5 советов, что делать во время DDoS-атаки

5 советов, что делать во время DDoS-атаки

Привет, это DDoS-Guard. Мы специализируемся на безопасном хостинге и защите от DDoS-атак на всех основных уровнях системы OSI. В качестве первой статьи на SecurityLab расскажем о том, что делать, если на ваш сайт произошла атака. А в следующем материале проясним подробнее, как разобраться с ее последствиями.

Как показывает опыт последних лет, от DDoS-атак не застрахована практически ни одна компания, более того, риски постоянно усиливаются. Некоторые категории имеют значительно больший шанс подвергнуться DDoS-атаке: бизнес- и телеком-порталы, развлекательные сайты, новостные агрегаторы и сайты государственных учреждений.

Независимо от того, кто организовал атаку — идейные хактивисты, корыстные вымогатели или недобросовестные конкуренты, — результатом DDoS становится потеря работоспособности сайта, доходов и трудозатрат.

Ранее в своем блоге мы опубликовали подробный гайд о том, что делать во время DDoS-атаки и как поступать не стоит. А сегодня хотим выделить ТОП-5 самых важных советов, которые помогут сориентироваться в случае внезапной угрозы.



1. Выясните у хостера, что происходит  

Без паники. Как только вы заметили, что сайт работает нестабильно или вовсе не открывается, оперативно проверьте его доступность с разных устройств, в том числе используя мобильный интернет, чтобы исключить неполадки в сети. Если сайт не загружается ни в одном из вариантов, при этом к другим страницам в интернете доступ есть — время переходить к следующему шагу.

Обратитесь в техническую поддержку хостера, запросите у него причину происходящего с сайтом, описав ситуацию.

2. Убедитесь, что речь именно о DDoS

Параллельно с запросом в техподдержку проведите серию процедур, чтобы стопроцентно убедиться — вас настигла именно DDoS-атака. Помимо информации от хостера сведения о природе аномального трафика на сайт можно получить с графиков загрузки интерфейсов (BPS или PPS), с графиков загрузки CPU/Disk IO/RPS, либо через утилизацию CPU RAM LAN или из других источников.

Как только подтвердится, что речь именно о распределенной атаке типа «отказ в обслуживании», постарайтесь определить ее характер и цели с помощью анализаторов трафика.

Вам нужно выяснить:

  • какие именно места (страница, сеть) подверглись атаке;

  • как атака выглядит с технической точки зрения (всплески на графике);

  • какой наблюдался пиковый объем трафика (бит в секунду/запросов в секунду);

  • продолжительность атаки;

  • какие последствия она имела.

3. Постарайтесь сдержать атаку

При отсутствии полноценной защиты от DDoS предлагаемые меры носят только временный характер, однако они могут помочь остановить конкретную атаку:

  • очистите ресурсы сервера или VDS (они могут быстро переполняться из-за аномального количества однотипных запросов со стороны атакующего);

  • ограничьте скорость фаервола на стороне сервера (iptables или брандмауэр Windows);

  • если атака ведется на ресурсоемкие скрипты (поиск по сайту, регистрация новых пользователей), имеет смысл временно их отключить, пока инцидент не завершится.

4. Подумайте о пользователях

Как можно скорее после того, как вы убедитесь, что сайт стал жертвой DDoS-атаки, сообщите об этом его посетителям, особенно если проблема длится более часа. Сделайте соответствующие посты в соцсетях, выставьте на сайте страницу-заглушку с сообщением о том, что ведутся технические работы по восстановлению работоспособности ресурса.

5. Измерьте эффективность защиты

После того, как вы сделали все возможное, чтобы сдержать интенсивность атаки, необходимо подойти к делу аналитически и оценить, насколько принятые меры эффективны.

В том случае, если сайт защищался своими силами, нужно оценить, какие именно элементы в ходе атаки вышли из строя и на какое время. Эти данные, вместе с оценкой репутационных и финансовых последствий, понадобятся, чтобы принять решение о том, сможет ли сайт при повторении инцидента справиться с ним без внешнего сервиса защиты.

Если у вас уже был заключен договор с провайдером безопасности, найдите в нем ключевые параметры защиты, которые вам пообещали выдерживать. Надо смотреть, как быстро провайдер обязуется остановить атаку, и какая доля вредоносного трафика в итоге может дойти до цели. В том случае, если реальная картина последствий атаки совершенно не похожа на то, что написано на бумаге, — время задуматься о смене защиты на более эффективную.

В любом случае, после произошедшей DDoS-атаки необходимо разобраться с ее последствиями, оценить сильные и слабые места своей сетевой инфраструктуры. Этому будет посвящена наша следующая статья, не пропустите.

DDoS-Guard DDoS-атака
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

DDoS-Guard

Российский сервис защиты от DDoS-атак