Abuse и прочая безопасность
10 август, 2017 - 12:08Sergey PetrenkoСтолкнулся с интересным опытом. У нас на форуме регулярно случаются DDOS-атаки — когда я говорю «регулярно», я имею в виду, что в среднем это происходит несколько раз в месяц, а то и чаще. В-общем, это даже не событие для нас — еще раньше, когда с этим приходилось справляться самостоятельно, у нас были довольно развитые способы зафильтровать трафик на уровне серверов, в тяжелых случаях звали на помощь инженеров датацентра, а после широкого распространения сервисов защиты и, в частности, Cloudflare, алгоритм вообще элементарен — взвел режим «Under attack!» и сел смотреть, что в логах делается и чем на этот раз доморощенные хакеры пробавляются.
Одна такая атака от обиженного на форуме пользователя у нас проходила всю прошлую неделю. Причем включение защиты её прекращала моментально, но до этого товарищ умудрялся сгенерировать очень немалый трафик — десятки миллионов запросов в час, а то и сотни. Анализ логов показал, что трафик генерировался не ботнетом, как это обычно делают при DDOS, а сеткой серверов. То есть с одного IP прилетало по миллиону запросов — скрипту ж на сервере ничего не мешает, полосы у него много, вот и грузит, сколько может.
Но в этом есть и обратная сторона — в отличие от анонимного ботнета, хостинг анонимным бывает редко. Поэтому мы хоть и совершенно спокойно продолжали работать под защитой, но все же решили испортить праздник вседозволенности и написали на abuse-адреса наугад выбранных сетей.
И вот статистика ответов наводит на размышления. Жалобы были отправлены — Google Cloud, крупный британский хостинг, небольшой российский хостинг, Мастерхост и сам Cloudflare, через который как-то тоже просачивались запросы.
Оперативнее всего отреагировал Мастерхост, который через пару часов ответил, что аккаунт заблокирован. Небольшой российский хостинг ответил «Посмотрим, отправлено с мобильного телефона». Уж не знаю, что они там посмотрели, но время реакции было порядка полутора суток.
Google Cloud ответил шаблонным ответом через три дня после репорта — мол, спасибо, мы будем разбираться, но вы не сомневайтесь, что мы strongly commited в части безопасности и так далее. Крупный британский хостинг не ответил пока вообще. Как и сам Cloudflare.
Я, честно говоря, немного удивлен. То есть совершенно не удивлен Мастерхостом — я хорошо помню, как оперативно мне присылали жалобы, когда мы там размещались, и как разбирались в проблемах. Но вот большие западные компании — это у них так плохо функция ответа работает или они и на сами проблемы так вальяжно реагируют?