ПУБЛИКАЦИИ DDoS-атаки: скрытая угроза (2)
Юрий Устинов, исполнительный директор хостинг-провайдера Интернет-торговля в России развивается стремительными темпами. Обороты магазинов растут, растет и количество рисков для онлайн-бизнеса. DDoS-атаки — самый доступный и безопасный для злоумышленника способ "отключить" тот или иной сайт. Кто и зачем совершает атаки на интернет-магазины? Как этому противостоять? Попробуем с этим разобраться. Прежде всего, нужно прояснить, что же такое DDoS-атака. Существует множество способов вывести ваш сайт из строя. Самые популярные из них: - использование уязвимостей в программном обеспечении, когда с помощью определенных действий можно вызвать ошибку в работе программ на сервере. Такого рода атаки чаще используются для получения доступа к корпоративным сетям и компьютерам и все меньше встречаются в Интернете благодаря эволюции современного серверного ПО;
- флуд — создание большого потока обращений к системе с целью создания чрезмерной нагрузки на сервер. Это как раз то, что обычно называют DDoS-атакой.
DDoS (Distributed Denial of Service) - дословно можно перевести как "распределенная атака типа "отказ в обслуживании". Цель такой атаки - вывести из строя удаленную информационную систему (в нашем случае — сайт интернет-магазина), чтобы пользователи не могут получить доступ к ней (просмотреть товары, оформить и оплатить заказ). Защищаться от подобных атак все сложнее, а инструменты для их проведения стали доступны широкому кругу лиц, поэтому DDoS-атаки получили самое широкое распространение в наше время. Кто может стать жертвой и почему?Итак, цель DDoS-атаки — сделать сайт недоступным для посетителей. А значит, в зоне риска оказывается интернет-бизнес, прежде всего - онлайн-торговля и публичные сервисы. Основной мотив — причинить жертве экономический или репутационный ущерб. Часто вслед за атакой следует шантаж владельца магазина, вымогательство денег "за отсутствие проблем". Важный момент:ни в коем случае нельзя идти на поводу у злоумышленников. Лучше потратьте деньги на защиту сайта от дальнейших покушений. Имейте в виду, поддавшись и заплатив однажды, вы, во-первых, не избавитесь от преступников (они придут снова и снова), а во-вторых, простимулируете их деятельность, собственноручно оплатите им проведение новых и более мощных атак против вас и других бизнесменов. Стоит отметить, что повод для проведения атаки не всегда связан с финансовыми интересами атакующего. Многие атаки проводятся по принципиальным соображениям. Как правило, это попытка насолить неугодной компании. Если вас атаковали, в первую очередь надо искать виновников даже не среди конкурентов – а среди обиженных сотрудников или, возможно, клиентов. Как защитить свой сайт?Чтобы разобраться с этим, стоит выделить несколько уровней, на которые может быть направлена DDoS -атака. Самый простой и действенный способ — атака на уровне приложения. Это значит, что атака идет множеством простых запросов на страницы вашего сайта. Практически все интернет-магазины имеют страницы, создание которых занимает значительное количество ресурсов сервера. Чаще всего, это страница с полным каталогом товаров или поиском по сайту. Если при создании скриптов программисты не задумывались о кэшировании и защите от чрезмерной нагрузки на сервер, то такой интернет магазин едва ли сможет выдержать 10-20 одновременных обращений к форме поиска или другой нагруженной странице. Сервер надолго "задумается". В это время другие посетители сайта будут получать страницы с ошибками, либо отображение страниц будет происходить очень медленно. Обратите внимание, что такое количество обращений можно создать с любого домашнего компьютера или даже смартфона. Т.е. испортить жизнь небольшому магазину невероятно просто. В то же время, защита от подобных атак целиком во власти владельца. Против таких атак можно посоветовать следущее:- Выявите самые медленные и нагруженные страницы вашего сайта и сделайте так, чтобы все эти страницы максимально использовали кэширование данных. В случае с поиском по каталогу можно выстроить очередь поисковых запросов таким образом, чтобы они выполнялись по одному-два за раз, а не все одновременно.
- Кроме того, можно предусмотреть механизм, который при высокой нагрузке на сервер будет отключать скрипт поиска, пока нагрузка не спадет. В конце концов, лучше, если магазин на какое-то время останется без поиска, чем если вы останетесь без магазина на несколько часов, а то и дней.
- Не используйте обычный хостинг, т.к. при создании высокой нагрузки хостинг-провайдер выключит ваш аккаунт, даже если эта нагрузка была создана обычными посетителями сайта. Для интернет-магазина используйте виртуальные серверы, либо, если позволяет бюджет, берите отдельные серверы в аренду. Сервер нужно выбирать таким образом, чтобы у вашего магазина был, по меньшей мере, двукратный запас по производительности.
Чаще всего от отдельного сервера отказываются из-за необходимости его администрировать. Если собственного сотрудника нет — вы можете взять уже настроенный сервер с ежемесячным обслуживанием. Это сэкономит вам кучу нервных клеток. - Как правило, у всех производителей CMS (систем управления контентом) для интернет-магазинов есть собственные рекомендации по настройке серверов для оптимальной работы. Убедитесь, что настройки вашего сервера полностью соответствуют этим рекомендациям. Неправильно настроенный сервер будет тратить больше ресурсов, а значит, его гораздо проще атаковать.
Следующая "точка отказа" — возможности операционной системы по "перевариванию" большого потока входящих обращений. По такому принципу действует, например, атака tcp syn. Большой поток обращений создает нагрузку на сетевую часть сервера и операционной системы. В этом случае все зависит от качества используемого оборудования и системных настроек. До определенного уровня сервер сможет противостоять подобным атакам самостоятельно, но при повышении нагрузки он просто перестанет успевать обрабатывать все входящие обращения по сети, и настоящие посетители просто не смогут достучаться до вашего сайта. При подобной атаке вас может спасти либо хостинг-провайдер/дата-центр, если он обладает нужными специалистами и средствами для фильтрации трафика, либо специализированные компании, профессионально занимающиеся созданием средств защиты от атак. Еще более мощные атаки направлены на следующий уровень — уровень сетевой инфраструктуры. В этом случае злоумышленники пытаются либо вывести из строя коммутаторы, через которые ваш сервер подключен к Интернету, либо забить целиком входящий канал к вашему серверу. Как правило, серверы подключаются к сети через канал со скоростью передачи данных до 1 гбит/с. Таким образом, если злоумышленник способен создать входящий поток к вашему серверу более 1 гбит/с, то обычные посетители будут испытывать серьезные проблемы с получением доступа к сайту, поскольку их запросы просто не будут проходить через забитый "мусором" канал. Важный момент: атаки такой мощности были экзотикой несколько лет назад, но сейчас цена организации широкополосной DDoS-атаки заметно снизилась. В Рунете достаточно часто возникают атаки и на 3, и на 5, и на 10 гбит/с. Это значит, что в наше время риск получить атаку такой мощности достаточно велик. Бороться с такими атаками можно только силами хостинг-провайдера/дата-центра или с помощью специализированных компаний. В данном случае нужно отдавать себе отчет, что защита от атак такой мощности стоит дорого. Далеко не всегда хостинг-провайдер или дата-центр могут или хотят задействовать дорогое оборудование и специалистов для бесплатной защиты того или иного сайта от мощной атаки. Таким образом, нужно заранее согласовать с вашим поставщиком варианты защиты и ее стоимость. Как действует защита от DDoS-атак?Все современные методы защиты от атак основаны на анализе трафика защищаемого сайта. То есть специальное оборудование пропускает через себя трафик вашего интернет-магазина и анализирует посетителей, с каких ip-адресов они пришли, как часто и какие запросы делают. Атакующие роботы ведут себя иначе, они не похожи на обычных посетителей вашего сайта. Благодаря этим отличиям в момент начала атаки система понимает, что пора включать фильтры и начинает выявлять и отключать "плохих" посетителей в реальном времени. Таким образом, настоящие посетители пользуются интернет-магазином как обычно, а ненастоящие отключаются. Важный момент: для того, чтобы понимать, какие обращения к серверу пропускать, а какие фильтровать, система должна обучиться — набрать статистику "настоящих" обращений. Поэтому если на ваш сайт уже идет атака подключать в этот момент систему защиты практически бесполезно. Во-первых, подключение защиты гарантированно займет от нескольких часов до суток. Все это время ваш сайт не будет работать. Во-вторых, системе нужно время для того, чтобы собрать статистику обращений. Это время составляет от 30 минут до нескольких часов. Кроме того, качество анализа на основе статистики, собранной уже во время атаки, будет на порядок ниже. Некоторые системы могут защитить сайт, уже находящийся под атакой, однако качество такой защиты не гарантируется: настоящие посетители вашего магазина могут быть отнесены в категорию "плохих" и не получат доступ к страницам сайта. Вывод: защиту от DDoS-атак необходимо подключать заранее. Как правило, за это взимается ежемесячная абонентская плата: от 20-60 тысяч рублей ежемесячно (верхний предел зависит от объема трафика и других параметров и на самом деле практически не ограничен). Бывают и более щадящие тарифы: в этом случае ежемесячная плата может быть меньше — от 5-7 тысяч рублей в спокойный месяц. Но в случае, если крупная атака все-таки произойдет, вам придется оплатить значительный счет за весь зловредный трафик, который пришлось отфильтровать. Преступление и наказаниеПредположим, интернет-магазин не был защищен, атака состоялась и привела к вполне осязаемым убыткам. Есть ли у вас шанс наказать заказчиков и исполнителей? Если начистоту, то шансы невелики. К сожалению, любые киберпреступления в России (как впрочем, и во всем мире) пока расследуются с большим скрипом. Для того, чтобы проводить подобные расследования, необходимы специалисты с огромным опытом, гуру в области сетевой безопасности и специальные технические средства. Кроме того, сбор данных и доказательств - достаточно трудоемкий процесс. Как правило, пострадавшая сторона проводит расследование самостоятельно, либо с помощью компании, специализирующейся на информационной безопасности. Все материалы собираются и систематизируются и лишь затем передаются в органы. При определенной доле везения дело может быть доведено до конца. Пожалуй, самый громкий подобный процесс в России — дело об атаке на серверы платежной системы Assist. Атака состоялась в июле 2010 года, в результате чего в течение 7 дней не функционировала продажа электронных билетов на рейсы Аэрофлота. Пострадавшие (Assist и Аэрофлот) оценили ущерб в 160 млн. рублей. Расследование велось около года при участии сотрудников ФСБ. Сейчас все еще идет суд над подозреваемыми, среди которых два предполагаемых заказчика и два исполнителя. Как видите, даже при наличии серьезного ущерба и привлечения квалифицированных специалистов, наказать злоумышленников достаточно сложно. Но можно. Есть надежда, что чем больше подобных процессов будет у нас в стране, тем меньше будет желающих заработать с помощью проведения атак на бизнес. Пока этого не произошло, спасение утопающих — дело рук самих утопающих. Оценивайте риски, которые вы понесете в случае простоя вашего онлайн-бизнеса и принимайте соразмерные меры защиты. Для кого-то может быть проще смириться с вынужденным выключением магазина на несколько часов или даже дней, чем заниматься его защитой, а для кого-то даже 30 минут простоя обернутся серьезными убытками. Решать вам. "Белый ветер" больше не ЦифровойОт премиум-продавца цифровой техники – к онлайн-гипермаркету бытовой электроники. Итоги 2012 года заставили мультиканальную компанию сменить имидж и обратить больше внимания на онлайн.Из названия компании исчезнет слово "Цифровой", а на прилавках (в первую очередь, виртуальных) - появятся телевизоры с функцией Smart TV и бытовая техника...>>>
Начинаем продажи в регионах: как организовать виртуальный офис? (6)
Итак, вы решили начать продажи не только в "своем", но и в соседних р егионах. Но останавливает цена вопроса и организационная сложность: открыть полноценный офис в новом регионе не так-то просто.Эта статья - о том, какие решения предлагает интернет-телефония для того, чтобы обойти эту проблему...>>>
Таргетированная реклама в соцсетях: работа над ошибками Как сделать таргетированные объявления в соцсетях более эффективными? Мастер-класс дают специалисты одного из ведущих российских интернет-агентств - Registratura.Ru ...>>>
|
ФОРУМ какие запросы наиболее "продающие"?Попробуйте включить "дуру-кампанию" 1. Ключевики. какой-нить кейколлектор выдернет кучу ключей пихаем без особого разбора, я фильтровал только тематически 2. Минусуем очевидно невероятное, я минусовал стандарт (отзывы, форум, ремонт, запчасти, рейтинг и подобное) 3. Объявления можно и покреативить, мне было лень и сделали автоматом 4. ставим одноцент 5. не ограниченный расход по доп фразам 6. снимаем статистику подробно!
через неделю 7. удивляемся какие слова иногда приводят к конверсиям у самого шок был))) :shock:...>>> Негативный отзыв о жуликах из Пекина Chinaros - ужасный ЧинаросЗдравствуйте! Хочу оставить крайне отрицательный отзыв о компании Chinaros из Пекина. Работали с ними по мебели - это какой-то кошмар. Такого идиотского подхода никогда не встречали! Компания чинарос абсолютно не соблюдает ничего из того, что пропагандируют! Всё враньё, начиная от начала работы (они пишут на своём сайте , с 2000 года - мы звонили в консульство России в Пекине, нам сказали что такой компании не было в то время! - самый простой способ проверить это - запросите у них документы и убедитесь, что они не работали в то время - просто враньё!) и заканчивая тем что они берут на себя воп росы проверки качества и доставку мебели. Никакой на самом деле проверки мебели не было. Всё пришло разбитое, растресканое, порваное, на вопросы о гарантиях нам ничего ясного и внятного не сказали. НУ КАК МОЖНО БЫЛО ОТПРАВИТЬ МЕБЕЛЬ БЕЗ ОБРЕШЕТКИ??? Ситуации сложные не решаются совсем, мы ждали 3 месяца когда нам скажут чтото определенное, так и не долждались. Люди в Chinaros полные кри*ины, начиная от разговоров по телефону и выливания нескончаемого потока слов, и заканчивая письмами, которые пишут не люди, а какие-то сумасшедшие. Никакие документы на оплаты и переводы не предоставляют, работают в чёрную, нигде не зарегистрированы, никакой правды от них не добиться ни в суде, ни где. Рекомендую всем внимательно подходить к выбору партнеров в Китае, и уж тем более не работать с жуликами, которые не знают или не хотят знать что такое ответственность и нормальная работа! Даже из их презентации видно, что адекватность у компании отсутствует абсолютно, в контактах указаны какие то большой босс и маленький босс, ну а что в письмах пишут эти "гении" - это тихий ужас. Избегайте работать с компанией Chinaros - это сборище не профессиональных шалопаев и неудачников - никакой профессиональной ориентации у компании нет, только кидалово и развод клиентов. Не тратьте деньги и нервы не ра ботайте с чинарос. У них несколько компании, вот их сайты: http://www.chinaroslogistics.com/ + http://chinamebel.com/ + http://www.chinaros.net/ - все развод. Если кому-то нужна официальная вся информация, пишиете на имэйл, скинем всю переписку, инвойсы, договор, фотографии брака и какую мебель мы получили и расскажем почему не нужно работать с этими жуликами. На всякий случай пишу их контакты в Китае и России: КНР, Пекин, район Чаоян, улица Балиджуан СиЛи, 61, офис 2305. Телефон в Китае: + 86 13910101794 (Павел) Телефон в Санкт-Петербурге: + 7 (812) 3093689 Прямой московский номер: + 8 (499) 7031808 (Павел) e-mail: chinaros1@126.com факс: +86 (10) 85862271 Skype: pavelpavel53...>>> Как заплатить налоги за 1 квартал?Открыл ИП 25 января 2013. Отправлял посылки с наложкой, получал переводы. Вот теперь хочу заплатить 6% с этих переводов. Подскажите, как это делается? Никогда не платил) Уже скоро 25 апреля - надо во всём разобраться)
Есть прибыль за это всемя 184000 руб. 6% = 10 800 руб мне надо заплатить, если я правильно понимаю.
Расскажите, опытные и знающие люди, как и что делать? 1. Где взять квитанцию. 2. Где взять реквизиты для квитанции (как понимаю надо брать реквизиты своей 28 налоговой). 3. Нужно ли что-то делать после того как я оплачу по этой квитанции 10800 руб в Сбербанке? Нужно ли куда нибудь что-то посылать или везти какие-то бумаги? Вроде как я понял, то декларацию только в конце года (или в январе следующего года - уже забыл) надо сдавать. Но если так, то как налоговая узнает, что я что-то там просрочил с оплатой и начислит мне какие-то пенни? Может быть я ничего не платил потому что у меня не было дохода... Объясните.
И ещё! Что делать с ПФ и взносами в него? Когда надо платить и где брать реквизиты?...>>> Осуществление возврата в имЗдравствуйте, планирую открыть им электронной и бытовой техники без офиса. Многие вопросы уже решены, но есть одна проблема, не могу понять как цивилизованным способом принять возврат некондиционного товара. Я имею ввиду что при отсутствии офиса это просто негде сделать, не в метро же. Поделитесь пожалуйста опытом, кто как выходил из данной ситуации?...>>> ищу куда вложить до 5 миллионов рублейКстати, обалденный бизнес сейчас это микрокредитование или займы типа "До получки". Точки растут как грибы, процентная ставка что я вижу на местности это 1% в день. С розданного ляма в месяц 300 тысяч за минусом висяков. Не знаю влезать в это дело или нет в масштабах моего райончика, но очень соблазнительно. Единственно что нужно быть немного психологом и иметь полезные связи, иначе клич по местности "Вася даёт денег и можно не отдавать" быстро распространится и сожрёт весь профит. Есть данные по профиту одной точки (знакомая там менеджер), очень достойно наколачивают. Правда я боюсь что мелким конторам скоро кислород перекроют....>>> Подскажите, у кого лучше арендовать серверНа самом деле вопрос администрирования физических серверов очень даже не прост. Когда примерно 10 лет назад мы начинали, то брали у провайдера услугу полного администрирования сервера. Но это не очень удобно - доступа root при такой услуге не предоставляется.
Далее мы заказывали разовые услуги администрирования, опять же, у провайдера. Потом в компании ISPsystem. Но сейчас они помогают только установить свою панель и решают только вопросы. связанные с работой панели. Услуга администрирования у них есть, и стоит она 200 евро в месяц за сервер.
В итоге сейчас мы администрируем все наши 14 серверов самостоятельно, иногда обращаемся за помощью к экспертам через форумы.
Про компанию systemintegra ничего сказать не могу, их услугами не пользовались.
И еще момент - администратор сервера получает [b:31eded2767]доступ ко всем вашим данным[/b:31eded2767], размещенным на сервере....>>>
|
Комментариев нет:
Отправить комментарий