Главная-Word-Как работает защита от DDoS атак. Четыре способа защиты от DDoS-атак Как работает защита от ddos атак

Как работает защита от DDoS атак. Четыре способа защиты от DDoS-атак Как работает защита от ddos атак

Она предназначена для пользователей услуг «Выделенный сервер» и «Размещение сервера», а также для клиентов, арендующих серверные стойки.
О том, как будет обеспечиваться защита, мы подробно расскажем в этой статье.

DDoS-атаки: краткая справка

Аббревиатура DDoS означает Distributed Denial of Service - распределённая атака на отказ в обслуживании. DDoS-атакой называется нарушение функционирования атакуемой машины путём отправки на неё запросов с многочисленных хостов.

Как правило, DDoS-атаки осуществляются через ботнет - сеть компьютеров, на которых установлено вредоносное ПО (это называется зомбификацией).

Некоторые виды атак могут осуществляться и без ботнета (например, UDP-флуд).

Более подробно на вопросах классификации DDoS-атак мы останавливаться не будем - заинтересованный читатель без труда может найти в Интернете многочисленные материалы по этой тематике. Гораздо больший интерес для нас представляют существующие методики защиты от DDoS. Их мы рассмотрим ниже.

Методы защиты от DDoS

Методы защиты от DDoS-атак подразделяются на две большие группы: методы предупреждения и методы реагирования.

Для предотвращения DDoS-атак обычно используются аппаратные методы защиты периметра сети - файервол в сочетании с системой обнаружения вторжений (Intrusion Detection Systems, IDS). Однако защиты в строгом смысле этого слова они не обеспечивают.

DDoS-атаку вполне возможно организовать и в рамках разрешённых файерволом пакетов. Что касается IDS, то они обычно работают в рамках сигнатурного и статистического анализа, сравнивая входящие пакеты с существующими шаблонами трафика. Если атака осуществляется путём рассылки обычных сетевых пакетов, которые по отдельности вредоносными не являются, не все IDS смогут её обнаружить.

Кроме того, и файерволы, и IDS зачастую являются устройствами с контролем сессий, поэтому сами могут стать объектом атаки.

Эффективным средством минимизации простоя при DDoS-атаках является многократное резервирование - организация кластеров из серверов, размещённых в разных дата-центрах и подключенных к разным каналам связи. Если один из компонентов такой системы будет выйдет из строя, клиенты будут перенаправлены к работающим серверам. Этот метод имеет только один недостаток: построение распределённого кластера с многократным резервированием требует очень больших финансовых затрат.

Методы реагирования используются в ситуации, когда атака уже началась и её нужно остановить (или, по крайней мере, минимизировать её последствия).
Если целью атаки является единичная машина, то можно просто сменить её IP-адрес. Новый адрес затем можно давать лишь самым надёжным внешним пользователям. Такое решение вряд ли можно назвать идеальным, но оно вполне действенно.

В некоторых случаях помогают методики фильтрации. Проанализировав вредоносный трафик, можно обнаружить в нём определённую сигнатуру. На основе результатов анализа можно строить ACL маршрутизатора или правила файервола.
Кроме того, большая часть атакующего трафика часто поступает от конкретного провайдера или магистрального маршрутизатора. В такой ситуации возможным решением является блокировка направления, из которого поступает сомнительный трафик (следует, однако, учесть, что легитимный трафик в этом случае тоже будет заблокирован).

Если ни один из перечисленнных выше методов не помогает и ничего сделать больше нельзя, используется так называемый блэкхолинг - перенаправление трафика на несуществующий интерфейс (в «чёрную дыру»). Как правило, это приводит к тому, что атакуемый сервер в течение некоторого времени является недоступным из внешней сети. Уже по этой причине блэкхолинг вряд ли можно назвать полноценным способом защиты: по сути он лишь помогает организаторам атаки быстрее достигнуть свой цели - сделать атакуемый ресурс недоступным.

В последние годы широкое распространение получили комплексные программно-аппаратные решения для защиты от DDoS. Их преимущество заключается в том, что они могут не пропускать вредоносный трафик, не создавая при этом проблем с доступностью атакуемого сервиса для легитимных пользователей. На рынке представлены программно-аппаратные комплексы для защиты от DDoS от компаний Cisco, Arbor Networks, F5, Juniper и других.

На базе специализированного программно-аппаратного комплекса реализована и наша услуга защиты от DDoS. Она оказывается совместно с нашими партнёрами - компанией Servicepipe .

Система защиты от DDoS

Используемая система защиты от DDoS включает не один, а несколько программно-аппаратных комплексов, в том числе Arbor Pravail и F5. Очистка и анализ трафика осуществляются непосредственно в сети при помощи специализированных программных инструментов.

Эта система обеспечивает защиту от следующих видов атак:

  • TCP-флуд;
  • SYN-флуд;
  • нелигитимные комбинации TCP-флагов;
  • атаки на TCP-сессии типа TCP Idle, Slow TCP и другие;
  • атаки на HTTP-сессии (Slowloris, Pyloris и т.п.);
  • HTTP-флуд;
  • DNS-флуд;
  • DNS Cache Poisoning;
  • UDP-флуд;
  • ICMP-флуд;
  • атаки IP-, TCP и UDP-фрагментами;
  • атаки на VoIP и SIP.

В случае обнаружения атак могут быть использованы следующие противомеры:

  • Invalid packet List - фильтрация пакетов, не соответствующих RFC;
  • создание чёрных и белых список IPv4- и IPv6-адресов;
  • GeoIP Filter Lists - фильтрация трафика по странам (блокирует трафик из стран, откуда приходит наибольшее число DDoS-атак).
    GeoIP Policing - полисинг трафика по странам (мониторинг входящего трафика и ограничение трафика из стран, откуда приходит наибольшее количество DDoS-атак);
  • Flexible Zombie Detection - выявление зомби и создание профилей легитимного трафика;
  • TCP SYN Authentication - противодействие TCP-флудам посредством аутентификации клиента;
  • DNS Authentication - противодействие DNS-флудам посредством аутентификации клиента;
  • DNS Scoping - валидация DNS-запросов с помощью регулярных выражений;
  • DNS Malformed - проверка DNS-запросов на соответствие RFC;
  • DNS Rate Limiting - ограничение количества DNS-запросов с одного IP-адреса (подойдёт лишь для ресурсов с небольшой посещаемостью: в нашей стране провайдерами очень часто используется NAT. Вполне типичным является случай, когда «серая» подсеть /16 выходит в Интернет через один IP, и все DNS-запросы идут с одного адреса);
  • DNS NXDomain Rate Limiting - валидация DNS-ответов. Эта противомера предназначена для атак, при которых кэш DNS-серверов переполняется невалидными записями; она направлена на отслеживание запросов с несуществующим DNS-именем;
  • DNS Regular Expression - фильтрация DNS-запросов по регулярным выражениям;
  • TCP Connection Reset - предотвращение слишком долгих TCP-соединений;
  • Payload Regular Expression - фильтрация трафика посредством регулярного выражения применительно к Payload- пакетам;
  • HTTP Malformed - блокирование HTTP-трафика, не соответствующего RFC;
  • HTTP Rate Limiting - ограничение количества HTTP-запросов с одного IP-адреса;
  • HTTP Scoping - валидация HTTP-запросов с помощью регулярных выражений;
  • SSL Negotiation - блокирование SSL-трафика, не соответствующего RFC;
  • AIF and HTTP/URL Regular Expression - наложение сигнатур AIF на исследуемый трафик;
  • SIP Malformed - блокирование SIP-трафика, не соответствующего RFC;
  • SIP Request Limiting - ограничение количества SIP-запросов с одного IP-адреса.
Как это работает

Клиентам, заказывающим услугу защиты от DDoS, мы предоставляем защищённые IP-адреса (один адрес входит в базовый тариф, дополнительные адреса можно заказать через панель управления). Также мы выделяем специальную полосу для защищённого трафика. Трафик из Интернета идёт на защищённые адреса через сеть наших партнёров, где и проходит процедуру очистки.
Весь нелегитимный трафик отбрасывается на сети партнёра. Клиентам поступает только очищенный трафик. Исходящий трафик при этом попадает в интернет через инфраструктуру Selectel.

Маршрут движения очищенного трафика показан на следующей схеме:

Преимущества

В числе преимуществ нашей системы защиты от DDoS нужно в первую очередь выделить следующие:

  • быстрое подключение: полная настройка защиты от DDoS занимает 1 - 2 рабочих дня;
  • доступные цены и прозрачная схема тарификации: оплате подлежит только входящий очищенный трафик;
  • отсутствие необходимости сложной настройки на стороне клиента: достаточно просто прописать защищённый IP-адрес алиасом или на loopback-интерфейс;

Услуга уже доступна для заказа в панели управления (раздел «Услуги сети»).
При заказе вам нужно будет заполнить специальный опросник и указать следующее:

  • основную цель использования сервера;
  • количество IP-адресов, которые необходимо защитить;
  • желаемые меры по защите от DDoS.

На основе представленной информации мы выстроим оптимальную стратегию защиты с учётом специфики конкретных проектов.

Для самых популярных вариантов использования сервера (веб-сервер, сервер приложений, DNS-сервер) мы подготовили специальные шаблоны защиты, подходящие для большинства клиентов.

«Защита от DDoS» - услуга новая, и для её дальнейшего развития нам очень важно получать обратную связь от клиентов. Будем признательны за любые замечания, предложения и пожелания. Наиболее интересные идеи мы постараемся учесть в дальнейшей работе.

Учитывая, что DDoS-атаки становятся все более частыми, настало время, чтобы рассмотреть основные способы защиты и борьбы с ними.

DDoS – это метод нападения, используемый, чтобы запретить доступ для легитимных пользователей онлайн-сервиса. Атака может производиться на банк или сайт электронной коммерции, приложения SaaS, или любой другой тип сетевого сервиса. Некоторые атаки могут быть направлены даже на VoIP инфраструктуры.

Атакующий использует нетривиальный объем вычислительных ресурсов, который он либо построил сам, или, чаще, получил от уязвимых компьютеров по всему миру, чтобы отправить поддельный трафик на выбранный для атаки сайт.

Например, если сайт банка может обслуживать одновременно 1000 человек, а злоумышленник отправляет 10000 ложных запросов в секунду. При этом ни один из реальных пользователей зайти на сайт не смогут. Существует множество причин осуществления DDoS атак: вымогательство, активизм, соперничество конкурентов бренда, а также простая скука.

DDoS-атаки различаются по своей сложности и размеру. Злоумышленник может сделать так, что поддельный запрос будет выглядеть как случайный мусор в сети. Также можно осуществить более хлопотное, но эффективное нападение – послать данные, которые выглядят в точности также, как настоящий веб-трафик. Кроме того, если у злоумышленника есть достаточное количество вычислительных ресурсов в своем распоряжении, он может пустить столько трафика, чтобы полностью перегрузить полосу пропускания сайта-жертвы.

Простейшими типами атак считаются DDOS атаки Layer 3 и 4 (IP и udp/TCP в стеке OSI). Получается, что на сервер поступает столько “флуда”, что он просто не может больше обрабатывать реальный сетевой трафик, так как нападение посылает множество данных через сетевое подключение к цели. Более сложной считается атака из 7 layer, которая “имитирует” реальных пользователей, и пытается использовать веб-приложения, искать контент на сайте или производить другие сложные действия (использовать кнопку “Добавить на карту” или другие функции ресурса).

Существует четыре основных вида защиты от DDoS нападений:Делать защиту от DDoS самостоятельно.

Это самый простой и наименее эффективный метод. Как правило, кто-то пишет несколько скриптов Python, которые пытаются отфильтровать плохой трафик или предприятие попытается использовать свой существующий брандмауэр для блокировки трафика. Еще в начале 2000-х годов, когда атаки были довольно простыми, это могло сработать. Но сегодня, когда атаки слишком сильные, большие и сложные для этого типа защиты. Брандмауэр не выдержит нагрузки даже самой простой атаки.

Специализированное оборудование.

Это похоже на «Do It Yourself» в том, что предприятие делает всю работу, чтобы остановить атаку, но вместо того, чтобы полагаться на скрипты или существующий брандмауэр, они приобретают и развертывают специализированные устройства для предотвращения DDoS. Это специализированные аппаратные средства, которые расположены в центре обработки данных предприятия перед обычными серверами и маршрутизаторами и специально созданы для обнаружения и фильтрации вредоносного трафика. Однако есть некоторые фундаментальные проблемы с этими устройствами:

Они являются дорогостоящими продуктами, которые могут не работать до того момента, пока вы не подвергнетесь нападению. Они также могут быть дорогими в эксплуатации. Для работы этих устройств нужны квалифицированные инженеры по сети и безопасности, ведь у них нет волшебной кнопки « ».

Они должны постоянно обновляться оперативной группой, чтобы быть в курсе последних угроз. Тактика DDoS меняется почти ежедневно. Ваша команда должна быть готова обновить эти устройства до последних версий атак.

Они не могут справиться с объемными атаками. Маловероятно, что у предприятия будет достаточно пропускной способности для обработки очень больших DDoS-атак, происходящих сегодня. Эти аппаратные средства не приносят пользы, когда атака превышает емкость сети.

Интернет-провайдер (ISP).

Некоторые предприятия используют своего провайдера для обеспечения DDoS-смягчения. У этих провайдеров пропускная способность выше, чем у предприятия, что может помочь в крупных объемных атаках, но есть три ключевые проблемы с этими сервисами:

Недостаток основной компетенции: провайдеры занимаются продажей полосы пропускания и не всегда инвестируют необходимый капитал и ресурсы, чтобы опережать последние атаки DDoS. Это может стать повышением затрат на те услуги, которые они должны предоставить, поэтому они делают это как можно дешевле.

Одиночная защита провайдера: Большинство предприятий сегодня имеют несколько хостов в двух или более сетевых провайдерах, чтобы удалить единую точку отказа провайдера. Наличие двух или больше провайдеров – лучшая практика для увеличения времени безотказной работы. Решения по предотвращению DDoS-решений для ISP защищают только их сетевые ссылки, а не другие ссылки, которые у вас есть, поэтому теперь вам нужны службы по отражению DDoS от разных провайдеров, удваивая ваши затраты.

Отсутствие защиты от Облака. Как и в вышеперечисленном случае, многие веб-приложения в наши дни разделены между центрами данных, принадлежащими предприятиям, и облачными службами, такими как Amazon AWS, GoGrid, Rackspace и т. д. Поставщики услуг Интернета не могут защитить трафик от этих облачных сервисов.

Провайдер защиты Облачных серверов.

Поставщики таких услуг – это эксперты по обеспечению устранения DDoS-атак из Облака. Это означает, что они накопили огромное количество пропускной способности сети и пропускной способности на нескольких сайтах по всему Интернету. Эти ресурсы могут принимать сетевой трафик любого типа, независимо от того, используете ли вы несколько провайдеров, собственный центр обработки данных или любое количество поставщиков облачных услуг. Они могут вычищать трафик для вас и отправлять только «чистый» в ваш центр обработки данных.

Провайдеры защиты Облачных серверов имеют следующие преимущества:

Экспертиза: как правило, у этих провайдеров есть инженеры и исследователи в области сетей и безопасности, которые отслеживают новейшую тактику DDoS, чтобы лучше защитить своих клиентов.

Большая пропускная способность: у этих провайдеров гораздо больше пропускной способности, чем у предприятий, которые могут самостоятельно обеспечить прекращение самых объемных атак.

Несколько типов оборудования для предотвращения DDoS атаки чрезвычайно сложны. Существует потребность в нескольких уровнях фильтрации, чтобы быть в состоянии идти в ногу с последними угрозами. Облачные провайдеры должны использовать множество технологий, как коммерческих (COTS), так и собственных запатентованных методов защиты от нападения.

Провайдеры защиты Облачных серверов являются логичным выбором для предприятий в отношении их потребностей в защите DDoS. Это наиболее эффективное с точки зрения затрат и масштабируемое решение, позволяющее не отставать от быстрых достижений в инструментах и методах DDoS-атакующего.

Здравствуйте, уважаемые читатели блога сайт. Кто не слышал про CloudFlare ? Я слышал и даже подробно изучал возможности сервиса лет этак пять назад, наверное (когда ). Вот только сейчас уже не скажу, что именно тогда меня остановило от того, чтобы этот сервис попробовать (не помню). Но это и не важно.

Важно же то, что в первый рабочий день после новогодних праздников мне таки пришлось подключить сайт к CloudFlare и притом в авральном режиме (с выдиранием волос, литрами выпитого кофе и биением головой об стол). Сделать это пришлось из-за полной блокировки доступа к сайту (скорее всего путем Ддос атаки — по FTP доступ был возможен).

Из меня администратор сервера аховый и по большому счету я мало что понимаю в тонкостях и разновидностях DDos атак (ни как их организуют, ни как от них грамотно отбиваться — кроме простейшего блокирование по IP). Когда с этим не сталкиваешься, то оно тебе и не надо.

Но по всему выходит, что в первый рабочий день после новогодних праздников меня ддосили, и ничего ни я, ни техподдержка хостинга с этим поделать не смогли. Нанимать фрилансера для решения проблемы было стремно. Хорошо хоть по телефону ребята с Инфобокса мне подкинули идею подключить CloudFlare (как один из вариантов решения проблемы) и я за эту идею ухватился как за соломинку.

На успех особо не рассчитывал (за несколько часов, нужных для сброса старых и прописывания новых NC адресов успел много чего узнать по теме и даже составил уже примерный план действий). Но к моему удивлению буржуйский чудо-сервис помог! Притом даже на бесплатном тарифе. Замечательно сработал режим защиты от DDos атаки . Честно — не ожидал. Был приятно удивлен. Да еще и сайт стал летать как на крыльях (хотя и раньше черепахой не был).

В общем — так не бывает, но все же случается...

Что такое Ддос и что такое CloudFlare?

Что такое Ddos ? Ну, во-первых, это аббревиатура от «distributed denial of service». По-русски это звучит как распределенная атака, цель которой добиться от атакуемого сервера (группы серверов) отказа в обслуживании для посетителей сайта (сайтов). Сайт будет выдавать ошибку всем желающим на него войти.

Слово «распредленная» означает, что Ддос атака идет сразу со множества компьютеров в сети. Очень часто для этой цели используется так называемый ботнет, т.е. группа зараженных вирусами или другим способом взятых под контроль компьютеров. Владельцы входящих в ботнет компьютеров могут при этом даже не догадывать о том, что они кого-то атакуют (все происходит в фоновом режиме).

Физически это означает огромное количество запросов, совершаемых к серверу с разных IP адресов. Если адрес будет один или несколько, то его легко можно вычислить по логам или открыв страницу http://xxx.xxx.xxx.xxx/server-status (где x нужно заменить на IP вашего сервера, если он работает под Апачем). После чего проблем не составит подозрительные IP временно заблокирвовать, например, через файл.htaccess дописав в него строки (Ip замените на свои — строк с Deny from можно добавлять сколько угодно):

Order allow,deny allow from all Deny from 83.149.19.177 Deny from 87.228.80.49 Deny from 178.212.72.13

Какое-то время мне это помогало. Но настоящий Ddos так ни за что не отбить — просто не успеете выявлять повторы IP адресов, если атаковать будут с десятков и/или сотен хостов. У меня так и случилось. В итоге 7 часов полного дауна!

Первые два часа я общался с техподдержкой хостинга на предмет «помогите» — «не могем». Потом за пять минут подключил к сайту CloudFlare, еще за пару минут сменил DNS записи у и часа четыре ждал, пока начнется проключение ( должны обновиться на всех ключевых NS серверах в сети). Полноценно сайт заработал только через сутки, примерно.

Что такое DDos? Это страшная вещь на самом деле. Чувствуешь свое полное бессилие и безысходность. Со стороны атакующих — это способ заработать (на шантаже или выполняя заказ конкурента). Постоянная защита от этого зла очень дорогая, но CloudFlare даже на бесплатном тарифе позволяет отбиться от слабо-средней Ддос-атаки .

У этого сервиса есть миллионы подключенных сайтов (около пяти миллионов) и разработчики сервиса всегда четко отслеживают с каких IP сейчас обычно атакуют и таким посетителям, например, можно показать капчу (боты вряд ли настроены на ее разгадывание) или проверить браузер на «человечность» у таких подозрительных IP. Да и сами по себе их распределенные по миру сервера неплохо разреживают атаку на отказ — просто эти запросы распределяются на разные сервера и сильно снижают силу атаки сводя все усилия «редисок» на нет.

Для более серьезной защиты от Ддос в CloudFlare нужно уже платить и не мало (200$). Но это все для очень серьезного бизнеса, где Ддос мощнее (денег вливаемых в это больше), но и средств у владельцев много больше. Нам с вами «за глаза» хватит тарифа PRO за 20$ или вообще бесплатного тарифа, на котором почти все есть (читайте об этом ниже).

Что такое CloudFlare ? Это онлайн сервис, ведущий свою историю с 2009 года (он ровесник моему блогу). Это ни в коем разе не хостинг, хотя со стороны может показаться именно так. Это скорее надстройка над хостингом (что-то вроде кеширующего обратного прокси). После подключения сайта к этому онлайн-сервису у него меняется IP адрес и возникает такое ощущение, что вы сменили хостера, но это не так.

Хостинг вам будет по-прежнему нужен и работать с сайтом вы будете фактически так же, как и работали раньше. Будут некоторые нюансики, но суть останется прежней. CloudFlare же нужен для защиты (стабильной работы) и ускорения работы сайта .

К нему подключены уже более пяти миллионов сайтов по всему миру. Этот онлайн сервис владеет распределенной сетью дата-центров (более 120) по всему миру (с прошлого года и в Москве такой появился). Последнее особо приятно, ибо обеспечивает гораздо более быстрый отклик при обращении к сайтам с территории России (хотя страна у нас большая и центров надо строить больше).

Итак, CloudFlare владеет кучей серверов распределенных по всему миру . Зачем? Чтобы добавленные в него сайты грузились в браузерах посетителей как можно быстрее. Вся графика, CSS и джава-скрипт коды будут отдаваться с того дата центра, который ближе находится к данному посетителю вашего сайта. Посетитель зашел из Москвы? Значит в работу включится московский дата-центр. Из США? Значит графика и прочая статика будет отдаваться посетителю с ближайшего к нему узла Cloud Flare.

Одно это уже способно повысить среднюю скорость загрузки странниц вашего сайта. Но данный сервис имеет в своем загашнике еще несколько тузов и джокеров. Работая с миллионами сайтов и отражая ежесекундно атаки сервис имеет базу адресов, с которых сейчас чаще всего атакуют сайты. Одно это может даже на бесплатном тарифе служить первым эшелоном защиты от DDoS-атак (и на это не требуется тратить особо ресурсы и время).

Кроме этого сервис позволяет включить режим «под атакой» (Under Attack Mode), когда каждое обращение к сайту прерывается на 5 секунд для выяснения типа браузера, с которого осуществлялся заход. Как раз этот режим спас меня в описанной выше безвыходной ситуации. Да, при этом отсекаются все боты и часть легитимных пользователей (на вскидку трафик стал процентов на двадцать меньше), но это лучше чем полный отказ сервера в доступе.

По окончании Ддос-атаки этот режим можно будет отключить и выбрать подходящий уровень бдения. При повторении атаки его легко можно будет включить даже с мобильника сидя в метро (главное , чтобы вовремя среагировать).

В общем, даже на бесплатном тарифе практически все что нужно уже есть. Даже можно сжимать на лету файлы CSS и джава скрипта (удалив из них пробелы), чтобы на капелюшечку увеличить скорость загрузки. Не поверите — на бесплатном тарифе в CloudFlare можно будет даже SSL к сайту подключить (перейти на шифрованный протокол передачи данных — https, к чему нас последнее время активно склоняет Гугл). Причем сервис предоставляет свой собственный бесплатный сертификат.

Фантастика какая-то, не правда ли? Сами посмотрите сравнительную таблицу тарифных планов (включая Free). Чума! Если ваш хостинг упадет (будут проблемы), то Cloud Flare будет отдавать в этот промежуток времени страницы сайта из своего кеша (и это работает — проверял остановкой сервака, но есть нюансы о которых обязательно читайте ниже, иначе не сработает). Может чего упустил из бесплатных прелестей, но и этого более чем достаточно (за так то).

Кстати, у сервиса этого нет партнерки, но в рунете есть масса конкурентов с сумасшедшими ценниками (например, защита от DDoS-атак в qrator стоит ого-го-го сколько). Поэтому когда будете читать на форумах или блогах отзывы о CloudFlare , то обратите внимание на зачастую очень тонкую работу этих конкурентов (возможности CloudFlare занижаются, а своего сервиса или надстройки — абсолютируются). Многие ведутся, но сервис однозначно из разряда «такого не может быть, но все же есть».

Нет, недостатки у него тоже есть . Какие? Ну, зачастую очень даже значимые:


Что дает переход на тариф PRO в CloudFlare?

Как я уже сказал выше, купил PRO за 20$ в месяц (дороже хостинга получилось в полтора раза) и меня перевели (без моей просьбы — автоматом) на новый IP , где только три соседа и вполне себе легитимные.

Кроме этого на платном тарифе появилась возможность :

  • Polish (вкладка «Speed» из верхнего меню) — сжимать на лету картинки перед их отдачей посетителям сайта (можно настроить вариант сжатия — без потерь или с потерями, но более сильно).

  • Mirage — позволяет подгружать график на мобильных устройствах не сразу, а по мере прокрутки посетителем страницы. Кроме этого, изображения сжимают до реально требуемых размеров и только потом передаются пользователю в гаджет. Вроде как это здорово ускоряет работу сайта на мобильниках.

    Например, если открыть мой блог с мобильника, то при быстрой прокрутке страницы увидите, что вместо картинок вставляются заглушки, которые заменяются на реальные изображения только при их попадании в экран просмотра.

    А сейчас существенно ниже дает оценку — ругается, что часть контента на первом экране не подгружается вовремя. Кто его поймет?

  • Page Rules — на платном аккаунте появляется возможность задать более трех правил для страниц (а точнее — до 20). Зачем нужны эти правила? Например, именно они позволяют настроить кеширование не только статики, но и Html страниц сайта. Ну, и еще другие применения найдутся, но мне это нужно только для описанной цели. Как настроить полное кеширование сайта (включая текст страниц, а не только картинок, скриптов и стилей) читайте ниже.
  • Web Application Firewall — на платном аккаунте можно активировать (на вкладке «Firewall» из верхнего меню) базовый набор защиты от различных атак типа межсайтового скриптинга (XSS) и SQL инъекций. Вся подобная активность будет отсекаться (фильтроваться) еще на
    CloudFlare (не доходя до реального хостинга). Можно еще свои правила добавить, но я в этом не силен, посему ограничился стандартным (проверенным временем и миллионами сайтов) набором.
  • Можно будет еще на платном акке сделать свой дизайн для страниц с различными ошибками. Например, когда вы включаете режим «Под атакой» (Under Attack Mode), то всем новым посетителям сайта будет показывать сообщение о том, что идет проверка их браузера на предмет «человечности» (если Серч читаете, то могли у них такую надпись видеть в течении последнего года, после подключения ими Cloud Flare).

    Табличка эта на буржуйском языке и часть посетителей могут просто сбежать. А вот если написать что-то типа «Ребят, ребят, ребят! Не уходите! Буквально 5 сек и все будет!», то шанс удержать посетителя увеличится. Я пока все ленюсь этим заняться...

    • Тариф я оплачиваю через Пейпел, что весьма удобно. При настройке платежей меня попросили , но деньги снимались не с карты, а непосредственно с самого кошелька (я в него вывожу ). Прикольно, что каждый последующий месяц платеж происходит без моего участия — деньги автоматом списываются с Пайпаловского кошелька в день оплаты, что очень удобно.

    Оно и не мудрено, ибо Пайпал позволяет в течении полутора месяцев опротестовать платеж, если что.

    Как подключить свой сайт к CloudFlare?

    Ну, тут, кстати, все довольно просто, если мастер подключения сможет вытянуть все нужные настройки для переноса вашего сайта (его IP, Ms записи). Однако, обо всем по порядку.

    Заходите на Cloud Flare и регистрируетесь ( как зеницу ока, ибо это ключ к вашему сайту).

    Сразу оговорюсь, что бояться особо нечего, ибо при неудачном подключении вам не придется ждать сутки, пока ДНС записи опять перепишутся. Просто кликните по облачкам на странице настройки DNS и ваш сайт будет работать напрямую (мне пришлось так поступить с одним из второстепенных проектов, который почему-то с CloudFlare перестал открываться — см. скриншот ниже). Но по-любому: вся ответственность за ваши действия лежит только на вас и я тут буду, как бы, ни причем .

    Сразу после регистрации можно переходить на страницу добавления нового сайта , где в предложенную строку нужно будет просто вставить его доменное имя и нажать на кнопку «Begin Scan»:

    Тут, как видите, все ОК — сервис нашел все основные NS записи (включая почтовые), что есть хорошо. Автоматически для будущих данных, передаваемых с этого сайта, включилось кеширование (облачка окрасились). Идем дальше.

    Как уже говорил выше, для защиты от Ddos подойдет даже бесплатный тарифный план (на нем при желании еще и бесплатный SSL сертификат получить можно). Отличия плана PRO от бесплатного я описал выше, поэтому выбирайте то, что вам нужно (мне все равно). Идем дальше.

    Теперь основное. Нужно зайти в панель вашего регистратора доменных имен () и сменить там NS записи на те, что предложил на этом шаге мастера CloudFlare. Например, в Вебмани Домейнс это делается на такой вот страничке:

    Нужно просто заменить записи в двух строчках на то, что вам Cloud Flare дал и подождать от 4 часов до 2 суток , пока все это дело пропишется на всех NS интернета. Идем далее, и по истечении нескольких часов после прописывания новых NS серверов можно будет нажать на кнопку «Recheck Nameservers»:

    Обратите внимание, что внизу приведены настройки по умолчанию , которые будут применены к вашему сайту сразу после окончательного подключения к CloudFlare (средний уровень безопасности и стандартное кеширование, которое подразумевает попадание в кеш только статики — картинок, стилей и скриптов).

    Если подключение ДНС уже прошло, то статус после нажатия на упомянутую кнопку сменится:

    Кнопка «Quick Actions» позволяет быстро перейти в режим защиты от Ddos и прочих видов атак, который называется «Under Attack Mode» . Мне при переходе на Cloud Flare пришлось сделать именно так. Данный режим «Под атакой» (Under Attack Mode) у меня был включен около 12 часов, пока атака не прекратилась.

    На это время доступ к сайту ограничен и все соединения проверяются на предмет их легетивности. Всякие боты, в том числе и поисковых систем пробиться на сайт не смогут. В общем, работать в нем не стоит дольше того, чем необходимо (пока идет атака). Чуть подробнее о включении и выключении режима защиты от Ддос-атаки читайте в самом конце этой публикации.

    100%-ый аптайм для сайта с помощью CloudFlare

    Под автономной работой сайта я имею такую ситуацию, когда по каким-либо причинам ваш хостинг «ляжет», а сайт продолжит быть доступным посетителям . Это, как говорится, крайний случай. Но зачастую хостинг может просто-напросто не справляться с высокой нагрузкой (вызванной посещаемостью или использованием множества плагинов и плохой оптимизацией движка). В этом случае опять же поможет кеширование Html страниц в CloudFlare.

    По умолчанию, как я понимаю, сервис кэширует только статику : картинки, CSS и JC. Все. В принципе, и это здорово может облегчить работу хостинга и ускорить загрузку страниц сайта в разных точках мира. Но зачастую этого бывает недостаточно. И даже не это главное. В этом режиме не срабатывает функция «Always Online» (Всегда онлайн), ибо Cloud Flare не умеет творить чудеса и отдает страницы из своего собственного кеша, а если их там нет, то отсылает к хостингу (который в данный момент может быть недоступен).

    В общем, задача сводится к тому, чтобы включить кэширование всего содержимого веб-страниц (кода разметки, включающего текстовое наполнение), а не только статики. Сделать это можно на вкладке «Page Rules» из верхнего меню (см. пояснения в хелпе). Почему это не вынесли в общие настройки кэширования? Думаю, что из-за великого разнообразия сайтов и движков, на которых они работают. Видимо, не возможно обеспечить таким образом стабильность. Нужно действовать более точечно, опираясь на структуру и специфику каждого конкретного вебсайта. ИМХО.

    На бесплатном тарифе можно создать только три правила для страниц, а на тарифе PRO — уже 20. Суть создания правила довольно проста. Пока опустим то, что нужно вставить в поле с регулярным выражением, а посмотрим что нам предлагают при нажатии на «+ Add a Setting» (добавить настройку):

    Здесь как раз можно выбрать настройку степени кэширования (Cache levels), где в открывшемся списке допнастроек можно будет выбрать последний вариант «Cache everything» («Кэшировать все»). Таким образом, мы принудительно заставим CloudFlare кешировать всю вебстраницу, а не только статику.

    Еще желательно будет задать время, которое страница будет храниться в кэше CloudFlare и в кэше браузеров посетителей сайта (это две разных настройки). Тут все зависит от степени динамичности вашего сайта в целом и отдельных его страниц в частности. Меня вполне устраивает интервал в несколько суток хранения кеша в облаке, а кеш браузера я выбираю разный (в зависимости от типа страниц).

    Для задания этих настроек нужно будут еще пару раз нажать на кнопку «+ Add a Setting» и выбрать:

  • Browser Cache TTL — настройка времени жизни кэша в браузерах посетителей вашего сайта. Например, если выберите одни сутки, то посетитель, в течении суток зашедший дважды на одну и ту же страницу вашего сайта, второй раз получит ее не из интернета, а из кеша собственного браузера (без изменений). А вот если времени пройдет более суток, то страничка будет запрашиваться уже из интернета (с Cloud Flare). Для главной страницы этого блога я поставил значение «пару часов» для Browser Cache TTL, а для остальных страниц — от суток до двух. Возможно, что можно придумать что-то более оптимальное.
  • Edge cache TTL — это уже время жизни кеша на серверах в дата-центрах CloudFlare (по всему миру). Если поставите все те же сутки, то все посетители вашего сайта будут видеть эту страницу (или группу страниц, для которых вы задали Edge cache TTL равным суткам) без изменений, даже если на сервере эта страница поменялась (например, к ней добавились комментарии или вы что-то изменили в тексте, поменяли изображение и т.п.).

    • Сразу оговорюсь, что на сервисе есть возможность принудительно сбросить кеш не только для всего сайта (чего делать особо не рекомендуется), но и отдельных страниц, и даже отдельных статических файлов (изображений, файлов стилей и скриптов), когда вы внесли в них изменения и хотите, чтобы они незамедлительно стали доступны посетителям вашего сайта.

    Делается это на вкладке «Caching» (из верхнего меню) путем нажатия на кнопку «Purge Individual Files» (чтобы сбросить весь кеш нужно будет нажать на стрелочку на этой кнопке и выбрать нижний из двух пунктов «Purge Everything»). В открывшееся окно нужно ввести Урл страницы, либо страниц (по одной на строку), либо отдельных файлов (полный путь до картинок, файла стилей и т.п.):

    Я этой опцией пользуюсь довольно часто, например, после изменения картинок, добавлении комментария к статье или при изменении дизайна сайта (сбрасываю кеш для файлика стилей). Файлы, кеш которых вы недавно сбрасывали, отображаются ниже — по ним можно просто кликнуть, чтобы выполнить их очередной сброс. Очень удобно.

    Но вернемся к настройкам правил для отдельных страниц сайта — Page Rules . Чуть ранее мы нажали на кнопку «Create Page Rule» и научились включать полное кеширование содержимого Html страниц, а также ограничивать время жизни кэша в браузерах посетителей и на серверах CloudFlare. Получиться в результате должно что-то типа этого:

    Т.е. мы задали нужные нам правила кеширования. В примере — это кэширование всего содержимого со сроком жизни кэша в браузерах посетителей 4 час и сроком жизни кеша на серверах сервиса 2 суток. Осталось дело за малым — прописать в первой строке этого всплывающего окна формулу, по которой сервис поймет для каких именно страниц вашего сайта эти правила применять . Как это сделать, можно почитать нажав на кнопку «Хелп» внизу окна настроек правил.

    На мой взгляд есть два пути задания правил:

  • На тарифе Pro есть возможность прописать 20 правил для страниц, что позволяет реализовать первый вариант: описать формулами все типы страниц сайта, которые стоит кешировать . Для моего блога — это главная, страницы со статьями, страницы рубрик, а также статические страницы типа «О блоге» и т.п. Естественно, Урлы админки тут указывать не будем, ибо там кеш может помешать работе.
  • На бесплатном тарифе доступны только три правила, и в некоторых случаях их может не хватить для реализации первого способа. Второй способ заключается в том, чтобы сначала разрешить кеширование страниц всего сайта, а потом запретить кешировать админку и страницу авторизации. Трех правил для этого должно хватить.
    • Как настроить полное кеширования страниц сайта в CloudFlare

    Теперь поподробнее о практической реализации обеих способов.

    Начнем с первого варианта создания разрешающих правил кеширования для всех (или большинства) страниц сайта, которые нужно будет хранить в кеше серверов CloudFlare полностью (весь html код с картинками, скриптами и стилями).

    Если страницы со статьями вашего сайта (как и на моем блоге) оканчиваются на.html , то для их полного кеширования хватит одного единственного правила для страниц:

    Сайт/*.html

    Замените мое доменное имя на свое и все должно заработать. Довольно просто — знак * заменяет все, что может стоять между доменными именем и суфиксом.html.

    Останется еще только добавить правило для полного кеширования главной страницы сайта:

    Сайт/

    Тут, думаю, все понятно и без пояснений. Единственное что, для главной страницы я время кеширования в браузерах пользователей выбрал поменьше, ибо содержимое этой страницы чаще других изменяется, и важно, чтобы она отображалась в более-менее актуальном состоянии.

    Время же кеширования на серверах CloudFlare оставил большим, ибо при добавлении новой записи я просто сбрасываю кеш для главной способом описанным чуть выше. Очень удобно, только по первости нужно привыкнуть это делать.

    Замечательно, когда все страницы кроме главной оканчиваются на.html. У меня же, например, рубрики и статические страницы (типа «О блоге») такого индекса не имеют. С рубриками особо мучиться не пришлось, ибо я выбрал, как оказалось, удачный шаблон, с обязательным словом (каталогом) «/category/», поэтому правило для этого типа страниц выглядит так:

    Сайт/category/*

    Ну, а со статическими страницами пришлось поизголяться, но вроде все получилось.

    В итоге процент отдаваемых из кеша CloudFlare данных составил (по данным встроенной в эту систему аналитики) около 90%, что есть очень даже хорошо (по сути на эту величину снизилась нагрузка на сервер моего хостинга):

    На отдельном аккаунте в CloudFlare (бесплатном) я разместил все остальные свои небольшие проекты. Т.к. правил для страниц можно было создать только три на бесплатном тарифе, то я решил пойти от противного — разрешить полное кеширование всего сайта, запретив потом трогать страницы админки .

    Сразу скажу, что сработало как-то не очень. Вместо 90% загрузок из кеша, в этом случае я получил менее 50%. Но тем не менее свои решения я приведу, авось вы мне подскажите где я ошибся. Итак, первым правилом я разрешил кешировать все:

    А вторым (этот сайт работает на Вордпресс ) — для страниц админки выбрал режим кеширования байпасс, т.е. не попадание этих страниц в кеш. Вроде все работает и скорость блога существенно выросла, но в аналитике менее 40 процентов трафика идет через CloudFlare (все остальное тянется с сервера хостинга). Почему? Для меня не очень понятно. При этом с работой в админке никаких проблем при этом не наблюдалось, что уже хорошо.

    Если у вас сайт на joomla , то там админку можно забайпассить таким образом (наверное):

    Domen.ru/admin*

    В общем, сами смотрите какой вариант вам выбрать.

    На одном из сайтов, подключенных к бесплатному аккаунту CloudFlare, вдруг возникли проблемы (он перестал открываться), поэтому для него я пока просто отключил «облачка» на вкладке «DNS» из верхнего меню:

    После этого он начал открываться. Переносить NS записи на старые пока не стал — может быть возникнет желание поразбираться что к чему.

    Что делать, если началась DDos-атака и как ее отразить?

    Если вы подключились к КлоудФлэр именно из-за идущей в данный момент Ддос-атаки (или она началась после подключения), то ее вполне можно будет отразить или снизить эффект от нее даже на бесплатном тарифе этого сервиса. Для этого достаточно лишь перейти на вкладку «Overview» из верхнего меню и нажать на кнопку «Quick Actions» :

    Выберите из выпадающего списка пункт «Under Attack Mode» и данный сервис начнет активно противодействовать Ddos-атаке.

    Все пользователи (или боты) будут задерживаться перед обращением к серверу вашего хостинга сервисом CloudFlare на 5 секунд, за время которых он будет пытаться определить реальный ли это пользователь (браузер) или бот.

    Реальные пользователи при этом будут наблюдать такую вот картинку на своем экране в течении 5 секунд (до открытия страницы вашего сайта):

    Понятно, что такая «непонятная» надпись часть посетителей таки отпугнет — я наблюдал падение посещаемости в режиме «Under Attack Mode» примерно на четверть по отношению к нормальному режиму работы. Но лучше потерять четверть посетителей, чем все 100%. Согласитесь?

    К тому же на тарифе PRO (о котором я писал выше) можно вид этой надписи поменять и снизить процент отказов (например, перевести ее на русский и добавить чуток креатива). По-любому возможность замечательная.

    Однако, не стоит оставлять сайт в режиме «Under Attack Mode» дольше того времени, пока идет атака, ибо вы не только часть посетителей будете терять, но и все боты поисковиков будут отсекаться от сайта, что со временем не здорово скажется на посещаемости. Поэтому периодически отключайте режим «Under Attack Mode» простым нажатием на кнопку «Disable» (на вкладке «Overview»- см. скриншот выше) и смотрите на результат.

    Если сайт опять стал недоступен (Ddos продолжается), то включайте Status: I"m Under Attack! взад. Так продолжайте часа через два мониторить окончание Ддос-атаки, чтобы не держать лишнее время сайт в этом безусловно полезном, но неоптимальном режиме «Под атакой».

    На постоянной основе я предпочитаю использовать режим по умолчанию «Medium» . Кстати, поменять режим безопасности можно и без переключения в «Under Attack Mode». Сделать это можно на вкладке «Firewall» (из верхнего меню), выбрав нужный вариант из выпадающего меню кнопки с названием текущего Security Level:

    Ну, и «I"m Under Attack!» отсюда тоже можно будет включить.

    А в целом

    Пока вроде все, что хотел и имею сказать. Полазайте еще по вкладке «Speed» и посмотрите, что там можно использовать. А вообще, извините за столь краткое описание этого безусловно примечательного сервиса, но что-то утомился печатать и скрины делать (видать сегодня не в форме).

    В рунете подобного меценатства вкупе с ошеломляющей полезностью я пока не встречал. Посему не посчитал для себя обременительным перейти на тариф PRO с ежемесячным отстегиванием 20$.

    В принципе, можно было этого не делать, но так как-то спокойнее, что ли...

    CloudFlare посвящен пятый ролик из 6 видеоуроков по теме ускорения сайта , которые, на мой взгляд, имеет смысл посмотреть целиком, чтобы воспринимать картинку оптимизации в целом (нужный ролик можно выбрать из выпадающего списка в левом верхнем углу окна плеера):

    Удачи вам! До скорых встреч на страницах блога сайт

    Вам может быть интересно

    Как добавить видео на сайт, чтобы не пострадала скорость загрузки страницы
    Handyhost - как выбрать оптимальный для вас хостинг
    Ускорение и защита вашего сайта в облачном сервисе Айри.рф
    Измерение и увеличение скорости сайта в GTmetrix, а так же настройка загрузки библиотеки jQuery с Google CDN Как зарегистрировать домен (купить доменное имя у регистратора)
    Как найти и удалить неиспользуемые строки стилей (лишние селекторы) в CSS файле вашего сайта

    Хотелось бы поговорить с вами на актуальную нынче тему, а именно - про DDoS и методы борьбы с ним. Рядовые администраторы знают, что это такое, а вот для большинства вебмастеров это аббревиатура остается загадкой до того момента пока они на личном опыте не столкнуться с этой неприятностью. Итак, DDoS - это сокращение от Distributed Denial of Service (распределенный отказ в обслуживании), когда тысячи зараженных компьютеров отправляют на сервер множество запросов, с которыми он, в последствии, не может справиться. Целью DDoS атаки является нарушение нормальной работы сервера, а в дальнейшем - «падение» сайта или сервера целиком.

    Как же от этого защититься? К сожалению, универсальных мер защиты от DDoS-атак до сих пор не существует. Тут необходим комплексный подход, который будет включать меры аппаратного, программного и даже организационного характера.

    Программно-аппаратные системы от сетевого гиганта Cisco являются наиболее эффективными, но за них вам придется порядочно раскошелиться.

    Для защиты IIS серверов можно воспользоваться (программным) решением от компании Microsoft, но, зная щедрость этой компании, можно догадаться, что они тоже далеко не бесплатные.

    В настоящее время, заказные DDoS-атаки превратились в выгодную и активно развивающуюся нишу сетевой преступности. Поискав в Google, можно найти десятки предложений от «специалистов» по устранению сайта конкурентов.

    Какие же основные принципы по защите от DDoS? В первую очередь, не нужно привлекать к себе (своему сайту) лишнее внимание радикально настроенной общественности, публикуя контент, способный задеть расовые, национальные или религиозные чувства каких либо индивидов.

    Если же вас «заказали», или вы не послушались предыдущего совета, будьте начеку - аппаратные ресурсы веб-сервера обязательно должны иметь некоторый резерв производительности, а распределенные и дублирующие системы - построены максимально эффективно. Без понимания принципов работы DDoS, эффективную защиту построить просто невозможно. Для осуществления DDoS-атак используется большое количество компьютеров, зараженных вредоносным кодом. Эти компьютеры объединяются в ботнеты (“bot-net” - сети зомби-машин), которые по приказу злоумышленника осуществляют DDoS-атаки, причем владельцы компьютеров зачастую даже не подозревают об этом.

    Мы , как хостинг-компания, сталкиваемся с DDoS-атаками на сайты наших клиентов ежедневно и имеем некоторый опыт в борьбе с ними. Как было сказано выше, универсальных мер защиты попросту нет, но атаку все же можно отразить. Предположим, что на некий сайт (пусть это будет domain.ru) идет DDoS атака. По логам видно, что большое количество GET запросов идет на главную страницу. В большинстве таких случаев, ботов можно обмануть воспользовавшись javascript-редиректом. К примеру:


    window.location = "domain.ru/index.php"

    Как результат - с каждым разделом, который атакован GET запросом прямо в корень, размер файла получится всего несколько байт, что гораздо лучше, чем когда бот соприкасается c ~50-100кб страницей и при этом подтягивает ~5-10 SQL запросов. Легитимные же пользователи, у которых не отключен javascript в браузере, перенаправляются на index.php.

    Но есть одно большое НО – поисковые-боты тоже не оборудованы js-интерпретаторами и точно так же, как и атакующие боты, будут утопать в js редиректе. Можно, воспользовавшись такими UNIX утилитами как tcpdump или netstat, написать небольшой скрипт, который будет считать кол-во коннектов с определенного IP адреса, и банить его.

    Определить бота можно, например, проверив его host. Небольшой пример элементарного скрипта по блокировке IP, которые создают много коннектов к серверу (данный вариант проверялся на Centos 5.6):

    Запись в crond

    */1 * * * * netstat -an | grep tcp | awk "{print $5}" | cut -d: -f1 | sort -n | uniq -c > /var/log/ip.list

    Данная команда создает список с кол-вом подключений и самим IP, пример:

    10 209.232.223.117
    1 209.85.161.191
    2 212.113.39.162
    1 212.78.78.78
    61 213.142.213.19
    5 213.151.240.177
    1 210.169.67.225
    1 216.179.59.97

    Сам скрипт, который можно запустить в screen-е или сделать демоном:

    #!/bin/bash
    connects=150 /dev/null 2>&1
    then
    // если в имени хоста есть слово google (у гугло-ботов это слово присутствует)
    if echo $hostname | grep "google" > /dev/null 2>&1
    then
    // то добавляем его в белый список и делаем запись в лог
    echo "$ip" >> /etc/white.list
    echo `date +%H:%M_%d-%m-%Y` $ip "- ADDED TO WHITE LIST AS $hostname SEARCH BOT IP" >> /var/log/ddos_log
    else
    // если не гугл - блочим
    route add $hostname reject
    fi
    fi
    fi
    done < /var/log/ip.list

    Давайте также посмотрим и на настройки параметров Apache, которые помогут избежать некоторых проблем вызванных DDoS атакой.

    TimeOut – указывайте как можно меньшее значение для данной директивы (веб сервера, который подвержен DDoS атаке).

    KeepAliveTimeout директива – также нужно снизить ее значение или полностью выключить.

    Стоит обязательно проверить значения различных тайм-аут директив представленные другими модулями.

    Директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody должны быть тщательно настроены на ограничение потребления ресурсов вызванных запросами клиентов.

    Убедитесь, что вы используете директиву AcceptFilter (на ОС которые поддерживают ее). По умолчанию она включена в конфигурации Apache httpd, но для своей работы может потребовать пересборку с новыми настройками ядра вашей ОС (*nix, *bsd).

    Используйте директиву MaxClients, чтобы указать максимальное количество клиентов, которые смогут быть одновременно подключены к серверу - уменьшив значение директивы вы сможете снизить нагрузку на web-сервер.

    Защитится от DDoS можно и на программном уровне. В этом вам поможет бесплатный скрипт – DDoS Deflate. С его помощью можно легко избавится от детского флуда и DDoS. Скрипт использует команду «netstat» для обнаружения DDoS и флуда, после чего блокирует IP адреса вредителей с помощью фаервола iptables или apf. Но не стоит расслабляться и считать, что слабый DDoS не сможет нанести ущерб вашему серверу. Возьмем, к примеру, что атакующих зомби-машин всего 10-50, но все они с толстыми каналами, а Вы, как назло, уехали в командировку, или у вас десятки (а то и сотни) серверов, и Вы не успеваете физически “мониторить” их все. В таком случае, даже небольшое количество машин сможет “зафлудить” канал или заставить выйти из строя вебсервер apache, mysql, etc. Другое дело, когда администратор круглосуточно “мониторит” сервер и с легкостью обнаруживает атаки. Но такое бывает крайне редко, поэтому нужно подключить систему сигнализации, а процесс блокировки атакующих зомби-машин - автоматизировать.

    P.S. Статья была прислана мне юзером . Вопросы по статье, рекомендации по следующим статьям и интересующим темам и вопросам просьба присылать ему.

    Спасибо за внимание!

    • Глобальная сеть центров очистки трафика
    • Безупречная интеграция без необходимости покупки дополнительного оборудования
    • Защита от самых сложных и крупномасштабных атак
      • Как DDoS-атака может повлиять на работу вашей организации?

        DDoS-атака (Distributed-Denial-of-Service) - один из самых распространенных видов кибератак. Ее цель - довести информационную систему предприятия-жертвы (например, веб-сайт или базу данных) до такого состояния, при котором легитимные пользователи не могут получить к ней доступ.

        Финансовые и репутационные потери организации, которая подверглась атаке такого типа, могут быть очень велики.

        Сделала ли ваша компания все возможное, чтобы обеспечить эффективную защиту от DDoS-атак?

      • Защита онлайн-операций вашей компании

        Сегодня онлайн-операции играют все более важную роль в ежедневном взаимодействии организации с ее клиентами, поставщиками и сотрудниками. В этих условиях ни одна компания не может игнорировать угрозу, исходящую от DDoS-атак. Онлайн-услуги вашей компании, как и вся ее IT-инфраструктура, слишком важны для бизнеса, чтобы оставить их без надежной защиты.

        • Ваши клиенты становятся более требовательными
        • Им нужен постоянный доступ к продуктам и услугам – а это значит, что для обеспечения высокого качества обслуживания клиентов вы не должны допускать простоев в работе своих онлайн-ресурсов.
        • Вашим сотрудникам необходим стабильный доступ к ключевым сервисам
        • Многие сотрудники не могут выполнять свои рабочие задачи, если какая-либо из систем компании выведена из строя DDoS-атакой.
        • Атака может иметь далеко идущие последствия

        Несмотря на то, что атака может быть нацелена на конкретный элемент IT-инфраструктуры компании, она в состоянии повлиять и на другие области вашего бизнеса. Например, атака против внутренних систем банка может также вывести из строя его сеть банкоматов.

      • Финансовый и репутационный ущерб

        Прямые финансовые затраты на восстановление систем после DDoS-атаки могут быть весьма велики, а ущерб, нанесенный репутации компании, будет напоминать о себе еще долгое время.

        Возможный ущерб

        • Прямые финансовые затраты
        • Незавершенные онлайн-операции по продажам – во время периода вынужденного простоя
        • Неосуществленные банковские транзакции – и, как следствие, возможные штрафы
        • Ущерб репутации
        • Негативная огласка, которая отпугивает как существующих, так и потенциальных клиентов
        • Ущерб бренду – на восстановление репутации могут потребоваться годы
      • Дополнительный ущерб

        Всякий раз, когда клиенты слышат о любом «нарушении безопасности» (в том числе о DDoS-атаке), они начинают беспокоиться о том, что их конфиденциальная информация, банковские данные и номера кредитных карт окажутся под угрозой. Несмотря на то, что эти страхи могут быть совершенно беспочвенны, в результате бизнес все равно несет убытки.

      • Масштаб угроз

        К сожалению, за последние годы затраты на организацию DDoS-атак существенно снизились, а объем таких атак значительно возрос.

        Поэтому коммерческим предприятиям и государственным организациям необходимо иметь представление о возможных угрозах и принимать упреждающие меры для защиты от DDoS-атак.

      • Вчерашняя защита не защитит вас от сегодняшних угроз

        Масштабы и сложность DDoS-атак возросли. Для компаний это означает следующее.

        • От современных атак гораздо сложнее защититься
        • Восстановить бизнес после таких атак значительно труднее

        За счет своего масштаба современные DDoS-атаки очень быстро парализуют IT-инфраструктуру компании-жертвы. Во время подобной атаки запросы посылаются со скоростью 80–100 Гб в секунду, забивая таким образом пропускной канал корпоративной сети за считанные секунды.

        Все это означает, что методы предотвращения DDoS-атак, которые были эффективны еще несколько лет назад, больше не обеспечивают адекватную защиту. Теперь компании могут оградить себя от таких атак, только используя специальные защитные сервисы.

      • Как DDoS-атаки парализуют работу компаний

        У хакеров есть множество способов вызвать перегрузку IT-инфраструктуры атакуемой компании, чтобы вызвать так называемый «отказ в обслуживании». Наиболее частые типы атак:

        • Объемные атаки
          Цель таких атак – заблокировать корпоративный интернет-канал за счет создания объема трафика, значительно превышающего его пропускную способность.
        • Атаки на приложения и инфраструктуру
          В ходе атак на приложения злоумышленники пытаются вывести из строя серверы, где размещены ключевые приложения, например, веб-серверы, от работоспособности которых зависят онлайн-операции вашей компании. Другие инфраструктурные атаки быть нацелены на ваше сетевое оборудование и/или серверные ОС.
        • Гибридные атаки
          Киберпреступники также могут проводить сложные атаки, сочетающие в себе элементы объемных атак и атак на приложения и инфраструктуру. Такие атаки особенно опасны, и от них сложнее всего защититься.
      • Основы защиты от DDoS-атак

        Чтобы обеспечить адекватную защиту бизнеса, требуется надежной решение для предотвращения DDoS-атак, позволяющее:

        • как можно быстрее обнаружить новую атаку
          Цель: обеспечить защиту бизнеса сразу после начала атаки.
        • как можно быстрее устранить последствия атаки
          Цель: минимизировать любые сбои (или полностью исключить их) в проведении деловых операций
      • Решение «Лаборатории Касперского»

        Kaspersky DDoS Protection – полностью интегрированное решение, включающее все необходимое для надежной защиты вашего бизнеса от DDoS-атак:

        • Специальное приложение-сенсор* – для установки в вашей IT-инфраструктуре
        • Доступ к отказоустойчивой распределенной сети центров очистки трафика
        • Расширенные аналитические данные о последних DDoS-атаках
        • Услуги нашего Центра обеспечения безопасности
        • Расширенная поддержка – включая прямой доступ к экспертам по защите от DDoS-атак
        • Анализ и отчеты по результатам имевших место атак
        • Все эти услуги предоставляются в рамках Соглашения о сервисном обслуживании

        *Приложение-сенсор работает на стандартной серверной ОС x86 или на виртуальной машине. Если вам нужен сервер, его предоставит один из партнеров «Лаборатории Касперского».

      • Как мы защищаем ваш бизнес

        Kaspersky DDoS Protection обеспечивает надежную защиту вашего бизнеса от DDoS-атак – начиная с анализа трафика в режиме 24x7, отправки уведомлений о возможной атаке и последующего перенаправления трафика, его очистки и возврата «очищенного» трафика на ваш веб-сайт и заканчивая предоставлением отчета с результатами анализа прошедшей атаки.
        В отличие от систем других производителей, решение «Лаборатории Касперского» противодействует DDoS-атакам по двум направлениям:

        • Специальная защитная инфраструктура – приложение-сенсор, устанавливаемое в вашей инфраструктуре, и распределенная глобальная система очистки трафика, принадлежащая «Лаборатории Касперского»
        • DDoS-аналитика «Лаборатории Касперского» (Kaspersky DDoS Intelligence) – мониторинг ботнет-активности для раннего обнаружения DDoS-атак
      • Приложение-сенсор

        «Лаборатория Касперского» предоставляет специальное приложение-сенсор, которое устанавливается в вашей IT-инфраструктуре и немедленно начинает собирать статистику и формировать профили использования защищаемого ресурса.

        Это приложение осуществляет мониторинг трафика, постоянно накапливая статистические данные и данные поведенческого анализа, и непрерывно совершенствует алгоритмы выявления даже незначительных аномалий, которые могут свидетельствовать о начале DDoS-атаки.

        Поскольку приложение-сенсор работает на стандартном сервере x86 или на виртуальной машине, вам не потребуется приобретать и обслуживать работу какого-либо дополнительного оборудования.

      • Центры очистки

        В случае DDoS-атаки мы уведомляем вас об инциденте и предоставляем возможность перенаправить ваш трафик в центры очистки «Лаборатории Касперского», чтобы получить обратно только чистый трафик.

        «Лаборатория Касперского» создала и поддерживает распределенную сеть центров очистки, которая позволяет предоставить клиентам эффективную и отказоустойчивую систему очистки трафика.

      • Анализ DDoS-атаки

        Антивирусные эксперты «Лаборатории Касперского» используют сложные методы мониторинга DDoS-угроз, что позволяет обеспечить ранее обнаружение DDoS-атак.

        Производители традиционных систем предотвращения DDoS-атак не имеют специализированных подразделений, занимающихся аналитикой этого типа угроз, поэтому они не способны обеспечить проактивную защиту вашей компании.

      • Автоматическая защита и защита по требованию

        В рамках KDP Connect или Connect+ отражение DDoS-атак происходит в автоматическом режиме. Параллельно эксперты немедленно проводят детальное исследование атаки и вносят коррективы, учитывая мощность DDoS-атаки, ее тип и сложность. KDP Control позволяет вам самостоятельно определить, когда следует перенаправить трафик на центры очистки для отражения DDoS-атаки.

      • Выбор оптимального уровня защиты

        «Лаборатория Касперского» предлагает три уровня решения, которые вы можете выбрать в зависимости от ваших целей, ресурсов и сетевой инфраструктуры:

        • KDP Connect – перенаправление трафика изменением DNS-записи в режиме Always On (постоянная защита), доставка очищенного трафика осуществляется через прокси-сервер, GRE-туннели или через выделенную линию.
        • KDP Connect + – перенаправление трафика средствами протокола BGP в режиме Always On (постоянная защита), доставка очищенного трафика осуществляется через GRE-туннели или выделенную линию.
        • KDP Control – перенаправление трафика средствами протокола BGP в режиме On Demand (защита по требованию), доставка очищенного трафика осуществляется через GRE-туннели или выделенную линию
      • Преимущества решения «Лаборатории Касперского»

        Защита от самых сложных DDoS-атак не должна отвлекать специалистов вашего IT-департамента и службы безопасности от решения актуальных для бизнеса задач.

        Если вы используете Kaspersky DDoS Protection, «Лаборатория Касперского» полностью берет на себя защиту вашей компании от DDoS-атак.

      • Эксперты против хакеров

        Практически каждая DDoS-атака характеризуется следующими чертами:

        • Хакеры исследуют свою мишень
          Злоумышленники предварительно оценивают уязвимости в онлайн-сервисах компании-жертвы и затем выбирают наиболее эффективные инструменты для проведения целевой атаки.
        • Киберпреступники корректируют свою тактику
          Хакеры отслеживают ход атаки и в режиме реального времени меняют тактику и используемые инструменты, чтобы нанести атакуемой организации максимальный ущерб.

        Поскольку практически любой DDoS-атакой управляют реальные люди, эксперты «Лаборатории Касперского» по защите от DDoS-атак также работают в режиме реального времени, чтобы обеспечить максимально эффективную защиту и свести к минимум возможный ущерб для вашего бизнеса.

      • Встроенное защитное устройство – за и против

        Некоторые производители предлагают использовать гибридную защиту, сочетающую встроенное устройство и удаленные центры очистки. При этом трафик компании постоянно проходит через встроенное устройство, которое обеспечивает определенный уровень защиты от небольших атак, а перенаправлять трафик в центры очистки предлагается только в случае более масштабных атак. Однако подавляющее большинство современных атак способно в течение нескольких секунд забить как пропускной канал встроенного устройства, так и интернет-канал атакуемой организации. В связи с этим гибридный подход очевидно устарел – он может привести к простоям до того, как трафик будет перенаправлен в центр очистки.

        Kaspersky DDoS Protection использует сенсор, который постоянно производит мониторинг вашего трафика, не прерывая его. Как только сенсор детектирует потенциальную атаку, вы можете перенаправить весь трафик в один из центров очистки «Лаборатории Касперского».

        Решение «Лаборатории Касперского» не подразумевает использования каких-либо встроенных устройств. Благодаря этому:

        Вы сами принимаете решение о перенаправлении трафика в центр очистки
        Снижается количество ложных срабатываний

      • Более высокая степень прозрачности – для формирования полной картины

        Хотя никто не в силах предотвратить атаки киберпреступников на ваш бизнес, «Лаборатория Касперского» может обеспечить быстрое реагирование на любую DDoS-атаку, полноценную защиту от нее и оперативное устранение последствий. После завершения атаки мы предоставим вам ее детальный отчет, включающий следующие данные:

        • Подробный анализ инцидента
        • Продолжительность атаки
        • Каким образом решение Kaspersky DDoS Protection справилось с атакой
      • Почему «Лаборатория Касперского»

        Kaspersky DDoS Protection сочетает три метода защиты от DDoS-атак:

        • Статистический анализ вашего онлайн-трафика помогает нам формировать профили трафика и детектировать любые отклонения в нем
        • Поведенческий анализ отслеживает действия посетителей вашего веб-сайта, что позволяет выявлять любую аномальную активность
        • Экспертный анализ (Kaspersky DDoS Intelligence) повышает уровень обнаружения
      • Всесторонняя защита

        Некоторые производители обеспечивают защиту от объемных атак, другие специализируются на защите от атак на приложения. «Лаборатория Касперского» эффективно блокирует и устраняет последствия всех типов DDoS-атак, включая:

        • Объемные атаки
        • Атаки на приложения
        • Инфраструктурные атаки на сетевое оборудование и серверные ОС
        • Гибридные атаки

        Таким образом, какой бы метод атаки ни использовали злоумышленники, Kaspersky DDoS Protection обеспечивает надежную защиту вашего бизнеса.

      • Уникальные экспертные знания (Kaspersky DDoS Intelligence)

        Поскольку современные DDoS-атаки стали гораздо более изощренными, для защиты от них необходимо использовать аналитический подход. Ни один другой производитель решений для защиты от DDoS-атак не обладает нашими знаниями в области IT-безопасности, и не имеет выделенной команды специалистов, занимающихся анализом таких атак.

        Будучи одним из ведущих производителей решений для защиты от вредоносного ПО, мы можем обеспечить уникальное сочетание статистического анализа, поведенческого анализа и экспертного анализа DDoS-атак для обеспечения всесторонней защиты вашего бизнеса.

      • Эффективное обнаружение угроз

        Некоторые производители могут обеспечить только общий мониторинг всего интернет-канала, но решение «Лаборатории Касперского» способно выполнять детальный анализ, эффективно выявляя даже небольшие отклонения в вашем трафике и поведении пользователей.

        Мы также используем специальные методы, позволяющие осуществлять фильтрацию трафика в максимальной близости от источника атаки.

      • Комплексный подход к защите

        Все компоненты решения «Лаборатории Касперского» для защиты от DDoS-атак разработаны собственными специалистами компании, поэтому:

        • Мы полностью контролируем цикл разработки
        • Мы можем более оперативно реагировать на изменения в характере DDoS-атак

        Наша команда экстренного реагирования на DDoS-атаки тесно сотрудничает с разработчиками защитных решений «Лаборатории Касперского». Это, в частности, позволяет оперативно вносить изменения в программные модули для обеспечения эффективной защиты от новых видов атак на приложения.

    Похожие публикации: