Бортовой журнал

Мы уже неоднократно писали о DDoS-атаках. Но тема эта настолько актуальна и неисчерпаема, что сегодняшний пост едва ли будет повторением уже сказанного. Сегодня мы поговорим о том, что делать, если именно ваш сайт стал объектом DDoS-атаки.

Как правило, DDoS-атака на сайт оборачивается резким ростом потребления ресурсов сервера или канала передачи данных. Это моментально снижает качество работы других ресурсов на том же сервере — вплоть до их полной недоступности.

Кому такое понравится? Разумеется, если атаковали кого-то другого, а ваш сайт из-за этого стал недоступен — это веский повод для возмущения. С какой стати вы должны страдать за компанию?

Нет, в этом случае вы хотите возвращения вашего сайта в строй как можно скорее, а еще лучше — немедленно.

Что для этого нужно? Правильно: чтобы атакуемый сайт был как можно скорее заблокирован. Тогда сотни и тысячи других сайтов (и ваш тоже!) сразу же вернутся к нормальной работе. А владелец того единственного сможет в своем темпе приступить к решению своей проблемы. Это справедливо, верно?

Но когда в ходе решения инцидента вдруг выясняется, что атаковали не кого-нибудь, а именно вас… В это сложно поверить, но это возможно. Блокировка аккаунта в этот момент — единственная мера, которую может принять хостинг-провайдер, чтобы как можно быстрее вернуть к жизни все остальные ресурсы. Но как быть вам? Как решить проблему как можно скорее?

Порядок действий, если ваш сайт стал целью атаки

1. Подключите дополнительный IP-адрес

Это первое из двух необходимых условий для разблокировки атакованного аккаунта. Данная мера позволит частично снизить влияние возможных новых атак, ведущихся в адрес вашего сайта, на сайты других клиентов, размещенных на том же сервере. Подключить дополнительный IP вам поможет клиентская служба хостинга.

2. Воспользуйтесь специальной защитой от DDoS

Это второе необходимое условие для разблокировки аккаунта. Данная мера направлена уже непосредственно на защиту вашего собственного сайта. Специальные сервисы предлагают защиту от DDoS посредством фильтрации трафика с использованием проксирования. Переносить свои ресурсы на другую площадку для этого, как правило, не требуется.

Примеры (но далеко не полный перечень) таких сервисов:

Qrator
DDoSOff
DDoSExpert
Stop-DDoS

Как только новый IP-адрес и сервис фильтрации подключены, ваш аккаунт будет сразу разблокирован.

3. Постарайтесь установить причины и возможные источники атаки на вас. 

Версия о беспричинной атаке абсолютно нежизнеспособна по одной простой причине: для реализации DDoS-атаки необходимо задействовать довольно серьезные ресурсы. Это требует либо вложения средств, либо же мощного всплеска интереса к вашему инфоресурсу, обусловленного какими-то внешними факторами. Стать причиной атаки могут:

• Намеренные противоправные действия, преследующие вполне конкретные социально-экономические цели (например, конкурентная борьба, месть, шантаж и так далее).
• Организационно-технические просчеты (например, последствия непрогнозируемого всплеска одновременного интереса к ресурсу у большого количества посетителей, т.н. слэшдот-эффект).

Вспомните: угрожал ли вам кто-то в недавнем времени? Имели ли место конфликтные ситуации, шантаж, острая конкуренция? Может быть, ваш ресурс опубликовал негативный материал о ком-то?  А может, о вашем сервисе на днях вышла статья на «Хабре», удачный обзор на Youtube или даже сюжет на центральном ТВ?

Определение причины поможет выбрать и средства борьбы.

4. Обратититесь в правоохранительные органы.

Не забывайте, что законодательство Российской Федерации трактует DDoS-атаки как преступление. Имеет смысл заявить о ведущейся против ваших ресурсов атаке в органы правопорядка по месту жительства. В процессе следственных действий по соответствующему запросу уполномоченных органов хостинг-провайдер сможет предоставить информацию об атаке, что даст возможность выявить и призвать к ответу преступников. История знает положительные примеры решения таких вопросов в правовом поле.

Позиция хостинг-провайдера по отношению к DDoS-атакам

Увы, это совсем не то, что хотел бы услышать владелец атакуемого сайта, но если ваш сайт атакуют, он будет заблокирован до момента решения проблемы. То есть до момента, когда атаки на ваш сайт не будут угрожать другим сайтам на том же сервере (и их владельцам).

После первой атаки для разблокировки аккаунта необходимо подключение дополнительного IP-адреса и  специализированного сервиса защиты от DDoS.

В случае, если этот комплекс мер не помогает нивелировать влияение атак на ваш сайт на ресурсы соседей, мы не сможем допустить его к дальнейшей работе. В этом случае мы настоятельно советуем разбираться с причинами и бороться с атаками на уровне устранения причин, а не выстраивания защиты.

Почему хостинг-провайдер не обеспечивает защиту от DDoS-атак?

Наша реальность такова, что хостинг-провайдер сталкивается с атаками разного калибра почти ежедневно. БОльшую часть из них клиенты даже не успевают ощутить — именно за счет выстроенной собственной системы защиты хостера. Но у этой системы, конечно, есть свои ограничения. И нацелена она в первую очередь на то, чтобы обезопасить большинство клиентов (тех, чьи сайты атакам не подвергаются) от влияния DDoS.

Более продвинутая защита для ресурсов, подверженных DDoS-атакам, организуется весьма дорогостоящими техническими средствами, как на уровне каналов связи, так и на уровне ПО и серверного оборудования. Если стоимость такой защиты включить в стоимость услуг хостинга для всех, последняя возрастет в разы. Но ведь большинству пользователей хостинга такая защита и не нужна: их сайты не подвергаются атакам, разве что страдают «за компанию». Поэтому целесообразнее решать вопрос защиты от DDoS точечно:  защиту приобретает только тот, чьи сайты по тем или иным причинам становятся объектами атаки.

Так что тому, кто избран, все же придется выучить кунг-фу…