Блог Vigbo

Полезные статьи о продвижении и развитии своего дела, вдохновляющие подборки и интервью с творцами.

Vigbo — конструктор сайтов для творцов и предпринимателей. Стильные дизайны, простое управление и техподдержка — всё для вашего сайта. Подробнее

DDoS-атака: что это такое и как мы боролись с хакерами

21 октября наш сервис подвергся DDoS-атаке. Это была самая крупная атака за последние несколько лет. Из-за нее некоторые сайты были недоступны, но благодаря вашей поддержке и непрекращающейся работе нашей команды, мы смогли отбиться от атаки. В этой статье наш технический директор Егор Курьянович рассказал, что такое DDoS-атака и как мы с ней боролись.

Что такое DDoS-атака

Представьте, что кто-то захотел нарушить работу автобусов. Тысячи человек садятся в начале маршрута и бесцельно катаются по городу от конечной до конечной, не выходя на остановках. Транспорт продолжает ездить, но фактически движение парализовано. Жители стоят на промежуточных остановках и грустно смотрят вслед переполненным автобусам, не сумев протолкнуться. Люди не могут добраться домой, автобусная компания терпит убытки из-за низкого пассажиропотока. Зато злоумышленники потирают ручки, а владельцы такси считают прибыль.

В реальном мире такую ситуацию практически невозможно претворить в жизнь. В интернете похожим образом хакеры парализуют работу сайтов с помощью DDoS-атак.

Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что в дословном переводе означает «Распределенный отказ от обслуживания». Это означает, что на сервер поступает слишком много запросов с разных компьютеров. Он не выдерживает такого наплыва посетителей и отключается. Сайт, на который направлена атака, недоступен.

Любой сайт — это набор файлов, которые лежат на специальном сервере. В упрощенном виде сервер — это очень мощный компьютер. Он соединен с другими компьютерами в сеть. Это значит, что один компьютер может отправить другому сообщение, а тот может ответить. Например, вы хотите зайти на сайт vigbo.com. Когда вы набрали адрес в поисковой строке и кликнули на ссылку, ваш компьютер отправил нашему серверу запрос «Покажи мне главную страницу vigbo.com». Сервер его получил, обработал и отправил вам в ответ информацию о странице.

Современные серверы могут одновременно обрабатывать сотни таких запросов. На каждый из них уходит примерно полсекунды, поэтому обычно вы даже не замечаете, как открывается сайт. Но у любого компьютера есть ограничения в мощности. Если одновременно приходит больше запросов, чем он может обработать, они ставятся в очередь. Тогда сайт откроется с задержкой. Постепенно очередь из запросов станет слишком длинной, и у сервера не хватит мощности. Значит, перестанут открываться все сайты, которые на нем лежат.

В чем особенности DDoS-атаки

Если кто-то будет со своего компьютера перезагружать любую страницу сайта тысячу раз в секунду — это тоже хакерская атака. Она называется DoS — Denial of Service, «отказ в обслуживании». Но с ней можно эффективно бороться. Достаточно заблокировать злодея. Поэтому сейчас атаки совершают сразу с миллионов устройств. Так найти ее источник очень сложно. К названию добавилось слово распределенная — Distributed, DDoS.

Схема распределенной DDoS-атаки на сайт

Осталось разобраться, где злоумышленники берут столько устройств. Вы удивитесь, но чаще всего это компьютеры обычных людей. Хакер создает вирус, который попадает на компьютер из интернета при загрузке файлов, просмотре роликов и страниц. Такой вирус незаметно живет и ждет команды. Например, в определенное время подключиться к какому-то сайту. Тогда все зараженные компьютеры начнут одновременно отправлять запросы на сайт-жертву. При этом их владельцы ничего не заметят: так кто угодно может оказаться невольным соучастником.

Почему хакеры атакуют сайты

Заказ конкурентов. Например, если атака началась во время активной рекламной кампании. Конкуренты заказывают DDoS, реклама идет, а прибыли нет из-за перебоев в работе сайта. Еще атака может использоваться, чтобы нанести урон репутации. Допустим, идут напряженные переговоры, и в день презентации партнеры заходят на сайт, а там — 503 ошибка, отказ в обслуживании.

DDoS-атака приводит к тому, что сайт работает очень медленно или «лежит» совсем. Пользователи не могут зайти на сайт и уходят к конкурентам, у которых все хорошо. В результате владелец сайта теряет клиентов. Поэтому чаще всего атаки связаны с бизнесом. Вероятно, атака, которой подвергся наш сервис, совершена по этой причине — кто-то из конкурентов «заказал» сайт архитектурного бюро.

Личная неприязнь. Владелец сайта может кому-то насолить, и в ответ хакер стремится доставить ему неприятности. Сюда можно отнести и случаи, когда поводом для атаки становятся политические разногласия.

Развлечение. Иногда хакеры устраивают атаки, чтобы попробовать свои силы, просто развлечься или продемонстрировать сообществу свои возможности. Хороший пример — хакерская атака в сентябре 2019 года на Википедию, онлайн-игру World of Warcraft Classic и сервис для онлайн-стримов Twitch.

Как мы отразили атаку

Началось все с того, что утром 21 октября на сайте одного нашего клиента мы заметили необычайно высокую активность. Тысячи поисковых роботов стали заходить на сайт студии дизайна интерьеров. Из-за этого все сайты, которые лежали на одном сервере с атакуемым, стали медленно открываться. Стало понятно, что под поисковых роботов маскируются злоумышленники — мы подверглись DDoS-атаке.

Заблокировать роботов дело нехитрое, но помогло это примерно на час. Противники поняли, что что-то не так, и сменили тактику. Мы стали получать запросы, которые маскировались под пользователей: в них была информация о браузерах и их нельзя блокировать. Поэтому мы пытались блокировать сразу IP-адреса — уникальные адреса компьютеров, с которых посылались подозрительные запросы. Но наши оппоненты быстро их меняли и направляли еще больше запросов со всего мира.

Запросы сыпались со всего мира. Чем темнее окрашена страна на карте, тем больше запросов оттуда мы получали

Особенно много запросов было из Таиланда, Индонезии и Голландии

Так война продолжалась до вечера. Несмотря на мощь «вражеской артиллерии», совсем «положить» сервер хакерам так и не удалось. Но нагрузка на него была колоссальной, поэтому сайты очень долго открывались.

К восьми часам вечера количество заблокированных адресов перевалило за тысячу. Наших собственных ресурсов стало не хватать. Поэтому мы решили для фильтрации запросов подключить сторонний сервис CloudFlare. Сервис действует как сито: весь трафик проходит через их центры и фильтруется — боты и подозрительные аккаунты блокируются, а простые пользователи спокойно доходят до сервера, на котором хранится сайт. Так атакуемый сайт будет меньше влиять на работу остальных сайтов на сервере.

CloudFlare пропускает весь трафик через свой сервер и блокирует вредоносные запросы

К счастью, клиент, на сайт которого шла атака, покупал домен у нас и делегировал права на управление им нашей платформе. Поэтому мы смогли оперативно внести изменения в настройки и создать аккаунт в CloudFlare.

Мы увидели, что до нашего сервера доходит все меньше и меньше запросов. Сайты стали оживать, а основной бой был уже на стороне CloudFlare.

Опыт DDoS-атаки показал, что если клиент покупает доменное имя в Vigbo, у наших специалистов есть больше возможностей для защиты сайта.

Атаки продолжались до 5 утра. Самый пик пришелся на 2 часа ночи по московскому времени. CloudFlare зафиксировал 124,5 миллионов запросов. Но мы подключили его не сразу, поэтому реальный масштаб атаки примерно в два раза больше!

Данные CloudFlare о трафике на 5 утра 22 октября

В 6 часов утра наши оппоненты предприняли еще одну попытку: на сайт пришли около 1,3 миллиона ботов. Но на фоне вчерашней битвы эта попытка выглядит довольно бледно.

За время атаки CloudFlare обработал больше 1 ТБ трафика. Это очень много: примерно столько нужно, чтобы скачать копию всей «Википедии», 24 сезона мультсериала «Симпсонов» и 14 сезонов шоу «Разрушители легенд» с канала Discovery.

Интенсивность атаки и суммарный объем трафика, который успел обработать CloudFlare

Мы держали оборону ровно сутки. К 9 утра 22 октября ресурсы хакеров закончились, и количество ботов сошло на нет. Еще в течение суток мы продолжали следить за активностью.

Вместо заключения

К сожалению, хакерские атаки стали современной реальностью: конкуренция зашкаливает, и не все компании используют честные методы. Большинство атак вы даже не ощущаете. Мы успешно боремся с ними практически каждый день — это будничная, рутинная работа наших технических специалистов. Но в этот раз у атаки был совсем другой масштаб.

К сожалению, от таких атак не застрахован никто, и даже самые большие сайты иногда полностью выходят из строя. Иначе «гиганты» вроде Google или Amazon не объявляли бы периодические конкурсы на поиск уязвимостей с миллионными призами. Поэтому нам остается только накапливать компетенции и «точить оружие», чтобы в нужный момент отстаивать интересы наших клиентов.

У нас не находится достаточно теплых слов, чтобы выразить нашу признательность за ваше терпение и понимание. Поэтому мы просто говорим «Спасибо!» нашим клиентам, которые поддержали нас в трудный день 21 октября. Вы сказали много ободряющих слов в Инстаграме, на почте и в чате с техподдержкой. Благодаря вам и ради вас мы бились целые сутки и победили. Спасибо за то, что вы с нами!

Создайте сайт на Vigbo и развивайте свое дело. А о безопасности и технических вопросах мы позаботимся.

Создать сайт