По поводу прошедшего в выходные DDoSa.
На нас провели довольно небольшую по меркам современного интернета атаку UDP флудом, в общем-то ничего необычного, помимо некоторых интересных вещей, с которыми пришлось столкнуться во время попыток отбить DDoS. Поэтому хочу написать об этом ДДоСе и некоторых других, которые случались.
Для начала, многих, наверно, интересовал вопрос "А КТО ДДОСИТ?" Там, выдвигались разные версии, мол, хохлы как в прошлый раз или нашисты во главе с Мизулиной на роскомнадзоровском коне.
ДДоСят, конечно же, мудаки. Потому что самое бессмысленное и затратное занятие, которое можно придумать - это ДДоС имиджборд, так как постоянно держать под атакой сервер - это довольно затратное занятие, даже при собственном ботнете, ресурсы-то тратятся впустую, а выхлоп с этого минимальный. Люди не уходят только потому что что-то упало, сломалось и т.д. и т.п. Люди уходят, только если им предлагают что-то новое, как, например, все из чатов и жежешечек мигрировали в социальные сети, а из асечек в скайпы. Новый, более удобный формат общения, возможности, скорость. Абсолютное большинство не поменяет один сайт на другой, если все отличие между ними заключается в двух-трех строчках текста из блокнота. Почему не уходят массово люди из Вконтакта в Фейсбук? Только потому что не знают о том, что ФБ существует? Нет, просто потому что здесь привычнее, здесь больше френдов, а вся существенная разница между ними лишь в пользовательском интерфейсе. В фейсбуке, конечно, создалась своя хипстерская тусовка, которая там себя вполне комфортно чувствует, но и это хорошо. Вообще, чем больше разнообразия, тем лучше, кто недоволен - идет туда, где ему нравится, кому все нравится - остается.
К чему я это все? Во время DDoSa случались небольшие промежутки, когда атака ослабевала, это видно на втором скрине, так вот во время этих мини-провалов в /b/ моментально проводилась попытка вайпа мелкобордой, а подчистить не удавалось, так как статику Клоудфлара отдавала, а вот модерка уже не работала.
Дальше, один интересный пост был опубликован в /b/ в очередной из таких промежутков в ДДоСе, на первой пикче его видно. Инфа, действительно, оказалась 100-процентной. ДДоС был 2Гбита и из сети мелких турецких телекомов. Но эту информацию никто, кроме меня и, видимо, заказчика, либо его какого-то кореша не мог знать. Короче, если в прошлый раз ддосили хохлы, то теперь организаторы - белорусы, судя по айпи этого поста.
Теперь почему отбив 2Гбитного ДДоСа занял столько времени? По современным меркам 2Гбита - это довольно мало, что-то на уровне если не школьника, то уже первого курса быдлостудента. Стоимость такой атаки может составлять от сотни до пары тысяч вечнозеленых в сутки, зависит от исполнителя, тусовкий, а если свой ботнет - так вообще бесплатно. В первую очередь, как обычно все подпортили макаки из Лизвеба, прикручивая новые айпи к серверу где-то около суток. Во вторую, не сразу понятно было какие айпи сервера оказались спалены, поэтому вначале перебровали все старые, а потом уже заказали новые.
Как вообще происходит отбитие UDP флуда? Собственно, на уровне сервера его никак не отбить, просто забивается канал и ты сосешь плотный болт ДДоСеров. Большинство крупных провайдеров, типа, Лизвеба - никак не фильтруют ДДоС. Просто нульроутят айпи на некоторое время, а потом, если атака прошла, то включают обратно. Fail. Поэтому сейчас получил распространение проксирующий сервис Cloudflare, изначально, вроде как не предназачавшийся для защиты от ДДоСа, но в итоге, благодаря развитой инфраструктуре сети КФ, вполне для этого подходит. Поэтому отбив подобных атак делается просто, вместо реального айпи сервера, в NS записях прописываются проксирующие сервера от КФ. Клоудфлара принимает удар на себя, фильтрует трафик и дальше, на сервер, уже идет чистый. Как бонус - снижается еще и потребление трафика, так как КФ отдает собственный кэш статики. Разница в потреблении трафика видна на пятом скрине.
Поэтому, чтобы добить сервер, атакующие пытаются всеми правдами и неправдами узнать реальный айпи сервера за проксирующим. Это делается несколькими методами. Самый простой - пробить сайт на поддомены, где используется настоящий айпи адрес. Обычно это бывает поддомен для почты "mail." или "ftp." для, соответственно, доступа к фтп. Поэтому обязательно надо проверять, чтобы на всех поддоменах в панельке КФ стояла активная иконка - четвертый скрин.
Но в КФ есть определенная фишка, при использовании которой получается, что создается ТЕНЕВОЙ поддомен, который не указан в панельке, но он существует и резолвит настоящий айпи сервера. Об этой ситуации можно почитать здесь: https://support.cloudflare.com/entries/22031661-Why-do-I-have-a-direct-connect-subdomain- и посмотреть на третий скриншот, там один сайт палит свой реальный айпи за Клоудфларой. Наглядно.
Другой метод, найти дыру(особенность) в сайте, в которой сайт отдает реальный айпи пользователю, например, если на сайте используется собственная почта с почтовым сервером, а не яндексогугловская, либо отправляя запрос и принимая картинку с айпилоггером с известных сервисов, если сайт цепляет картинку с других сайтов.
И последнее, что можно сделать, уже штатным фаерволом, это заблокировать любой доступ от чужих айпи, кроме доверенных подсетей Клоудфлары и нужных айпи адресов. От ДДоСа это не спасет, но обезопасит от попыток брута и перебора паролей и прочих неприятных вещей.