Мы постоянно сталкиваемся с различными кибератаками.

DDoS-атака — это попытка «завалить» сайт или онлайн-сервис огромным количеством запросов, чтобы он перестал работать или начал сильно тормозить. Мы в «Пикабу» постоянно ищем способы защиты наших пользователей и ресурсов от кибератак.

Есть разные виды DDoS, и каждый из них перегружает сервер по-своему. Атака на уровне L7 — это попытка заставить веб-сервер тратить ресурсы на обработку множества запросов. В результате страница загружается медленнее или вовсе перестает открываться. Именно с такими мы сталкиваемся чаще всего.

Дмитрий Никонов, руководитель направления защиты от DDoS-атак на уровне веб-приложений в DDoS-Guard:

Развитие ботнетов привело к колоссальному росту пиковой мощности вредоносных всплесков. Одна из крупнейших L7-атак, которую мы фиксировали, менее чем за 10 секунд своей длительности достигла почти 23 млн rps. Если раньше жертвами таких DDoS-атак становились только гиганты типа Youtube, теперь от них не застрахованы даже сайты небольших компаний в регионах.

L3-атака перегружает интернет-канал ресурса, засыпая его огромным количеством данных, как если бы тысячи людей одновременно начали звонить на один номер. L4-атака бьет по соединениям сервера, заставляет его тратить ресурсы на бесполезные запросы, словно толпа бесконечно стучит в дверь, но никто не заходит.

Как нас защищает DDoS-Guard (спойлер: мы даже не замечаем)

Для Пикабу тестировали много разных методов защиты, но остановились на отечественном сервисе DDoS-Guard. Мы подключили защиту сайта, которая включает постоянную фильтрацию как L7-трафика, так и L3-4.

Как работает защита «под капотом»:

• все запросы анализируются для выявления источников вредоносного трафика, таких как сети без контроля IP-адресов, уязвимых серверов и ботнетов;

• проанализированный трафик проходит через каскад фильтров на сетевых (L3-4) и прикладном (L7) уровнях. Вредоносные запросы блокируются до достижения серверов, оборудования клиентов и посетителей их веб-ресурсов;

Если запрос выглядит подозрительно, но может исходить от реального пользователя, система предлагает пройти CAPTCHA. Это финальный этап фильтрации, который позволяет настоящим посетителям зайти на сайт даже во время атаки и снижает вероятность ошибочной блокировки. Достаточно один раз подтвердить подлинность, чтобы продолжить пользоваться ресурсом без задержек. Так система постоянно обучается, чтобы точнее отличать пользователей от автоматизированных атак.

Единственное, что может понадобиться от читателя, — обратить внимание на экран с надписью «Подтвердите, что вы не робот».

В защиту DDoS-Guard входят инструменты для управления трафиком и возможность создания кастомного каскада правил для защиты от нелегитимных запросов.

• Правила защиты — ограничивают конкретные типы запросов или добавляют исключения.

• Сегментация сайта — разделение домена на сегменты по типу контента для более точного срабатывания алгоритмов защиты.

• Лимит запросов (rate limiter) — модуль ограничения частоты запросов с настройками параметров запроса и группировкой по источникам.

Пригодилась и функция «Активной балансировки». Например, недавно в основном дата-центре «Пикабу» были аварийные работы: сеть легла, все серверы стали недоступны. Системы DDoS-Guard мгновенно зафиксировали проблему и автоматически перевели весь трафик на резервный дата-центр. Для пользователей ничего не изменилось — сайт продолжал работать, мемы загружались, комментарии писались.

С переходом под защиту DDoS-Guard Пикабу повысил свою устойчивость к DDoS-атакам. Если несколько лет назад сайт мог «лежать» часами и доступ к нему приходилось отключать некоторым странам, то сейчас восстановление работы занимает секунды.

Теперь борьба с DDoS-атаками для Пикабу выглядит так: техническая команда увидела в отчете, что недавно была атака. Конец.

Не защитой единой живы

Кроме DDoS-защиты «Пикабу» были необходимы инструменты для диагностики и управления трафиком. Поэтому нужно было:

1. Предусмотреть сценарий, при котором пользователь может предоставить подробные данные о своем подключении, если с ним возникли проблемы. В этом случае команда поддержки сможет быстрее диагностировать и решить проблему.

2. Сделать систему анализа трафика более прозрачной, чтобы можно было самостоятельно изучать запросы в случае необходимости и корректировать правила фильтрации

Специалисты DDoS-Guard разработали и внедрили решение, которое упростило анализ трафика. В него вошли следующие компоненты:

1. Уникальный Request ID: каждому запросу, проходящему через нашу сеть, присваивается уникальный идентификатор, например, request ID: mwpt7a4coqKjiRxZ.

2. Сервисные страницы с деталями запроса: например, на страницы с капчей или ошибками добавляется информация о запросе:

• Request ID

• IP-адрес пользователя (например, IP: 185.178.209.197)

• Временная метка (например, Time: 2024-10-21 16:19:41 UTC)

Данные передаются через куки, чтобы JavaScript на странице мог их извлечь и отобразить пользователю. Теперь сервисные страницы с деталями запроса помогают пользователям передавать нужную информацию.

Диагностика проблем стала быстрее. Можно просто скопировать данные со страницы или сделать скриншот. Детальный анализ запросов позволил сократить число ложных срабатываний системы защиты.

Атаки с каждым годом все сложнее, но мы не сдаемся

Развитие технологий делает атаки сложнее, дешевле и доступнее. Злоумышленники даже могут организовывать их с целью разведки и проверки устойчивости защиты сервиса.

Важно не только обеспечить сайт надежной защитой от DDoS, но и взять под контроль трафик, чтобы отслеживать любые аномалии и всегда понимать, что происходит.

Поэтому на первый план выходят грамотное управление трафиком и гибкие настройки правил фильтрации:

Дмитрий Никонов, руководитель направления защиты от DDoS-атак на уровне веб-приложений в DDoS-Guard:

Если раньше потребности наших клиентов в основном составляла защита от DDoS-атак, то теперь в приоритете — многовекторное управление трафиком с возможностью создания правил, учитывающих специфику проекта. Это мотивирует нас развивать гибкость продукта и охватывать все больше направлений работы с трафиком.

Пикабу работает с высокой нагрузкой, но наши пользователи больше не замечают задержку в загрузке страниц или сбоев в работе сайта.

Узнайте больше о возможностях DDoS-Guard