Сисадмин Саша и его сражение с DDoS: что делать, если вас атаковали

Новый день. Тот самый сисадмин Саша, на плечах которого держится весь бизнес, пришел на работу. А значит, его уже ждет новая задача. 

Утро Саши началось не с чашки кофе, а с DDoS-атаки. Причем не одной, а сразу нескольких. Ведь атаковали не только сайт, но и опубликованные сервисы компании (с внешними IP). У IT-отдела нет сервиса защиты от DDoS-атак, а значит наш герой остался безоружным.

Саша, доброе утро!

Битва первая: Саша и сражение вслепую

Пока у Саши седеют волосы, он пытается понять, что ему делать. «Предупредительных оповещений» он никаких не получил. И узнал о том, что сервис лег, уже после атаки. Сайт не работает, а у Саши связаны руки. Помочь в этой ситуации может лишь хостинг-провайдер. Ведь сервис размещается на веб-хостинге.

Саша пытается разобраться с типом угрозы. В основном хакеры используют флуд-атаки — сайт выходит из строя из-за огромного количества одновременных запросов с разных IP-адресов. Но если вы смотрели сериал «Мистер Робот», то разбираетесь не хуже нас. Побороть такую атаку без «средств защиты» не удастся, но вот уменьшить ее влияние на сервис можно, настроив определенные службы.

Также наш герой может попросить провайдера активировать сервис защиты от DDoS-атаки. Естественно, за отдельную плату.  

В другом случае на Сашу обрушилась мощная DDoS-атака — тут помогут лишь внешние программно-аппаратные средства защиты (к примеру CloudFlare, Arbor). Если их нет — к сожалению, шансов у нашего героя тоже. Сайт лежит, бизнес теряет деньги, а Сашка уже готовится к переезду домой — к маме в Селидово. 

Битва вторая: Саша и рукопашный бой

С атакой на опубликованные сервисы компании все иначе. В офисе пропал интернет, а это означает, что у Сашки разрывается телефон от звонков и сообщений. Бухгалтерия потеряла доступ к 1С, в отделе продаж не работает почта, никто не может попросту зайти в интернет — в общем, проблема глобальная. 

Во-первых, если хакеры атакуют сервисы по IP-адресу, то в силах Саши «переключить» все на резервный канал от другого провайдера. Конечно при условии, что он есть. Это поможет вернуть не только интернет в офис, но и жизнь для всех ее сотрудников. Но если атакуют по DNS-имени — шансы Саши невелики.

Кажется, все пропало

Также в силах Саши проверить threshold настроек сервиса при сбросе и блокировке трафика. Это поможет понять, какую методику DDoS использует злоумышленник. Он может настроить threshold пониже, чтобы вредоносный трафик сбрасывался быстрее. Сработает это не при любой модели атаки и только в случае, если канал от провайдера еще не забился. Да, это не устранит атаку, но снизит нагрузку на сервисы компании. В остальном — остается ждать.

Такая ситуация — худший ночной кошмар сисадмина Сашки. Но все могло бы быть по-другому, если бы в компании был собственный щит — защита от DDoS-атак. Давайте рассмотрим, как наличие такого сервиса в компании изменило бы день нашего героя.

Битва третья: бесспорная победа Саши над армией хакеров

Сашка пришел на работу, заварил кофе и тут ему приходит сообщение от провайдера услуги — ваш ресурс сейчас атакуют. Саша не паникует, ведь у него — сервис защиты от DDoS от провайдера интернета.

Сервис защиты от провайдера облегчит жизнь сисадмина

На стороне провайдера настраивается фильтрация. Такое себе распределение трафика на «хороший» и «плохой». Как правило, настраивается она, исходя из best practice, но может быть заточена и под особенности клиента.

Когда система засекает нестандартный трафик клиента, она начинается обрабатывать его — тут нужно не больше 10 секунд.

Например, сервис обнаруживает подозрительный внешний трафик на сервера компании. Он анализирует сетевые пакеты, относит его к категории зловредного и моментально блокирует. 

В итоге сервисы компании работают, бизнес не простаивает, хакеры кусают локти, а Саша пьет очередную чашку кофе и занимается своими задачами. Победа!

Читайте также: Властелин сетей: как сисадмину решить рабочие проблемы и начать жить