История о том, как наша биржа попала под DDOS атаку
Всем привет! На прошлой неделе произошло необычное и довольно неприятное событие — нас пытались шантажировать, угрожать и пугать. А всё из-за того, что мы стали на защиту клиента нашей биржи.
Предыстория
В прошлую среду, 28 октября, нашему менеджеру пишет некий Author One. Просит не много ни мало — удалить из birzzha.me пост с продажей одного из каналов. Мотивирует это тем, что продавец отказался проводить сделку без гаранта.
Естественно мы не стали ничего удалять, ничего себе заявочки! Клиента пытаются склонить к сомнительной сделке, да и еще нас пытаются в это вмешать. Мы решили никак вообще не реагировать на угрозы.
Простыми словами рассказываем чем нам угрожали
Как вы могли заметить, в сообщении выше есть такие слова "... полетит ДДОС на ваш сайт и репорты на канал!"
Что такое ДДОС. Если совсем простыми словами, то это способ вывести ваш сайт или сервер из строя. Он просто перестаёт работать, не отвечает на запросы и не загружается. Делается это с помощью так называемого ботнета — сети из сотен, тысяч, и даже миллионов устройств, которые одновременно начинают отправлять запросы на ваш ресурс. Ваш сайт не справляется с такой нагрузкой и "падает".
Что такое репорты на канал. Репорты — это не что иное как жалобы на канал (за спам, насилие, порно и т.д.). Жалобы отправляются массово в техподдержку и в результате канал могут заблокировать, удалить, пометить отметкой scam.
В первом случае можно потерять сайт, во втором канал. Если не знать как работают оба метода, можно неплохо так наложить в штаны.
Как защититься от подобных угроз?
Защититься от DDOS атаки поможет такой сервис как cloudflare.com в связке с программистом, который всё настроит и распределит сервера.
Защититься от второй угрозы не поможет никто, но как вариант заранее написать в техподдержку Telegram и предупредить их о том, что на вас готовится атака.
Как проходила атака
Ну что, погнали смотреть на возможности этого персонажа?
Начал он с того, что завалил биржу долгоживущими запросами:
Спустя полчаса количество полученных запросов перевалило за 100 000.
Автоматически включилась защита от ddos
Вы скорее всего видели подобные окошки на разных сайтах. На деле запросов было гораздо больше:
А потом еще больше:
И еще:
Каждый час наш сайт отбивал от 2,5 до 3 млн запросов. И теперь финальная картина:
63 миллиона запросов за несколько дней. Впечатляюще...
Но бесполезно.
Подобная DDOS атака ориентировочно стоит $300-700. Мы же потратили на защиту от такой атаки всего 3 доллара. Математика не в пользу атакующего.
Как мы защищались от атаки
Задолго до запуска биржи, у команды, которая разрабатывала сайт, был в техническом задании пункт — подготовиться к защите от любой атаки.
Мы знали, что в этом бизнесе всегда были, и всегда будут подобные случаи.
Поэтому ребята из Bots House уже на старте заложили в биржу защиту. Они же и помогали отбиваться от атаки. Что конкретно было сделано:
- Увеличили уровень защиты на CloudFlare
- Отфильтровали самые агрессивные IP, сделали whitelist стран на основе данных Yandex Metrika
- Добавили резервных серверов
Этого было достаточно, чтоб вы даже не заметили, что у биржи несколько дней были какие-то "проблемы".
Выводы
Выводов из этой истории мы можем сделать несколько.
Мы не повелись на угрозы и правильно сделали. Несмотря на проблемы и лишние телодвижения за последнюю неделю, мы только убедились в правильности своих принципов. Гарант должен защищать своих клиентов от мошенников, чего бы ему это ни стоило.
- Клиент в итоге продал свой канал через биржу, наш гарант позаботился о том, чтоб сделка прошла безопасно.
- Ребята из Bots House обнаружили некоторые проблемы в защите и устранили их.
- Мы в целом увидели как работает защита от DDOS и смогли наконец-то её протестировать в боевых условиях.
А вы что думаете об этой истории? Пишите свои мнения в наш чат.