9 неочевидных вопросов к анти-DDoS сервису, чтобы пользоваться им с комфортом и не терять связь с клиентами

Опытные сисадмины говорят, что справиться с DDoS’ом без сервиса-помощника не получится: сайт «положат» простейшей атакой за $50. Новичку трудно выбрать такой сервис: на первый взгляд кажется, что у них одинаковые функции и цены. Мы поговорили с сисадмином и узнали, на что он смотрит при прочих равных.

Как работает DDoS-атака

Представьте, что вы владелец интернет-магазина. Скоро черная пятница, и конкурент хочет переманить ваших клиентов. Для этого он идет в даркнет и покупает DDoS-атаку. Цель — сделать так, чтобы в черную пятницу сайт вашего магазина не работал.

В 2017 году DDоS-атаки стоили от $50, а заказать их было легко, как пиццу. С тех пор ничего не изменилось. На Хабре рассказали о рынке DDoS-атак

За работу сайта интернет-магазина отвечает сервер. Там хранятся страницы сайта. Когда человек открывает страницу, его компьютер отправляет серверу запрос: мол, покажи. Сервер в ответ отправляет страницу, и браузер пользователя, например Chrome или Safari, ее отрисовывает. Тогда говорят, что сервер обработал запрос: 

У сервера два уязвимых места — лимит на число запросов в единицу времени и пропускная способность канала, по которому сервер соединили с интернетом. Пропускную способность еще называют шириной. Как ресторан не вместит больше людей, чем посадочных мест, так и канал не пропустит запросы свыше ширины канала. 

Злоумышленники перегружают сервер или канал и ломают сайт. Для этого пишут специальные программы — ботов. В один момент толпа ботов приходит на сайт и отправляет запросы серверу. Это как если бы миллион пользователей одновременно зашли на сайт вместо привычной тысячи. Сервер и канал обрабатывают запросы ботов, а на настоящих пользователей не хватает сил. 

Спастись от DDoS-атаки самостоятельно трудно и дорого: придется содержать армию серверов и интернет в несколько гбит/с, а сайт могут так и не атаковать. Поэтому владельцы сайтов подключают анти-DDoS сервисы.

Как помогает анти-DDoS сервис

Анти-DDoS сервис встраивают в цепочку между компьютерами пользователей и вашим сервером. Запросы сначала приходят сервису, тот отсеивает запросы ботов, а запросы людей отправляет на сайт. Сайт работает как обычно и даже не замечает атаку.

Вывести из строя анти-DDoS сервис трудно: серверов много, у них большие лимиты на число запросов и широкие каналы интернет-соединения.

Например, ширина канала у обычного сервера интернет-магазина ≈ 100 мбит/с, а у анти-DDoS сервиса ≈ 50 гбит/с — в 500 раз шире. 

Вопрос 1. Где расположены серверы анти-DDoS сервиса

Когда человек кликает на ссылку, страница сайта открывается не сразу — проходит время. За это время компьютер пользователя отправляет запрос, а сервер его обрабатывает и только после этого отдает страницу. Чем дальше сервер и пользователь друг от друга, тем больше времени пройдет, прежде чем страница откроется.

Например, сервер сайта находится в Москве. Тогда, при прочих равных, пользователь из Москвы быстрее откроет страницу, чем пользователь из Санкт-Петербурга.

Если подключить анти-DDoS сервис, страницы сайта будут открываться дольше. Потому что запросу от пользователя придется сначала попасть на сервер анти-DDoS сервиса и только потом бежать к серверу сайта. На это потребуется больше времени.

Важно, чтобы время увеличилось незначительно. Иначе сайт будет медленно работать, всех бесить, и никто не захочет им пользоваться. Поэтому полезно, чтобы серверы анти-DDoS сервиса были как можно ближе к серверам сайта.

Если сервер сайта работает в Москве, а сервер анти-DDoS сервиса — в США или Владивостоке, то страницы будут открываться с задержкой до ≈0,5 секунды. Пользователи заметят, что сайт тормозит.

А если сервер анти-DDoS сервиса поставили в Подмосковье, то страницы откроются с задержкой ≈ 0,01 секунду. Пользователи вообще ее не почувствуют.

Обычно анти-DDoS сервисы пишут у себя на сайтах, где расположены серверы. Если такой информации нет, уточните расположение серверов у поддержки. 

Чем ближе серверы анти-DDoS сервиса к серверам сайта, тем быстрее работает сайт для пользователей

2. Умеет ли сервис сохранять текст и картинки с сайта

Некоторые анти-DDoS сервисы сохраняют у себя статический контент сайта: текст или картинки. Это называют кэшированием. Если сервис кэширует контент, он сам обработает запросы: достанет из памяти нужную страницу и отправит пользователю. Так страницы сайта будут открываться быстрее: не придется тратить время, пересылая запросы серверу.

Если анти-DDoS сервис кэширует статический контент, страницы сайта будут открываться быстрее

3. Понимает ли техподдержка русский язык

Представьте, что интернет-магазин подключил анти-DDoS сервис с поддержкой на английском языке. Внезапно сервис начал блокировать настоящих пользователей или вовсе перестал работать — всякое бывает. Сисадмин бежит в поддержку, но долго объясняет проблему: переводит термины, в спешке путает значения слов. Все это время люди не покупают, и магазин теряет деньги. 

Понимай поддержка русский, сисадмин быстрее объяснил бы проблему, а поддержка быстрее бы ее исправила. Так магазин сохранит больше денег при поломке.

Если техподдержка анти-DDoS сервиса понимает русский, вы быстрее решите проблему в критической ситуации

4. Есть ли российское юрлицо, если вы привыкли оплачивать услуги по счету

Обычно анти-DDoS сервисам платят дебетовой картой или по счету. Картой платят владельцы маленьких компаний и блогов: так быстрее. Крупные компании, интернет-магазины и банки привыкли получать счет и оплачивать через бухгалтерию. 

Счет выставит только анти-DDoS сервис с российским юрлицом. Проверьте, чтобы оно было, если хотите оплачивать услуги по счету.

Иностранные анти-DDoS сервисы без российского юрлица не смогут выставить счет

5. Сколько IP-адресов разрешают внести в чёрный и белый списки и разрешают ли вообще

Каждому компьютеру в сети дают уникальный номер — IP-адрес. По этому адресу компьютер опознают, как человека по паспорту или компанию по ИНН. 

В черный список вносят и блокируют IP-адреса компьютеров, с которых злоумышленники атакуют сайт. Это полезно, чтобы предупредить атаки других типов. 

Злоумышленники поймут, что DDoS не работает: анти-DDoS сервис защищает сайт. Тогда они попробуют атаковать вас с тех же компьютеров другим способом. Черный список спасет.

В белый список, наоборот, вносят IP-адреса, которые анти-DDoS сервис заблокировал несправедливо.

Сервис забанит человека, который пользуется той же сетью, что и атакующие компьютеры. Человек не имеет отношения к атаке, да и вообще ваш давний клиент. Вы добавите IP-адрес человека в белый список, и сервис перестанет блокировать его запросы. 

Часто сервисы в зависимости от тарифа ограничивают число IP-адресов в черном и белом списках. Оптимального числа нет: чем больше, тем лучше. Главное, чтобы такие списки вообще были. Так вы заблокируете злоумышленников и спасете невинных пользователей. 

Чем больше записей разрешают внести в чёрный и белый списки, тем лучше

6. Выделяют ли отдельный сервер 

Анти-DDoS сервис закрепляет за сайтом один из серверов: общий или выделенный. Запросы пользователей будут приходить на этот сервер и проходить через фильтры.

На общий сервер приходят запросы к нескольким сайтам. Это опасно.

Злоумышленники будут атаковать один из сайтов и перегрузят сервер анти-ДДос сервиса. Тогда пострадают все сайты, запросы которых закрепили за этим сервером.

На выделенный сервер приходят запросы одного сайта, а атаки на чужие сайты не вредят.

Выделенный сервер принимает запросы только для вашего сайта. Атаки на чужие сайты на него не влияют 

7. Поддерживают ли сторонние SSL-сертификаты

SSL сертификат устанавливают, чтобы безопасно передавать данные между браузером пользователя и сайтом. С ним пользователи не боятся, что мошенники украдут номера банковских карт, пароли или другие личные данные. Если SSL-сертификата нет, браузер предупредит, что пользоваться сайтом опасно. Некоторые пользователи не захотят рисковать и уйдут. 

На сайте нашего редактора нет SSL-сертификата. Safari предупреждает об опасности

В 2020 году SSL-сертификаты — стандарт. Если в адресной строке вашего сайта есть замочек, вы уже пользуетесь сертификатом. 

Dadata использует SSL-сертификат, чтобы клиенты пользовались сайтом без опаски
Редактор одумался и подключил сертификат к своему сайту

Сертификаты различаются по процедуре получения:

Например, блоги и сайты небольших компаний используют безымянные сертификаты — они подтверждают, что доменное имя настоящее, но не проверяют владельца сайта. Это дешевые сертификаты, их легко получить.

Банки, крупные интернет-магазины и сервисы используют сертификаты с расширенной проверкой организации. Это дорогие сертификаты, их трудно получить: владельцев проверят минимум двумя способами. Зато клиенты и партнеры не боятся переводить деньги, оплачивать товары или подключать сервисы. Такой сертификат использует Dadata. 

На некоторых тарифах анти-DDoS сервисы выдают безымянные сертификаты и не дают подключить свой. Покупать сертификат или нет — решать вам. Но если вы купили или планируете, проверьте, чтобы сервис или тариф разрешали.

Если не помните, какой сертификат используете на сайте, уточните у сисадмина.

Если вы покупали SSL-сертификат с проверкой организации, проверьте, чтобы анти-DDoS сервис поддерживал сторонние сертификаты

8. Какое время доступности сайта и скорость реакции поддержки гарантируют 

В договор между владельцем сайта и анти-DDoS сервисом входит SLA — соглашение об уровне качества услуг. Там указывают время реакции поддержки на проблемы и время доступности сайта в процентах.

Например, анти-DDoS сервис гарантирует 99% доступности сайта. Значит, сайт будет работать не менее 99% месяца (737 часов), а 1% месяца (7 часов) может не работать.

Чем больше денег вы потеряете из-за неработающего сайта, тем больше должно быть время доступности и быстрее реакция поддержки.

Если личный блог не будет работать 7 часов в месяц (SLA 99%) и поддержка отреагирует на проблему через пару часов, ничего страшного не случится. 

Для крупного интернет-магазина 7 часов без заказов и поддержки — катастрофа. Ему подойдет процент доступности не ниже 99.9% — 45 нерабочих минут в месяц — и реакция поддержки в течение 5 минут в любое время.

А еще высокий процент доступности важен, если вы сами продаете сервис и гарантируете пользователям определенный процент доступности.

Dadata гарантирует пользователям SLA 99%. Чтобы их не подводить, мы требуем такой же SLA от своего анти-DDoS сервиса.

Чем больше денег вы потеряете из-за неработающего сайта, тем выше должен быть процент доступности сайта и быстрее реакция поддержки

9. Выделяют ли балансировщик нагрузки

Если сайт работает на 2+ серверах, у него есть балансировщик — штука, которая распределяет запросы пользователей между серверами. Обычно нагрузку распределяют в равных долях: если пришла 1000 запросов, балансировщик отправит на каждый сервер по 500. Так получится не перегружать серверы, а если один из них откажет, перенаправить трафик на рабочие.

Балансировщик — дополнительная точка отказа: если он сломается, запросы не будут доходить до серверов. Сайт перестанет работать.

Обычно за работу балансировщика отвечает сисадмин. Он на связи только в рабочее время, а проблема может случиться когда угодно. Поэтому лучше, чтобы возможную поломку чинили специалисты анти-DDoS сервиса. Тем более, что они гарантируют доступность сайта на определенном уровне.

Допустим, ночью балансировщик выйдет из строя из-за ошибки в ПО. Сисадмин доберется до проблемы только утром. Все это время сайт будет терять деньги. 

Специалисты анти-DDoS сервиса заметят поломку ночью и починят в пределах обещанного времени доступности сайта: например, за 45 минут при SLA 99,9%. Так не придется напрягать сисадмина, а сайт сохранит больше денег.

Если выделяют балансировщик, то при поломке его починят специалисты анти-DDoS сервиса. Так надежнее

Уточнить у поддержки анти-ДДос сервиса

1. Где расположены серверы — чем ближе к серверам сайта, тем быстрее он будет работать.

2. Умеет ли сервис сохранять текст и картинки с сайта — если да, то сайт будет работать  быстрей.

3. Понимает ли поддержка русский язык — так будет проще решить проблемы.

4. Есть ли российское юрлицо, если вам важно оплачивать услуги сервиса по счету.

5. Сколько IP-адресов разрешают внести в чёрный и белый списки — чем больше, тем лучше.

6. Выделяют ли сервер для запросов вашего сайта — если да, то вы не пострадаете от атак на чужие сайты.

7. Поддерживают ли сторонние SSL-сертификаты — если вам важно получить сертификат с расширенной проверкой организации.

8. Какой SLA гарантируют — чем выше процент, тем больше времени сайт проработает без задержек.

9. Выделяют ли балансировщик нагрузки — если да, то вам не придется чинить его при поломке.

Блог DaData.ru — пишем о клиентских данных, делимся новостями и кейсами

Подпишитесь на рассылку, чтобы не пропустить новые статьи в блоге
Узнавайте о новых статьях, как только они выйдут

Статьи по теме

9 неочевидных вопросов к анти-DDoS сервису, чтобы пользоваться им с комфортом и не терять связь с клиентами

Основы

9 неочевидных вопросов к анти-DDoS сервису, чтобы пользоваться им с комфортом и не терять связь с клиентами

Опытные сисадмины говорят, что справиться с DDoS’ом без сервиса-помощника не получится: сайт «положат» простейшей атакой за $50. Новичку трудно выбрать такой сервис: на первый взгляд кажется, что у них одинаковые функции и цены. Мы поговорили с сисадмином и узнали, на что он смотрит при прочих равных.

7 простых действий, чтобы повысить открываемость писем и CTR в рассылке

Емейлыосновыфио

7 простых действий, чтобы повысить открываемость писем и CTR в рассылке

Есть базовые требования к рассылкам. Чтобы письма хорошо открывали, читали и переходили по ссылкам в них, надо писать с пользой и уважением к читателям, без навязчивости и неуместной рекламы. Но есть и некоторые мелочи. Они не так сильно влияют на открываемость и кликабельность, но тоже важны. Если выполнять эти простые действия, метрики рассылки улучшатся.

Как увеличить конверсию чекаута, получить данные покупателей и сохранить чистую базу

Основыпрочее

Как увеличить конверсию чекаута, получить данные покупателей и сохранить чистую базу

Представьте, что ваш интернет-магазин хочет повысить конверсию чекаута. Вы предлагаете сократить число полей и убрать валидацию, чтобы люди заказывали быстрее, а ошибки им не мешали. Маркетологи против: если убрать поля, магазин соберет мало информации о клиентах и будет предлагать неподходящие товары. А без валидации база испортится: люди будут вводить неправильные имена, телефоны и электронные почты.