Как защититься от DDoS в пик продаж

Теневые методы борьбы с хорошей командой поддержки не страшны, но бывает разное.

Что случилось

8 марта, в самый пик продаж, крупный российский интернет-магазин цветов выпал из онлайна. Сработал алерт на перегрузку сервера. Клиент ожидал четырехкратного роста посещаемости, поэтому ко дню икс сервер получил дополнительные ядра и память. Однако сама атака оказалась неожиданностью и поглотила все ресурсы.

Принятые меры

Диагностика подтвердила DDoS-атаку. Алерт сработал на стопроцентной нагрузке сервера, Nginx исчерпал ресурсы по отработке запросов реальных клиентов, которые теперь не могли открывать ключевые страницы сайта.

В качестве первичной попытки блокирования атаки выступила блокировка локейшенов, однако DDoS отреагировал распространением на весь домен. Вторым этапом стала облачная SaaS-защита хостинг-провайдера, которая не принесла результатов.

Полезной оказалась третья мера — пропуск трафика с чисткой по сигнатурам через аппаратный Web Application Firewall (WAF). Настраивать сигнатуры пришлось вручную. В блэклист неизбежно попали клиенты, которые пытались заказать товары во время атаки. Специалисты были вынуждены исключать их IP-адреса из блокировки.

Мы:

• перенастроили DNS на IP WAF, перенесли сертификаты;
• с помощью поставщика WAF настроили сигнатуры для предотвращения DDoS;
• заблокировали трафик на реальный сервер, кроме идущего через WAF.

При DDoS-атаке ее распределенный характер не позволяет переходить от обороны к нападению. Однако мероприятие, как правило, ограничено по времени выделяемыми на него ресурсами, поэтому нашей задачей является организация очистки трафика от вредоносных запросов до прекращения атаки.

Итог 

Сайт начал принимать заказы задолго до окончания DDoS, а она закончилась через сутки. Если бы поддержка не приняла меры, ресурс был вы полностью выключен в день наибольших продаж в году.

Что делать при DDoS

• Вам приходит уведомление о повышенной нагрузке на сервер (алерты). Например, некоторые хостинг-провайдеры предлагают присылать алерты прямо в мессенджеры, это удобно
• Если сработал алерт, необходимо выяснить причину нагрузки. Для этого нужно изучить процессы и прочесть логи на предмет необычной активности
• Если загрузка процессора близка к максимуму, и скачок нагрузки необычен, это с большой вероятностью DDoS. Обычные пользователи редко вызывают перегрузку. Еще один признак DDoS — падение нагрузки при отключении веб-сервера или закрытии портов HTTP и HTTPS на фаерволе. Стоит выяснить, не произошло ли вместо DDoS событие, которое могло привести на ресурс очень много пользователей сразу. Например, могла выйти некая новость или даже сработать ваша реклама
• Для перенаправления атаки нужно создать (арендовать) публичный IP и передать его в WAF-сервис для настройки приватной подсети для маршрутизации входящего трафика через WAF на сайт
• Ждать окончания DDoS
• Оставить WAF на постоянной основе или отключить до следующей угрозы, хотя последнее — сомнительный метод с точки зрения безопасности

Эта атака с большой вероятностью была оплачена конкурентами магазина и спровоцировала упущенную прибыль и дополнительные затраты. Теперь владелец предупрежден: в пиковые дни логично ожидать DDoS, поэтому стоит активировать WAF заранее.

Подход с отключением файервола можно применять в бизнесе с ярко выраженной сезонностью с целью экономии. Если же у компании постоянно высокая нагрузка, частые акции, злые конкуренты или другие причины думать, что парой дней в году все не закончится, Web Application Firewall должен занять постоянную строку в бюджете вместе с профессиональной поддержкой.