Ddos защита от cloudflare: Инструкция — Защита от DDOS при помощи CloudFlare – CloudFlare — бесплатная защита сайта от DDoS-атак и ускорение его загрузки

7 лучших сервисов защиты от DDoS-атак для повышения безопасности

Нельзя допускать, чтобы DDoS-атаки угрожали вашим деловым операциям потерей репутации и финансовыми убытками. Воспользуйтесь облачными средствами защиты от DoS для предотвращения взлома.



По последним данным Incapsula, DDoS обходится бизнесу в 40000 долларов в час.

Следующие инструменты помогут вам рассчитать потери, вызванные DDoS:


DDoS-атаки непредсказуемы, а в последнее время еще и ужасно опасные. Мощность может быть в пределах от 300 до 500 Gbps.

Взломщики прибегают к разным методикам, чтобы нанести удар по вашему бизнесу, в том числе:

  • фрагментация UDP-пакетов;
  • DNS, NTP, UDP, SYN, SSPD, ACK-флуд;
  • CharGEN-атака;
  • аномалии TCP.

Так что нужно защищаться не только от DDoS-атак на седьмом уровне, а обеспечивать защиту на всех уровнях.

Согласно последнему отчету о безопасности AKAMAI, большинство DDoS-атак производятся из Китая.

Давайте рассмотрим облачные решения для малого и среднего бизнеса, с помощью которых можно подключить защиту от DDoS-атак за считанные

минуты.

Incapsula


Incapsula предлагает комплексную защиту и ограждает от любых видов DDoS-атак на 3, 4 и 7 уровнях, таких как:
  • TCP SYN+ACK, FIN, RESET, ACK, ACK+PSH, фрагментация;
  • UDP;
  • Slowloris;
  • спуфинг;
  • ICMP;
  • IGCP;
  • HTTP-флуд, запуск большого числа одновременных соединений, DNS-флуд;
  • брутфорс;
  • NXDomain;
  • Ping of death;
  • и другие…

Защита может осуществляться в постоянном режиме или включаться вручную для поиска и устранения угроз. Сеть Incapsula состоит из 32 дата-центров с общей пропускной способностью более 3 Tbps.

Доступна пробная версия Incapsula пакетов Business и Enterprise, в которые входит защита от DDoS-атак, а также глобальные CDN, SSL, WAF и не только.

Советую попробовать Incapsula для защиты вашего бизнеса на всех уровнях (

веб-сайт, инфраструктура и DNS).

Если вы стали жертвой атаки и нуждаетесь в экстренной поддержке, можно связаться с группой поддержки Under Attack.

AKAMAI


AKAMAI занимает ведущее положение на рынке в отношении услуг безопасности и CDN. Совсем недавно AKAMAI поставила рекорд, отразив атаку мощностью 620 Gbps.

KONA DDoS Defender от AKAMAI ограждает от DoS/DDoS-атак на периферию сети.

KONA создана на основе интеллектуальной платформы AKAMAI для защиты веб-сайтов, а реагирует на атаки глобальный центр безопасности, работающий круглосуточно.

Это облачное решение предохраняет от всех известных видов атак, в том числе с шифрованием трафика. AKAMAI широко представлен по всему миру: всего у AKAMAI более 1300 площадок в более чем 100 странах.

AKAMAI защищает инфраструктуру всего дата-центра при помощи Prolexic Routed или Prolexic Connect.

Cloudflare


Cloudflare предоставляет базовую защиту от DDoS-атак в пакетах FREE и PRO. Однако для расширенной защиты от DDoS-атак (на уровнях 3, 4 и 7) нужно покупать пакет Business или Enterprise.

Стоимость услуг Cloudflare фиксированная, а это значит, что с какой бы масштабной атакой вы не столкнулись, платить вы будете одинаковую сумму каждый месяц.

Cloudflare доверяют такие известные компании как Nasdaq, DigitalOcean, Cisco, Salesforce, Udacity и др.

Сеть CloudFlare доступна в 102 дата-центрах общей пропускной способностью более 10 Tbps, то есть она справится с любыми видами DDoS-атак, в том числе:

  • на уровнях 3, 4 и 7;
  • DNS amplification;
  • DNS reflection;
  • SMURF;
  • ACK.

Если вы подвергаетесь DDoS-атаке, то можно обратиться в круглосуточную горячую линию Cloudflare.

SUCURI


SUCURI — специализированное облачное решение для защиты самых разных сайтов, в том числе WordPress, Joomla, Drupal, Magento, Microsoft.Net и др.

Защита от DDoS-атак включена в пакет антивируса и файрвола. В случае если вам нужна комплексная защита сайта, то в таком случае вам подойдет Website Antivirus, который оберегает от угроз в сети, в том числе от DDoS-атак, а также включает следующие услуги:

  • выявление и удаление вредоносного кода;
  • контроль безопасности;
  • оптимизация скорости;
  • защита от брутфорса;
  • защита от уязвимости нулевого дня;
  • защита от нежелательных ботов.

SUCURI выявляет и блокирует атаки 3,4 и 7 уровня. Стоимость обслуживания начинается от 19,88 долларов в месяц.

Alibaba


Anti-DDoS Pro от Alibaba поможет в защите от DDoS-атак. Anti-DDoS Pro отражает мощные атаки до 2 Tbps и поддерживает протоколы TCP/UDP/HTTP/HTTPS.

Anti-DDoS можно использовать не только в случае размещения на Alibaba, но и для AWS, Azure, Google Cloud и пр.

MYRA


Myra DDoS protection — полностью автоматизированное решение для веб-сайтов, DNS-серверов, веб-приложений и инфраструктуры. Оно полностью совместимо со всеми видами CMS и системами электронной торговли.

MYRA размещается в Германии, так что данные обрабатываются в соответствии с федеральным законом Германии о защите данных.

AWS Shield Advanced


Инструмент для предупреждения DDoS-атак Shield от AWS доступен на всех приложениях AWS бесплатно.

Тем не менее, если вы хотите обеспечить сеть расширенной защитой, защитить транспортный и прикладной уровень, то можно подписаться на Shield Advanced

.

У Shield Advanced есть целый ряд преимуществ по сравнению со стандартной версией Shield, таких как:

  • выявление – проверка сетевого потока и отслеживание трафика на прикладном уровне;
  • защита от атак – передовая автоматическая защита от крупномасштабных атак, включающая блокировку вредоносного трафика;
  • поддержка – круглосуточная команда поддержки при DDoS-атаках;
  • анализ – проведение анализа после атаки.

Чтобы узнать больше о AWS Shield, прочитайте FAQ.

Описанные выше облачные решения подойдут блоггерам, электронным магазинам, малому и среднему бизнесу. В случае, если вам требуется корпоративная защита или защита дата-центра, то рекомендую обратить внимание на следующие сервисы:


Не поощряйте злоумышленников и не становитесь жертвой атак, когда существуют облачные решения для защиты ваших
сетевых активов
.

Подберите себе хостинг или виртуальный сервер и не попадайте под DDoS-атаки.

Защита сайта от DDoS? — Хабр Q&A

Привет. Могу дать советы как человек, который занимается игровыми проектами уже 4-5 лет. DDoS обычное дело, конкуренты и школьники легко зальют вам хоть 10 гбит канал на раз два, поэтому нужно сразу брать хостинг с интегрированной качественной аппаратной защитой.
Я, как и тысячи других подобных мне, держим сервера в OVH, где как по мне лучшая бесплатная защита с комплексами Arbor и прочими, которые отбивают любые L3-L4 атаки.
Так как OVH решение для сотен тысяч клиентов, защиту допиливать нужно самому, для этого нужен специалист, либо набирать самому опыт, как делал это я.
То есть, OVH/Hetzer/Online.net и прочие большие компании не защищают от Layer 7 атак, а это игровые боты или HTTP боты для сайтов.
Какие базовые вещи можно сделать?
— Если ваша игра работает через TCP, в OVH можно полностью закрыть UDP из Internet, при этом другие OVH сервера достанут вас по UDP. Многие атаки школьников идут через UDP.
— На любом хостинге ставим защиту от SynFlood и в целом оптимизируем систему, отключая conntrack и подрубаем Iptables SynProxy или SynCookied. Также на этом этапе можно распределить прерывания по ядрам, используем netutils. Остальные оптимизации более тонкие.
— В качестве веб-морды ставим Nginx, при этом читаем гайды по оптимизации, в целом, если это onepage для покупки услуг, то этого почти что хватит на мощной машине. В иных случаях нужно уже немало знаний, я например сделал защиту через связку nginx+lua.
Как раз на этом этапе разве что при возникновении проблем можно посмотреть на компании типа ddosguard/stormwall, которые в основном реализуют банальную защиту через проверку на JS. Но.. мы это может сделать сами, собрав nginx с модулем testcookie, что делается за 5 минут, либо попросите это сделать вашего системного администратора.

А все эти CloudFlare, это самоуспокоение до реальных атак. Также как я не доверяю нашим компаниям в отличии от европейских, которые бесплатно отражают атаки любого калибра, тогда как наши вполне могут загнуться от пару сотен гигабит, либо же почти всегда заставят платить баснословные деньги за 100 мбит/с полосу, что для игрового проекта исключая начинающие мало. Также, многие наши защитники реселлят OVH/Voxility и прочих крупных иностранцев.

Бесплатная защита от DDoS-атак и ускорение сайта в CloudFlare

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Кто не слышал про CloudFlare? Я слышал и даже подробно изучал возможности сервиса лет этак пять назад, наверное (когда задумывался об ускорении сайта). Вот только сейчас уже не скажу, что именно тогда меня остановило от того, чтобы этот сервис попробовать (не помню). Но это и не важно.

Важно же то, что в первый рабочий день после новогодних праздников мне таки пришлось подключить KtoNaNovenkogo.ru к CloudFlare и притом в авральном режиме (с выдиранием волос, литрами выпитого кофе и биением головой об стол). Сделать это пришлось из-за полной блокировки доступа к сайту (скорее всего путем Ддос атаки — по FTP доступ был возможен).

Из меня администратор сервера аховый и по большому счету я мало что понимаю в тонкостях и разновидностях DDos атак (ни как их организуют, ни как от них грамотно отбиваться — кроме простейшего блокирование по IP). Когда с этим не сталкиваешься, то оно тебе и не надо.

Но по всему выходит, что в первый рабочий день после новогодних праздников меня ддосили, и ничего ни я, ни техподдержка хостинга с этим поделать не смогли. Нанимать фрилансера для решения проблемы было стремно. Хорошо хоть по телефону ребята с Инфобокса мне подкинули идею подключить CloudFlare (как один из вариантов решения проблемы) и я за эту идею ухватился как за соломинку.

На успех особо не рассчитывал (за несколько часов, нужных для сброса старых и прописывания новых NC адресов успел много чего узнать по теме и даже составил уже примерный план действий). Но к моему удивлению буржуйский чудо-сервис помог! Притом даже на бесплатном тарифе. Замечательно сработал режим защиты от DDos атаки. Честно — не ожидал. Был приятно удивлен. Да еще и сайт стал летать как на крыльях (хотя и раньше черепахой не был).

В общем — так не бывает, но все же случается…

Читать дальше…


Copyright © 2017, KtoNaNovenkogo.ru — блог для начинающих вебмастеров. Все права защищены. | Постоянная ссылка | Комментарии: нет

Вы также можете ознакомиться с другими материалами рубрики Онлайн сервисы, Скорость загрузки сайта, Хостинг и домены.

Источник: http://feedproxy.google.com/~r/Ktonanovenkogoru/~3/hgJ1tvXTajk/besplatnaya-zashhita-ot-ddos-atak-cloudflare.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

На Cloudflare идет крупнейшая DDoS-атака с NTP-отражением на 400 Гбит/с — «Хакер»

Одна из ведущих компаний по защите от DDoS-атак Cloudflare уже несколько дней сражается с DDoS’ом рекордной силы. В понедельник поток UDP-флуда достиг 400 Гбит/с. Это абсолютный рекорд в истории DDoS-атак и примерно на 33% больше, чем атака прошлого года на Spamhaus в 300 Гбит/с, которая даже вызвала появление заторов в отдельных сегментах интернета. Впрочем, российские специалисты тогда говорили, что для них подобные атаки не в новинку, мол, в Рунете временами происходит еще более брутальный террор.

Как и в 2013 году, сейчас для DDoS используются новейшие методы. В прошлом году модными были атаки с умножением запросов через открытые DNS-резолверы. К этим неправильно сконфигурируемым серверам отправляются маленькие запросы с обратным IP-адресом жертвы. Серверы отвечают на указанный адрес UDP-пакетами в десятки раз большего размера, чем запрос. Например, на запрос ANY в 64 байта следует ответ в 3,2 килобайта.

В такой атаке важно иметь как можно больше подконтрольных серверов (генераторов первой ступени), с которых отправляются запросы на DNS-резолверы. Российский специалист Александр Лямин из компании Highload Lab в интервью журналу «Хакер» в прошлом году сказал, что вместо DNS-резолверов генераторами второй ступени «могут выступать и другие UDP-сервисы, например, NTP». Его слова оказались пророческими.

В эти дни Cloudflare отражает рекордную атаку, пытаясь фильтровать трафик от тысяч NTP-серверов. Судя по статистике Symantec, всплеск DDoS-атак через Network Time Protocol произошел в декабре 2013 года. Атака через серверы NTP идет так же, как через DNS-резолверы, но с использованием команды monlist. Она высылает в ответ список 600 хостов, которые последними подключались к серверу. Таким образом, на запрос в 234 байта сервер высылает жертве UDP-пакеты общим объемом до 48 килобайт. Умножение трафика в 204 раза!

Для закрытия уязвимости с monlist владельцам NTP-серверов следует обновиться до версии 4.2.7.

12 сервисов для защиты от DDoS-атак / Habr

По статистике, около 33% компаний попадают под DDoS-атаки. Предсказать атаку невозможно, а некоторые из них могут быть действительно мощными и достигать 300-500 Гб/с. Для того чтобы обезопасить себя от DDoS-атак можно воспользоваться услугами специализированных сервисов. Не все владельцы сайтов знают, куда бежать, если попал под атаку — так что я решил собрать несколько вариантов в одном топике.

Примечание: при подготовке к посту использовались англоязычные материалы и публикации на Хабре

Cloudflare


Один из самых известных защитных сервисов. При использовании тарифов FREE и PRO можно рассчитывать на базовую защиту от DDoS-атак. Для более надёжной защиты от атак уровней 3, 4 и 7 нужно подключить бизнес или корпоративный аккаунт.

В Cloudflare фиксированная оплата, то есть независимо от того сколько и каких уровней будут атаки, клиент платит одну и ту же сумму. Среди клиентов этого сервиса такие крупные компании, как Nasdaq, DigitalOcean, Cisco, Salesforce и Udacity.

Сеть Cloudflare представлена в 102 датацентрах с пропускной способностью более 10 Тбит/с и способна устранять любые атаки, а также отражать DNS и Smurf-атаки. У сервиса также есть круглосуточная служба экстренной помощи, куда можно обратиться во время атаки.

Incapsula


Этот сервис предлагает комплексную защиту от атак различных типов. Сервис может работать постоянно или по запросу и обнаруживать любые атаки. Сеть Incapsula состоит из 32 дата-центров с пропускной способностью в 3 Тбит/с. У Incapsula есть пробная версия для бизнеса c SSL протоколом, CDN и WAF, которая защитит от DDoS-атак.

На случай, если атака уже совершена и счёт идёт на минуты, можно воспользоваться сервисом экстренной помощи Under Attaсk.

Akamai


Этот сервис один из лидеров в сфере обеспечения безопасности и CDN. По заявоениям руководства Akamai, сервис может справиться с атакой в 1,3 терабита в секунду.

Этот сервис построен на интеллектуальной платформе Akamai и оказывает поддержку круглосуточно. Защитить сайты можно от всех известных атак, включая зашифрованный трафик. У Akamai 1300 сетевых адресов более чем в 100 странах.

Qrator


Один из наиболее известных российских ресурсов по борьбе с DDoS, ведет блог на Хабре. Особенностью работы системы является «прозрачность» для легитимных пользователей — их она выявляется с помощью алгоритмов умной фильтрации, не заставляя вводить капчу или другим образом подтверждать свою «легитимность».

Кроме того, даже при необходимости отражения атаки на уровне приложений (7 уровень модели OSI) не требуется тонкой настройки продукта — при обнаружении атаки система перейдет в нужный режим автоматически.

Для подключения защиты Qrator нужно изменить A-запись сайта. К недостаткам можно отнести достаточно высокую стоимость использования продукта, но компания предоставляет SLA (если уровень услуги не обеспечен, платить не обязательно) и бесплатный тестовый период в семь суток.

AWS Shield Advanced


Сервис Shield предназначен для защиты приложений, работающих на платформе AWS. Он бесплатный, однако, для продвинутой защиты стоит перейти на тариф Shield Advanced. В продвинутую версию добавлена проверка сетевого потока и мониторинг трафика прикладного уровня, защита от большего количества атак, блокировка нежелательного трафика, анализ после атаки и круглосуточное время работы.

Все эти службы защиты от DDoS-атак предназначены для блоггеров, электронной коммерции, малого и среднего бизнеса. Для бизнеса более крупных масштабов существуют другие сервисы, с более высоким уровнем защиты и большим функционалом. Вот некоторые из них: Сети ARBOR, Neustar, Rackspace, Akamai, F5 Silverline и Radware.

King Servers Anti DDoS


Еще один российский проект со своим блогом на Хабре. Поскольку King Servers — это хостинг-провайдер, то и защитный инструмент компании «заточен» под нужды пользователей хостинга. Защита предоставляется в двух вариантах — при аренде оборудования в определенном дата-центре оно сразу попадает в зону фильтрации (защищенный хостинг). Если площадка в этой зоне по каким-то причинам не подходит, остается вариант удаленной защиты, при которой размещать оборудование в дата-центре компании не нужно.

Компания дает гарантию безопасности от SYN Flood, UDP/ICMP Flood, HTTP/HTTPS-атак, фильтрацию грязного трафика до 1 ТБит/с — чистый трафик выделяется и направляется на сайт пользователя. Пользователям не нужно самим заниматься настройками, эту задачу берет на себя круглосуточная служба поддержки, которая отрабатывает и заявки на кастомизацию сервиса.

BeeThink Anti-DDoS Guardian


Этот инструмент защищает серверы Windows от большинства DoS и DDoS-атак: SYN, IP flood, TCP flood, UDP flood, ICMP flood, HTTP-DDoS, атак 7 уровня и многих других.

Сервис BeeThink совместим с Windows 10, Windows 8, Windows 7, Windows 2016, Windows 2012, Windows 2008, Windows 2003, Windows 2000, Windows XP и Vista.

Помимо защиты от DDoS-атак сервис в режиме реального времени проводит мониторинг сетевых операций, поддерживает разные форматы IP-адресов, поддерживает black и white листы, ищет удалённые IP-адреса и информацию о их владельцах. Базовый тариф стоит $99,95.

Sucuri


Этот сервис предоставляет защиту для любых сайтов: WordPress, Joomla, Drupal, Magento, Microsoft.Net и других.

Sucuri предоставляет антивирус и межсетевой экран для сайтов, в которые включена защита от DDoS. Также сервис обнаруживает и удаляет вредоносные программы, повышает производительность сайтов, защищает от брутфорс-атак и защищает от ботов. Минимальная стоимость месячного тарифа — $19,88.

Cloudbric


Этот инструмент работает с сайтами на всех платформах. Он очень удобен в использовании, имеет интуитивно понятный интерфейс, а его настройки занимают три минуты — нужно просто изменить настройки DNS. Информация об уровне защиты отображается на рабочей панели, что позволяет быстро выявить и устранить угрозу.

Разработчики гарантируют защиту от всех кибератак. Среди клиентов сервиса такие крупные компании, как Samsung, ING и eBay.

Стоимость использования зависит от объёма трафика, так за 10 Гб придётся заплатить $29, а за 100 Гб $149. Если объём трафика не превышает 4 Гб, сервисом можно пользоваться бесплатно.

Alibaba Anti-DDoS


Сервис китайского гиганта интернет-коммерции поможет справиться с атаками до 2 Тбит/с и поддерживает все протоколы: TCP, UDP, HTTP, HTTPS.

Сервис можно использовать не только для защиты сайтов, расположенных на хостинге Alibaba, но и размещённых на AWS, Azure, Google Cloud и других.

Также Anti-DDos Pro работает круглосуточно и в случае проблем, можно обратиться в службу поддержки к экспертам по безопасности.

StormWall Pro


Этот инструмент защищает от любых уровней DDoS-атак и поддерживает сайты на платформах Drupal, Joomla, WordPress, Bitrix, Magento, PrestaShop и других CMS.

Датацентры StormWall расположены в США, России и Европе и работают с минимальной задержкой. Настройка системы займёт всего несколько минут, а в случае трудностей, это могут сделать менеджеры компании. Любая техническая проблема, которая может возникнуть в течение работы, будет решена в короткие сроки — ответа техподдержки придётся ждать не дольше 15 минут.

Стоимость использования сервиса зависит от количества посетителей сайта. Так, за $69 можно обеспечить защиту сайта с 5000 посетителей в месяц, а за $300 купить безлимит.

Myra


Сервис Myra DDoS полностью автоматизирован и предназначен для защиты сайта, DNS-серверов и веб-приложений. Система подходит для всех типов CMS и интернет-магазинов.

Штаб-квартира Myra расположена в Германии, поэтому все данные обрабатываются согласно законом о конфиденциальности этой страны.



Предлагаю собрать в комментариях более полный список полезных инструментов по защите от DDoS. Какие сервисы знаете вы?

Про дешевые датацентры, РКН и защиту от DDoS / Southbridge corporate blog / Habr

Иногда проект живет в недорогом зарубежном датацентре, попадает под ковровые блокировки Роскомнадзора, периодически оказывается под DDoS атаками, но при этом имеет терабайты данных и трафика.

Как с этим жить?


Преамбула

У нас на поддержке есть небольшой фотобанк. Не будем называть имя и страну, только некоторые технические данные:
50 Тб данных для хранения, ежемесячно обновляется порядка 100 Гб, «горячие данные» (к ним идет 95% запросов) — 200 Гб.
Средний трафик — 50 Тб/мес.

Для размещения фотографий несколько лет назад выбрали несколько серверов SX серии от Hetzner с большими дисками (для хранения ПД пришлось придумывать более сложное решение, но об этом в другой раз).

В Southbridge сомневались, что Hetzner подходит для такого проекта, но требуемый уровень доступности и качества связности достигался.

Плюс для такого проекта использование CDN окажется на порядок дороже, чем раздача статики с серверов в недорогом датацентре.


Фабула

Тут в нашей истории появляется Роскомнадзор, да не будет упомянуто его имя всуе. Весной 18 года начались ковровые блокировки, и к маю они накрыли многих наших клиентов.

Некоторые клиенты решили проблему с доступом к Hetzner, Amazon, MS Azure, GCE, Digitalocean кардинально: перенесли в Россию серверы целиком (привет, Selectel!), но для нашего героя, небольшого фотобанка, постоянно возить туда-сюда 50 Тб данных — слишком накладно, а оставлять серверы проекта в России после окончания блокировок мы не собирались.

Для больших и неадекватных проблем нужны небольшие и адекватные решения.


Решение проблемы

Например, использовать другие (незаблокированные) серверы или сервисы для фронтенд. Смена диапазона ip-адресов помогала не на 100%, т.к. РКН каждый день блокировал новые и новые IP-подсети, поэтому мы решили подключить проксирование через Сloudflare.com. Вдруг кто не знает, они не только защищают от DDoS атак (не так хорошо, как лучшие игроки этого рынка), но и дают CDN сервис (и делают это хорошо).

Это отличное решение проблемы, если используемые вами адреса Cloudflare не заблокированы )

Ок, включили — и начали мониторить стабильность работы и отдачу трафика. После подключения CF мы увидели вот такую картину на графике подсчета трафика с одного из серверов (картинка из статистики Hetzner):

Входящий трафик изменился в пределах погрешности (что подтверждает и график загрузки новых фотографий, для чего сделана отдельная метрика мониторинга), исходящий на этом сервере на момент подключения CF упал в 3+ раза. Общий реальный трафик упал не в 3 раза, просто CF стал по-другому распределять трафик между серверами.

Для примера, график по этому же серверу из нашей системы мониторинга (за 3 месяца, чтобы он был не слишком мелким):

И по одному из других:

Но общий трафик все же упал на 20%, т.е. CF сэкономил проекту часть трафика.

Средний latency увеличился, но эти графики мы не покажем.

Причина: у Cloudflare мало точек раздачи трафика в России. В Европе и Северной Америке он действует уже намного эффективнее.

И параллельно с трафиком мы мониторим активность использования сервиса. В сервис загружаются новые фотографии, и мы мониторим их число (и входящий трафик).

График за 3 месяца (апрель-июнь) с одного из серверов, обрабатывающих запросы по загрузке фото:

А вот еще один сервер:

Cloudflare начал распределять трафик по бэкендам несколько по-другому. Но контент при этом продолжал загружаться, сервис работал, катастрофического падения качества не произошло (по отзывам пользователей сервиса, разница в принципе не была заметна).

Риск получить в Сloudflare заблокированный адрес тоже есть, но его можно снизить, взяв платный тариф.
После завершения «ковровых блокировок имени РКН» мы отключили Cloudflare.


Каков итог?


  • За 5–20$/мес (в нашем случае было как раз 5$/мес) можно решить подобную проблему и не тратить тысячи долларов на аренду более дорогих серверов и перенос данных.
  • Даже для проектов с терабайтами трафика подходят бесплатные или почти бесплатные решения. Проверено на практике.

Как альтернатива:


  • DDoS-GUARD предлагает бесплатный тариф с проксированием трафика и защитой от DDoS-атак.
  • У нескольких провайдеров услуги по защите от DDoS была услуга бесплатной помощи при таких блокировках. (Кстати, мы тоже не брали дополнительные деньги за решение проблемы с блокировками).
  • Вы можете взять один из известных CDN сервисов: keycdn.com, cdn77.com, Akamai CDN, CDNVideo, Ngenix.net и др. Проблему защиты от блокировок для своих клиентов они решают сами. Но это а) дороже б) не решает проблемы отдачи не статического контента.
  • Можно подключить другой сервис проксирования и защиты от DDoS атак (мы много работали с Qrator и SkyparkCDN / G-Core Labs, например), но им нужно будет платить за каждый мегабит полезного трафика, и это будет действительно дорого.
  • «Свой незаблокированный frontend» можно развернуть у любого из провайдеров мира, при этом нужно выбрать незаблокированный диапазон адресов, и обеспечить хорошую связность между вашими серверами и серверами «фронтенда». Если вам всерьез понадобится этим заниматься — предварительно можно проверить адрес автоматически по списку или вручную здесь.

Лично я для подобных «фронтендов» рекомендую packet.net и servers.com — отличная связность и возможность взять сервер с почасовой оплатой.

p.s. Если что — я один из докладчиков «РедСлёрм». Приезжайте, будет интересно:
https://slurm.io/redslurm/

Как защититься от Ddos наименее затратным способом? — Хабр Q&A

В результате сайт полег от атаки через пару часов.
Вы уверены, что это именно целенаправленная атака? Исходя из каких данных вы делаете такой вывод? В моем опыте были пациенты, у которых сервер генерировал главную страничку при помощи SQL-запроса с множеством операторов join, с полным отсутствием кэширования, со специфической конфигурацией (nginx на windows). Сайт переставал работать при 30 одновременных клиентах. Естественно, внешние мероприятия по фильтрации трафика могли гарантировать работоспособность сервера только при условии его доступности узкому кругу веб-клиентов. Как правило, объяснить это таким людям было затруднительно.
Я вчера подключила couldflare, не знаю поможет ли это при уже идущей атаке
Может помочь. Но, насколько мне известно, можно узнать ip-адрес, на который cloudflare переадресовывает трафик, и соответственно направить атаку. Соответственно, нужны дополнительные меры защиты на вашем хостинге (запретить входящий трафик, кроме перенаправляемого с cloudflare)
Атака http — флуд. Есть ли какие-то еще способы защиты?
Я как сетевик выскажу свое мнение (стоит учитывать проф. деформацию личности). Я полагаю, что говорить о дополнительных мерах защиты (аппаратные решения и прочая) имеет смысл только если входящий трафик на сервер составляет значительную долю (50-60%) пропускной способности интерфейса. Я полагаю, что сервер, в идеале, должен выдерживать line-rate объем трафика, то есть объем трафика, полностью утилизирующего пропускную способность сетевого интерфейса. И только исчерпав возможности оптимизации сервера, имеет смысл обращаться к внешним решениям. Незрелая оптимизация в данном случае, я полагаю, вредна. Однако, учитывая наличие сервисов вроде cloudflare, использовать их в ряде случаев (вроде вашего) полезно.
Слышала о каких-то фаерволах, плагинах для wordpress (сайт на нем стоит
Если много запросов из нецелевых стран, что бывает при покупке вероятным злоумышленником дешевого ботнета, то можете попробовать фильтровать клиентов по странам, используя базы geoIP. Но будьте готовы к ошибкам определения. Также стоит задуматься о настройках кэширования.
Дорогой хостинг пока нет возможности купить…
У вас используется shared-хостинг? Если да, то задумайтесь о покупке VPS, настроив кэширование при помощи cloudflare. Это даст вам гибкость настроек. Хотя в редких случаях shared-хостинг может быть более устойчив к некоторым атакам, нежели дешевый VPS.

Вкратце — вы сделали что могли (подключили сервис cloudflare). Для дальнейшей настройки необходимо понимать многие нюансы работы вашего сайта. DDoS-атаки в вашем случае может и не наличествовать. Вам стоит задуматься об организации грамотной поддержки вашего сайта (нанять системного администратора или самостоятельно углубиться в этом направлении).

Author: admin

Отправить ответ

avatar
  Подписаться  
Уведомление о