История о том, как наша биржа попала под DDOS атаку

Всем привет! На прошлой неделе произошло необычное и довольно неприятное событие — нас пытались шантажировать, угрожать и пугать. А всё из-за того, что мы стали на защиту клиента нашей биржи.

Предыстория

В прошлую среду, 28 октября, нашему менеджеру пишет некий Author One. Просит не много ни мало — удалить из birzzha.me пост с продажей одного из каналов. Мотивирует это тем, что продавец отказался проводить сделку без гаранта.

Естественно мы не стали ничего удалять, ничего себе заявочки! Клиента пытаются склонить к сомнительной сделке, да и еще нас пытаются в это вмешать. Мы решили никак вообще не реагировать на угрозы.

Простыми словами рассказываем чем нам угрожали

Как вы могли заметить, в сообщении выше есть такие слова "... полетит ДДОС на ваш сайт и репорты на канал!"

Что такое ДДОС. Если совсем простыми словами, то это способ вывести ваш сайт или сервер из строя. Он просто перестаёт работать, не отвечает на запросы и не загружается. Делается это с помощью так называемого ботнета — сети из сотен, тысяч, и даже миллионов устройств, которые одновременно начинают отправлять запросы на ваш ресурс. Ваш сайт не справляется с такой нагрузкой и "падает".

Что такое репорты на канал. Репорты — это не что иное как жалобы на канал (за спам, насилие, порно и т.д.). Жалобы отправляются массово в техподдержку и в результате канал могут заблокировать, удалить, пометить отметкой scam.

В первом случае можно потерять сайт, во втором канал. Если не знать как работают оба метода, можно неплохо так наложить в штаны.

Как защититься от подобных угроз?

Защититься от DDOS атаки поможет такой сервис как cloudflare.com в связке с программистом, который всё настроит и распределит сервера.

Защититься от второй угрозы не поможет никто, но как вариант заранее написать в техподдержку Telegram и предупредить их о том, что на вас готовится атака.

Как проходила атака

Ну что, погнали смотреть на возможности этого персонажа?

Начал он с того, что завалил биржу долгоживущими запросами:

Спустя полчаса количество полученных запросов перевалило за 100 000.

Автоматически включилась защита от ddos

Вы скорее всего видели подобные окошки на разных сайтах. На деле запросов было гораздо больше:

А потом еще больше:

И еще:

Каждый час наш сайт отбивал от 2,5 до 3 млн запросов. И теперь финальная картина:

63 миллиона запросов за несколько дней. Впечатляюще...

Но бесполезно.

Подобная DDOS атака ориентировочно стоит $300-700. Мы же потратили на защиту от такой атаки всего 3 доллара. Математика не в пользу атакующего.

Как мы защищались от атаки

Задолго до запуска биржи, у команды, которая разрабатывала сайт, был в техническом задании пункт — подготовиться к защите от любой атаки.

Мы знали, что в этом бизнесе всегда были, и всегда будут подобные случаи.

Поэтому ребята из Bots House уже на старте заложили в биржу защиту. Они же и помогали отбиваться от атаки. Что конкретно было сделано:

  1. Увеличили уровень защиты на CloudFlare
  2. Отфильтровали самые агрессивные IP, сделали whitelist стран на основе данных Yandex Metrika
  3. Добавили резервных серверов

Этого было достаточно, чтоб вы даже не заметили, что у биржи несколько дней были какие-то "проблемы".

Выводы

Выводов из этой истории мы можем сделать несколько.

Мы не повелись на угрозы и правильно сделали. Несмотря на проблемы и лишние телодвижения за последнюю неделю, мы только убедились в правильности своих принципов. Гарант должен защищать своих клиентов от мошенников, чего бы ему это ни стоило.

  • Клиент в итоге продал свой канал через биржу, наш гарант позаботился о том, чтоб сделка прошла безопасно.
  • Ребята из Bots House обнаружили некоторые проблемы в защите и устранили их.
  • Мы в целом увидели как работает защита от DDOS и смогли наконец-то её протестировать в боевых условиях.

А вы что думаете об этой истории? Пишите свои мнения в наш чат.