В последнее время жители России, в том числе и читатели нашего портала, заметили, что многие новостные издания работают с перебоями.
Сегодня на наш сайт, наконец, закончилась длившаяся почти неделю ddos-атака. В статье наш администратор расскажет, как боролся с ней и как в итоге добился блокировки злоумышленников.
Привет! На связи Илья Ворчук, администратор сайта Weekend.
Думаю, многим людям, что читают новости на нашем портале, может быть не известно, что такое DDoS атака - и как их победить, если вы столкнулись с ней впервые. Ну если вы не айтишник, конечно. Расскажу просто и понятно: смысл атаки в том, чтобы закидать сервер (сайт) ненужными запросами, чтобы он просто физически не успевал отвечать на все запросы и в итоге стал недоступен. Обычно это делается с множества зараженных устройств, которые в один момент вместе начинают делать запросы, при этом их хозяева об этом даже и не знают.
Зачем это делают? Так можно "уронить" сайт конкурента и получить преимущество. Ведь пользователи не будут ждать, пока сайт оживет, они уйдут к конкуренту. А того, кто заказал атаку, потом не найдешь. Атакуют "цель" устройства, которые заражены, а не сам заказчик.
А еще это могут делать, чтобы предотвратить распространение или нераспространение информации. Именно по этому многие СМИ в России в "новой реальности" после 24.02 попали под разного уровня атаки. Под особым ударом - те, кто вообще ничего не пишет про конфликт России и Украины, либо те, кто высказывается "за" проведения спецоперации.
Weekend относится к первым - мы не пишем о ситуации, надеясь, что она разрешится в короткие сроки и без больших человеческих жертв. Но злоумышленников наше мнение не слишком интересует. На прошлой неделе в один момент мы заметили, что сайт сильно тормозит и даже иногда недоступен. Стали разбираться. Оказалось, что на сайт приходит больше 2 миллионов запросов в день на адреса типа https://wik-end.com/?CszXcMgwhNGzq3YfY. Символы после знака "?" всегда разные. Так же обнаружили сбои в работе наших коллег из других изданий например, "Тверская Жизнь", "Тверские Ведомости".
Это блокируется достаточно просто - мы оперативно закрыли доступ к нашему сайту с подобных адресов и заблокировали пример вышеуказанного выше адреса. Но стало интересно узнать, как эта атака работает.
Подобные запросы значат, что атакующие решили не просто открывать сайт, а еще и открывать его с уникальным адресом, чтобы наша кэш-система (а это специальная система, которая позволяет не выполнять код на сервере каждый раз, а, если ничего не меняется, просто отдавать сразу готовую страницу), постоянно пропускала запрос и сервер был сильнее нагружен ненужными вычислениями.
Стали изучать данные по нагрузке и обнаружили, что трафик (запросы) идет со многих сайтов. Внутри сети интернет есть такая клевая штука как HTTP referer (такой специальный заголовок в запросе на сайт, который рассказывает ему с какого сайта пришел запрос). Его можно подделать, однако, зайдя на эти сайты и посмотрев, что там происходит, мы увидели, что сайты открываются и через минуту зависает браузер. Изучив подробнее код страниц, мы обнаружили на них вирус, который в браузере, пока сайт открыт, посылал запросы на наш сервер. Подобная система атаки называется ботнет. Стали изучать.
Внутри скрипта обнаружили ссылку на "сердце" ботнета. То есть, общий файл со списком сайтов, на которые будет идти атака. Многие сайты из этого списка вообще не открывались - значит атака их "уронила".
Файл базировался в иностранной компании, что предоставляет сервера в аренду. У айтишников такие услуги называется облако. Адрес притворяется популярной библиотекой у разработчиков jquery, в надежде на то, что его не заметят или, как минимум, не сразу найдут.
Владельцам облака (сервера), который содержит список для атаки ботнета, был отправлен запрос на эту тему в специальную форму на сайте. И вот сегодня мы заметили, что атака прекратилась, а ссылка с "сердцем" ботнета больше не работает. Это значит, что мы успешно отразили атаку и тем самым защитили не только себя, но и множество проектов, на которые велась атака.
Теперь у многих проектов появилось больше свободы и меньше головной боли от атакующих. Вполне возможно, что злоумышленники сделают что-то в таком же виде, но с другого места, но мы уже знаем как это все работает и легко справимся с атакой.
Хорошего дня!
1313
