкой нагрузки) или по модели SaaS (Software as a Service) при заказе услуг по защите в специализированных компаниях.

В последнем случае заказчику не нужно изучать технические детали, выстраивать сложную инфраструктуру, нанимать специалистов, расходовать огромные деньги: оформляется платная подписка (стоимость которой зависит от количества ресурсов, нуждающихся в защите, от скорости фильтрации). Это отличный вариант, если вы хотите защититься от Volumetric Attacks, но он оказывается малоэффективным при атаках на приложения, при «медленных атаках». Рассмотрим разные варианты более подробно.

Аппаратные решения

Radware
radware.pro
Компания предлагает не только линейку аппаратных решений, но также защиту от DDoS-атак по модели SaaS, то есть Radware — одновременно и сервисная, и продуктовая компания, что делает ее весьма привлекательным предложением на рынке.

В Radware реализованы следующие защитные механизмы: HTTP Mitigator, Stateful Firewall, TCP SYN Flood Protection, Connection Limit, Behavioral Server-Cracking Protection, Behavioral DDoS Protection, Signature Protection, Stateful Inspection.

Отдельно стоит отметить возможность по мере необходимости увеличивать производительность. На начальном этапе вы можете приобрести продукт с производительностью 1 Gbps (по минимальной стоимости), по мере нагрузки можно увеличивать производительность до 2 или 3 Gbps — достаточно просто докупить лицензию:

• Radware DefensePro x016 IPS & Behavioral Protection;
• Radware DefensePro x412 IPS & Behavioral Protection;
• Radware DefensePro x412 Behavioral Protection.

Стоимость колеблется от 49 500 рублей за наиболее простое решение (1 Gbps) до 187 000 рублей (для 13 Gbps). Для всех трех линеек Radware DefensePro существуют также ежегодные затраты на техническую поддержку (один из пяти уровней — от 3700 рублей до 46 750 рублей в год).

Arbor
www.arbornetworks.com
Под брендом Arbor на современный рынок выпускаются устройства защиты Pravail для дата-центров, устройства Peakflow для монтажа у конечного заказчика. Arbor предлагает как защитные комплексы автономного типа, так и гибридные решения, основанные на поддержке «облака» в фильтрации трафика.

Arbor TMS обеспечивает автономную защиту от DDoS-атак различных типов, в частности, блокирует атаки, осуществляемые с поддельных случайных IP-адресов в Сети на любые адреса атакуемой Сети для переполнения канала. В линейке представлено три уровня устройств с разными скоростями работы (1,5 – 100 Gbps), подходящих для различных инфраструктур.

Arbor APS — решение от производителя, в рамках которого используется облако Arbor, повышающее точность и скорость работы. Также представлено несколькими сериями моделей, каждая из которых способна обеспечить производительность до 40 Gbps. Максимальная скорость регулируется лицензией, включающей облачные услуги.

Fortinet
www.fortinet.com
Область деятельности компании Fortinet достаточно широка, если говорить об информационной безопасности, в частности, компания выпускает устройства для защиты от DDoS-атак — речь идет о специализированной линейке аппаратных устройств, FortiDDoS, которые фильтруют сетевой трафик и предотвращают атаки разных типов.

Уникальный состав продукта, включающий в себя модуль предсказания реакции, поведения легитимных пользователей, эвристические анализаторы, позволяет отличать атакующий трафик от нормального.

К достоинствам этого варианта можно отнести низкую стоимость (во всяком случае, если сравнивать с конкурентами), богатый выбор защитных функций, поддержку модулей расширения.

Программные решения
В эту группу включаются также аппаратные решения, поставляющиеся в виде программного обеспечения, которое можно устанавливать на «железо». Среди наиболее востребованных решений на современном рынке можно выделить ПО на базе Nginx, WAF (специализированные средства защиты Web-приложений), настройки межсетевого экрана на сервере и прочее.

Однако такие решения позволяют распознать и отразить только самые простые атаки. Так, например, firewall не способен защитить от большинства угроз, которые направлены на веб-ресурсы, так как в большинстве случаев атаки осуществляются на прикладном уровне — в виде http/https запросов к ресурсам, где традиционные межсетевые экраны имеют очень ограниченные аналитические возможности и в большинстве случаев просто не способны обнаружить атаки.

SaaS решения

Qrator Labs
qrator.net/
Молодая российская компания, история которой началась в 2009 году. На сегодня услугами системы пользуются более двух тысяч провайдеров по всему миру. Компания предлагает онлайн-кабинет для регистрации, для подключения защиты, фиксированные тарифы планов. Заказчику выделяется IP-адрес Сети Qrator: заказчик меняет А-запись DNS-сайта — трафик поступает в Сеть компании, очищается и направляется на ресурс заказчика. Нет необходимости в замене хостинга.

Стоимость базовых услуг невысока, однако легитимный трафик, пропущенный сверх лимита, оплачивается отдельно, что может обернуться неожиданными расходами для заказчиков. К плюсам можно отнести тот факт, что все тарифы оплачиваются в рублях, так что заказчик будет застрахован от скачков курсов валют.

Бесплатный тестовый период – 7 суток (если сайт не под воздействием DDoS, если сайт атакуют, тестовый период сокращается до одних суток).

Вы сможете выбирать среди трех тарифных планов:

• Not for Business. От 4990 рублей ежемесячно. Для сайтов с небольшим количеством посетителей (до 2000 в сутки), с «легким» контентом. Интернет-магазины, небольшие форумы, сайты-визитки.
• Small/Medium Business. От 18 000 рублей ежемесячно. Обеспечивается защита от неограниченного количества атак, гарантируется высокое качество фильтрации DDoS-атак обычного уровня.
• Large Business. От 46 000 рублей. Подходит для сайтов с высокими требованиями к бесперебойности, непрерывности работы.

DDoS-GUARD
ddos-guard.net
Хостинг-провайдер, использующий оборудование собственной разработки для фильтрации трафика. Компания анонсирует высокую канальную емкость сети — более 1,5 Тб/с, заявляя о возможности отражения DDoS-атак на скорости от 240 Гбит/с. Система защиты строится на геораспределении точек фильтрации и, соответственно, эффективном нивелировании вредного влияния атак. Защищаемый ресурс мониторится постоянно, а не только во время атак. Заказчик имеет возможность подключить защиту удаленно или физическим линком.

Среди прочих достоинств стоит выделить широкую линейку тарифных планов, что позволяет заказчику наиболее рационально планировать свои расходы. Например, если вы хотите защитить хостинг, вам будет предложено на выбор три тарифа: 150$ (2 GB, выделенный IP-адрес, 1 домен, 10 поддоменов), 300$ (3 GB на сервере, выделенный IP-адрес, 1 домен, 10 поддоменов, фильтрация HTTPS-трафика), 400$ (5 GB, выделенный IP-адрес, 3 домена, 30 поддоменов).

Стоимость удаленной защиты может варьироваться от 80 до 1000$ в месяц, защита игровых серверов, работающих по протоколу TPC, обойдется вам в сумму от 175 до 1000$ в месяц. Защита веб-сервисов от любых DDoS-атак потребует ежемесячной оплаты размером 400 или 600 долларов. В последнем случае вы сможете рассчитывать на круглосуточную телефонную поддержку, круглосуточный мониторинг доступности сервисов, прикрепление личного менеджера, первичный приоритет при обработке запросов, разработку индивидуальных решений.

CloudFlare
www.cloudflare.com/
Специализируется на ускорении web-ресурсов, доставке контента, также обеспечивая высокий уровень защиты инфраструктуры.Помимо защиты от DDoS-атак, компания предлагает также высокий уровень защиты от SQL-инъекций, встроенную функциональность WAF. Переключение инфраструктуры для перенаправления трафика через «облако» может проводиться без установки дополнительного аппаратного или программного обеспечения.

Аналитики Forrester представили результаты проведенного исследования, и в числе лидеров мирового рынка по выявлению и SaaS-защите от DDoS-атак была названа компания CloudFlare. Как работает CloudFlare? На чем основана его популярность? От каких атак сервис способен защитить?

Если говорить упрощенно, CloudFlare — сервис, фильтрующий трафик прежде, чем он попадает на конечный ресурс. Для обеспечения надежной защиты необходимо перенести домены на ДНС-сервера CloudFlare, запретив любые обращения к вашему серверу, за исключением IP-адресов CF.

К несомненным достоинствам этого варианта можно отнести бесплатный пакет. Разумеется, в пакет включен минимальный функционал, но и он способен заметно снизить нагрузку на сервер. Сюда входит надежный DNS-хостинг, кэширование сайтов, снижение нагрузки на сервер, возможность использовать SSL на сайте, отбивать атаки до 10 Gbps. При защите от атак на более высокой скорости придется выбрать платный пакет — стоимость тарифных планов фиксирована, что сводит к нулю риск непредвиденных расходов. При дополнительной оплате в $20 заказчик получает возможность подключения Web Application Firewall, который защитит ресурс от разных видов атак на сайты, в том числе от XSS-атак.

Заказчик в любой момент может ознакомиться с подробными отчетами по атакам и нагрузкам на инфраструктуру. Отдельного внимания заслуживает наличие дополнительных функций, начиная от каналов управления и заканчивая возможностью добавления SSL-защиты трафика.

Мировой охват дата-центров у компании больше, чем у любого ее конкурента — это Латинская и Северная Америка, Южная и Северная Азия, Европа. Среди заказчиков компании такие известные бренды, как IBM, Microsoft, Google, что явно свидетельствует о высокой надежности сервиса, о том, что компании можно доверять.