9 неочевидных вопросов к анти-DDoS сервису, чтобы не терять связь с клиентами
Опытные сисадмины говорят, что справиться с DDoS’ом без сервиса-помощника не получится: сайт «положат» простейшей атакой за $50. Новичку трудно выбрать такой сервис: на первый взгляд кажется, что у них одинаковые функции и цены. Мы поговорили с сисадмином и узнали, на что он смотрит при прочих равных.
- Как работает DDoS-атака
- Как помогает анти-DDoS сервис
- Вопрос 1. Где расположены серверы анти-DDoS сервиса
- 2. Умеет ли сервис сохранять текст и картинки с сайта
- 3. Понимает ли техподдержка русский язык
- 4. Есть ли российское юрлицо, если вы привыкли оплачивать услуги по счету
- 5. Сколько IP-адресов разрешают внести в чёрный и белый списки и разрешают ли вообще
- 6. Выделяют ли отдельный сервер
- 7. Поддерживают ли сторонние SSL-сертификаты
- 8. Какое время доступности сайта и скорость реакции поддержки гарантируют
- 9. Выделяют ли балансировщик нагрузки
- Уточнить у поддержки анти-ДДос сервиса
Как работает DDoS-атака
Представьте, что вы владелец интернет-магазина. Скоро черная пятница, и конкурент хочет переманить ваших клиентов. Для этого он идет в даркнет и покупает DDoS-атаку. Цель — сделать так, чтобы в черную пятницу сайт вашего магазина не работал.
В 2017 году DDоS-атаки стоили от $50, а заказать их было легко, как пиццу. С тех пор ничего не изменилось. На Хабре рассказали о рынке DDoS-атак
За работу сайта интернет-магазина отвечает сервер. Там хранятся страницы сайта. Когда человек открывает страницу, его компьютер отправляет серверу запрос: мол, покажи. Сервер в ответ отправляет страницу, и браузер пользователя, например Chrome или Safari, ее отрисовывает. Тогда говорят, что сервер обработал запрос:
У сервера два уязвимых места — лимит на число запросов в единицу времени и пропускная способность канала, по которому сервер соединили с интернетом. Пропускную способность еще называют шириной. Как ресторан не вместит больше людей, чем посадочных мест, так и канал не пропустит запросы свыше ширины канала.
Злоумышленники перегружают сервер или канал и ломают сайт. Для этого пишут специальные программы — ботов. В один момент толпа ботов приходит на сайт и отправляет запросы серверу. Это как если бы миллион пользователей одновременно зашли на сайт вместо привычной тысячи. Сервер и канал обрабатывают запросы ботов, а на настоящих пользователей не хватает сил.
Спастись от DDoS-атаки самостоятельно трудно и дорого: придется содержать армию серверов и интернет в несколько гбит/с, а сайт могут так и не атаковать. Поэтому владельцы сайтов подключают анти-DDoS сервисы.
Как помогает анти-DDoS сервис
Анти-DDoS сервис встраивают в цепочку между компьютерами пользователей и вашим сервером. Запросы сначала приходят сервису, тот отсеивает запросы ботов, а запросы людей отправляет на сайт. Сайт работает как обычно и даже не замечает атаку.
Вывести из строя анти-DDoS сервис трудно: серверов много, у них большие лимиты на число запросов и широкие каналы интернет-соединения.
Например, ширина канала у обычного сервера интернет-магазина ≈ 100 мбит/с, а у анти-DDoS сервиса ≈ 50 гбит/с — в 500 раз шире.
Вопрос 1. Где расположены серверы анти-DDoS сервиса
Когда человек кликает на ссылку, страница сайта открывается не сразу — проходит время. За это время компьютер пользователя отправляет запрос, а сервер его обрабатывает и только после этого отдает страницу. Чем дальше сервер и пользователь друг от друга, тем больше времени пройдет, прежде чем страница откроется.
Например, сервер сайта находится в Москве. Тогда, при прочих равных, пользователь из Москвы быстрее откроет страницу, чем пользователь из Санкт-Петербурга.
Если подключить анти-DDoS сервис, страницы сайта будут открываться дольше. Потому что запросу от пользователя придется сначала попасть на сервер анти-DDoS сервиса и только потом бежать к серверу сайта. На это потребуется больше времени.
Важно, чтобы время увеличилось незначительно. Иначе сайт будет медленно работать, всех бесить, и никто не захочет им пользоваться. Поэтому полезно, чтобы серверы анти-DDoS сервиса были как можно ближе к серверам сайта.
Если сервер сайта работает в Москве, а сервер анти-DDoS сервиса — в США или Владивостоке, то страницы будут открываться с задержкой до ≈0,5 секунды. Пользователи заметят, что сайт тормозит.
А если сервер анти-DDoS сервиса поставили в Подмосковье, то страницы откроются с задержкой ≈ 0,01 секунду. Пользователи вообще ее не почувствуют.
Обычно анти-DDoS сервисы пишут у себя на сайтах, где расположены серверы. Если такой информации нет, уточните расположение серверов у поддержки.
2. Умеет ли сервис сохранять текст и картинки с сайта
Некоторые анти-DDoS сервисы сохраняют у себя статический контент сайта: текст или картинки. Это называют кэшированием. Если сервис кэширует контент, он сам обработает запросы: достанет из памяти нужную страницу и отправит пользователю. Так страницы сайта будут открываться быстрее: не придется тратить время, пересылая запросы серверу.
3. Понимает ли техподдержка русский язык
Представьте, что интернет-магазин подключил анти-DDoS сервис с поддержкой на английском языке. Внезапно сервис начал блокировать настоящих пользователей или вовсе перестал работать — всякое бывает. Сисадмин бежит в поддержку, но долго объясняет проблему: переводит термины, в спешке путает значения слов. Все это время люди не покупают, и магазин теряет деньги.
Понимай поддержка русский, сисадмин быстрее объяснил бы проблему, а поддержка быстрее бы ее исправила. Так магазин сохранит больше денег при поломке.
4. Есть ли российское юрлицо, если вы привыкли оплачивать услуги по счету
Обычно анти-DDoS сервисам платят дебетовой картой или по счету. Картой платят владельцы маленьких компаний и блогов: так быстрее. Крупные компании, интернет-магазины и банки привыкли получать счет и оплачивать через бухгалтерию.
Счет выставит только анти-DDoS сервис с российским юрлицом. Проверьте, чтобы оно было, если хотите оплачивать услуги по счету.
5. Сколько IP-адресов разрешают внести в чёрный и белый списки и разрешают ли вообще
Каждому компьютеру в сети дают уникальный номер — IP-адрес. По этому адресу компьютер опознают, как человека по паспорту или компанию по ИНН.
В черный список вносят и блокируют IP-адреса компьютеров, с которых злоумышленники атакуют сайт. Это полезно, чтобы предупредить атаки других типов.
Злоумышленники поймут, что DDoS не работает: анти-DDoS сервис защищает сайт. Тогда они попробуют атаковать вас с тех же компьютеров другим способом. Черный список спасет.
В белый список, наоборот, вносят IP-адреса, которые анти-DDoS сервис заблокировал несправедливо.
Сервис забанит человека, который пользуется той же сетью, что и атакующие компьютеры. Человек не имеет отношения к атаке, да и вообще ваш давний клиент. Вы добавите IP-адрес человека в белый список, и сервис перестанет блокировать его запросы.
Часто сервисы в зависимости от тарифа ограничивают число IP-адресов в черном и белом списках. Оптимального числа нет: чем больше, тем лучше. Главное, чтобы такие списки вообще были. Так вы заблокируете злоумышленников и спасете невинных пользователей.
6. Выделяют ли отдельный сервер
Анти-DDoS сервис закрепляет за сайтом один из серверов: общий или выделенный. Запросы пользователей будут приходить на этот сервер и проходить через фильтры.
На общий сервер приходят запросы к нескольким сайтам. Это опасно.
Злоумышленники будут атаковать один из сайтов и перегрузят сервер анти-ДДос сервиса. Тогда пострадают все сайты, запросы которых закрепили за этим сервером.
На выделенный сервер приходят запросы одного сайта, а атаки на чужие сайты не вредят.
7. Поддерживают ли сторонние SSL-сертификаты
SSL сертификат устанавливают, чтобы безопасно передавать данные между браузером пользователя и сайтом. С ним пользователи не боятся, что мошенники украдут номера банковских карт, пароли или другие личные данные. Если SSL-сертификата нет, браузер предупредит, что пользоваться сайтом опасно. Некоторые пользователи не захотят рисковать и уйдут.
В 2020 году SSL-сертификаты — стандарт. Если в адресной строке вашего сайта есть замочек, вы уже пользуетесь сертификатом.
Сертификаты различаются по процедуре получения:
Например, блоги и сайты небольших компаний используют безымянные сертификаты — они подтверждают, что доменное имя настоящее, но не проверяют владельца сайта. Это дешевые сертификаты, их легко получить.
Банки, крупные интернет-магазины и сервисы используют сертификаты с расширенной проверкой организации. Это дорогие сертификаты, их трудно получить: владельцев проверят минимум двумя способами. Зато клиенты и партнеры не боятся переводить деньги, оплачивать товары или подключать сервисы. Такой сертификат использует Dadata.
На некоторых тарифах анти-DDoS сервисы выдают безымянные сертификаты и не дают подключить свой. Покупать сертификат или нет — решать вам. Но если вы купили или планируете, проверьте, чтобы сервис или тариф разрешали.
Если не помните, какой сертификат используете на сайте, уточните у сисадмина.
8. Какое время доступности сайта и скорость реакции поддержки гарантируют
В договор между владельцем сайта и анти-DDoS сервисом входит SLA — соглашение об уровне качества услуг. Там указывают время реакции поддержки на проблемы и время доступности сайта в процентах.
Например, анти-DDoS сервис гарантирует 99% доступности сайта. Значит, сайт будет работать не менее 99% месяца (737 часов), а 1% месяца (7 часов) может не работать.
Чем больше денег вы потеряете из-за неработающего сайта, тем больше должно быть время доступности и быстрее реакция поддержки.
Если личный блог не будет работать 7 часов в месяц (SLA 99%) и поддержка отреагирует на проблему через пару часов, ничего страшного не случится.
Для крупного интернет-магазина 7 часов без заказов и поддержки — катастрофа. Ему подойдет процент доступности не ниже 99.9% — 45 нерабочих минут в месяц — и реакция поддержки в течение 5 минут в любое время.
А еще высокий процент доступности важен, если вы сами продаете сервис и гарантируете пользователям определенный процент доступности.
Dadata гарантирует пользователям SLA 99%. Чтобы их не подводить, мы требуем такой же SLA от своего анти-DDoS сервиса.
9. Выделяют ли балансировщик нагрузки
Если сайт работает на 2+ серверах, у него есть балансировщик — штука, которая распределяет запросы пользователей между серверами. Обычно нагрузку распределяют в равных долях: если пришла 1000 запросов, балансировщик отправит на каждый сервер по 500. Так получится не перегружать серверы, а если один из них откажет, перенаправить трафик на рабочие.
Балансировщик — дополнительная точка отказа: если он сломается, запросы не будут доходить до серверов. Сайт перестанет работать.
Обычно за работу балансировщика отвечает сисадмин. Он на связи только в рабочее время, а проблема может случиться когда угодно. Поэтому лучше, чтобы возможную поломку чинили специалисты анти-DDoS сервиса. Тем более, что они гарантируют доступность сайта на определенном уровне.
Допустим, ночью балансировщик выйдет из строя из-за ошибки в ПО. Сисадмин доберется до проблемы только утром. Все это время сайт будет терять деньги.
Специалисты анти-DDoS сервиса заметят поломку ночью и починят в пределах обещанного времени доступности сайта: например, за 45 минут при SLA 99,9%. Так не придется напрягать сисадмина, а сайт сохранит больше денег.
Уточнить у поддержки анти-ДДос сервиса
2. Умеет ли сервис сохранять текст и картинки с сайта — если да, то сайт будет работать быстрей.
3. Понимает ли поддержка русский язык — так будет проще решить проблемы.
4. Есть ли российское юрлицо, если вам важно оплачивать услуги сервиса по счету.
5. Сколько IP-адресов разрешают внести в чёрный и белый списки — чем больше, тем лучше.
6. Выделяют ли сервер для запросов вашего сайта — если да, то вы не пострадаете от атак на чужие сайты.
7. Поддерживают ли сторонние SSL-сертификаты — если вам важно получить сертификат с расширенной проверкой организации.
8. Какой SLA гарантируют — чем выше процент, тем больше времени сайт проработает без задержек.
9. Выделяют ли балансировщик нагрузки — если да, то вам не придется чинить его при поломке.
