Хостер прислал вот такое письмо:
С 6 по 8 января из-за ДДоС атак не работали сайты, которые хостятся в украинской локации: наши и ваши. Мы писали новости в соцсетях и панели клиента. Но писали в общем, а в этом письме расскажем все детали: что случилось, что не работало, как мы это исправили, что будем делать дальше и как компенсируем вам простои в работе.
Что случилось и как это повлияло на сайты
Наши сервера атаковали ДДоСом. ДДоС работает так: на сервер отправляют столько запросов, что он не справляется — работает очень медленно или перестает работать.
6 января в 20:41 началась ДДоС атака на один сервер. Атака была типовая. Мы локализовали ее за 15 минут и не придали этому значения, потому что такие атаки бывают регулярно, мы умеем с ними быстро бороться. На следующий день мы поняли, что это была пробная атака, чтобы прощупать слабые места и понять устройство нашей системы.
7 января в 20:10 началась массовая атака по всем сетям в украинской локации. Она пришла из разных источников на разные сети. Атака загрузила наш внешний канал и внешние каналы нашего провайдера емкостью в десять гигабит.
Раньше таких атак не было — наши механизмы борьбы не справились. Потому мы начали искать поставщика защит от ДДоС. Суть защиты: защитники принимают на себя атаку и фильтруют трафик, к нам пропускают только нужный.
Ночью в выходной день нашли один сервис, который ответил на вопросы и сразу настроил услугу. Чтобы включить сервера с защитой от атак, мы перенастроили сеть. Защита включилась и сервера заработали в 2:11 ночи 8 января.
Мы настраивали защиту в спешке, учли не все. Потому ночью не работали модули, которые завязаны на внутреннее взаимодействие наших систем: сипанель, управление услугами и конструктор.
После двух ночи атакующие поменяли схему атаки. Пробовали разные варианты, поняли что атаки не работают и прекратили.
8 янв в 20:42 снова началась атака, из-за нее сайты работали медленнее, но продолжали работать. Тогда атакующие нашли другую цель. Они обнаружили, что мы защитили только клиентские сети, а свои нет — и атаковали. Тогда мы перенастроили свои IP-адреса и спрятали свои сети.
Как сейчас работают сервисы
Сейчас серверы работают под защитой. Будут работать так, пока настраиваем механизм автоматического переключения и убеждаемся, что атаки прекратились.
cPanel, панель клиента и конструктор сайтов работают. Если у вас что-то не работает, напишите в поддержку — разберемся.
Как теперь будем защищаться от атак
Раньше подобных атак не было и наших механизмов хватало для защиты. Теперь будем работать с защитами, которые удержат атаку на один терабит — больший размер атаки собрать сложно.
Защита не будет включена постоянно, потому что она замедляет сайты. Чтобы быстро реагировать на атаки, создаем механизм для автоматического переключения на работу под защитой: защита будет включаться сразу после начала атаки.
Когда и как дадим компенсацию
Простите, пожалуйста, что вечером в выходные дни вам пришлось разбираться с сайтом. Мы понимаем, что это очень неприятно, потому что в это время на сайт не могут попасть люди и вы теряете деньги.
Мы компенсируем простои в работе серверов через два дня, когда станет ясно, что атак больше не будет. Хотим переждать это время, чтобы знать наверняка.
Очень надеемся, что вы останетесь с нами.