Привет, это DDoS-Guard. Мы специализируемся на безопасном хостинге и защите от DDoS-атак на всех основных уровнях системы OSI. В качестве первой статьи на SecurityLab расскажем о том, что делать, если на ваш сайт произошла атака. А в следующем материале проясним подробнее, как разобраться с ее последствиями.
Как показывает опыт последних лет, от DDoS-атак не застрахована практически ни одна компания, более того, риски постоянно усиливаются. Некоторые категории имеют значительно больший шанс подвергнуться DDoS-атаке: бизнес- и телеком-порталы, развлекательные сайты, новостные агрегаторы и сайты государственных учреждений.
Независимо от того, кто организовал атаку — идейные хактивисты, корыстные вымогатели или недобросовестные конкуренты, — результатом DDoS становится потеря работоспособности сайта, доходов и трудозатрат.
Ранее в своем блоге мы опубликовали подробный гайд о том,
1. Выясните у хостера, что происходит
Без паники. Как только вы заметили, что сайт работает нестабильно или вовсе не открывается, оперативно проверьте его доступность с разных устройств, в том числе используя мобильный интернет, чтобы исключить неполадки в сети. Если сайт не загружается ни в одном из вариантов, при этом к другим страницам в интернете доступ есть — время переходить к следующему шагу.
Обратитесь в техническую поддержку хостера, запросите у него причину происходящего с сайтом, описав ситуацию.
2. Убедитесь, что речь именно о DDoSПараллельно с запросом в техподдержку проведите серию процедур, чтобы стопроцентно убедиться — вас настигла именно DDoS-атака. Помимо информации от хостера сведения о природе аномального трафика на сайт можно получить с графиков загрузки интерфейсов (BPS или PPS), с графиков загрузки CPU/Disk IO/RPS, либо через утилизацию CPU RAM LAN или из других источников.
Как только подтвердится, что речь именно о распределенной атаке типа «отказ в обслуживании», постарайтесь определить ее характер и цели с помощью анализаторов трафика.
Вам нужно выяснить:
какие именно места (страница, сеть) подверглись атаке;
как атака выглядит с технической точки зрения (всплески на графике);
какой наблюдался пиковый объем трафика (бит в секунду/запросов в секунду);
продолжительность атаки;
какие последствия она имела.
При отсутствии полноценной защиты от DDoS предлагаемые меры носят только временный характер, однако они могут помочь остановить конкретную атаку:
очистите ресурсы сервера или VDS (они могут быстро переполняться из-за аномального количества однотипных запросов со стороны атакующего);
ограничьте скорость фаервола на стороне сервера (iptables или брандмауэр Windows);
если атака ведется на ресурсоемкие скрипты (поиск по сайту, регистрация новых пользователей), имеет смысл временно их отключить, пока инцидент не завершится.
Как можно скорее после того, как вы убедитесь, что сайт стал жертвой DDoS-атаки, сообщите об этом его посетителям, особенно если проблема длится более часа. Сделайте соответствующие посты в соцсетях, выставьте на сайте страницу-заглушку с сообщением о том, что ведутся технические работы по восстановлению работоспособности ресурса.
5. Измерьте эффективность защитыПосле того, как вы сделали все возможное, чтобы сдержать интенсивность атаки, необходимо подойти к делу аналитически и оценить, насколько принятые меры эффективны.
В том случае, если сайт защищался своими силами, нужно оценить, какие именно элементы в ходе атаки вышли из строя и на какое время. Эти данные, вместе с оценкой репутационных и финансовых последствий, понадобятся, чтобы принять решение о том, сможет ли сайт при повторении инцидента справиться с ним без внешнего сервиса защиты.
Если у вас уже был заключен договор с провайдером безопасности, найдите в нем ключевые параметры защиты, которые вам пообещали выдерживать. Надо смотреть, как быстро провайдер обязуется остановить атаку, и какая доля вредоносного трафика в итоге может дойти до цели. В том случае, если реальная картина последствий атаки совершенно не похожа на то, что написано на бумаге, — время задуматься о смене защиты на более эффективную.
В любом случае, после произошедшей DDoS-атаки необходимо разобраться с ее последствиями, оценить сильные и слабые места своей сетевой инфраструктуры. Этому будет посвящена наша следующая статья, не пропустите.