Zilele trecute, un cititor ni se plângea prin Inbox-ul de pe Facebook că nu poate accesa site-ul ZONA IT pe la miezul nopții, când încerca și el să intre să ne citească articolele. Știind că am avut câteva lucrări de mentenanță venite de la hosting-ul nostru, l-am liniștit zicându-i că o să treacă, mai ales că tocmai intram să editez un articol în momentul respectiv.
Să fi fost coincidență? Să fi fost karma? Cert este că undeva în jurul orei 20:45, în anul lui Dumnezeu 2023, luna mai, ziua 7, R.I.P., a picat complet și irevocabil site-ul zonait.ro, inclusiv platforma de administrare pentru redacție. IT-ul nostru a fost sumonat în câteva minute, și ca de obicei, a fost pe baricade instant, numai că a durat vreo trei ore până am reușit să stăvilim atacul cât de cât.
Site-ul a stat offline până pe la miezul nopții, timp în care s-au pus în acțiune tot felul de filtre de trafic pentru limitarea problemei. Pot doar să îmi imaginez care au fost motivele pentru o astfel de acțiune, cert este însă că atacul, de tip DDoS (distributed denial of service) a fost printre cele mai mari atacuri de care am auzit în ultima vreme. Vă țineți bine? Deși host-ul nostru găzduiește foarte multe site-uri, numai pagina ZONA IT a fost luată în vizor, fiind lovită de undeva la… 50.000.000 de accesări din partea a nu mai puțin de 75.000 de IP-uri!
Conform raportului de incident elaborat de departamentul de IT al ZONA, în momentele de vârf, serverul a fost asaltat de câteva zeci de mii de request-uri pe secundă – la un asemenea volum nu prea ar fi existat niciun site de mărimea ZONA IT care să rămână în picioare (doar ăștia medii și mari, gen Google, pot să se laude că nu sunt afectați de un astfel de trafic). Atacul a continuat toată noaptea și IT-ul nostru a lucrat împreună cu hosting-ul să putem avea un site funcțional de dimineață, când intrați cei mai mulți dintre voi să ne citiți. Atacurile (și asta ne-a salvat în mare parte) au fost de pe IP-uri de China, Mexic, Rusia, Suedia, Germania, Belgia, Franta, Canada, Belarus (fiind listate aici doar țările cu cele mai multe accesări, nu toate).
Soluția inițială și relativ din topor a fost să limităm accesul la ZONA IT pentru orice IP nu era pe teritoriul României (și mai apoi doar pe cele din țările din care au venit atacurile principale), soluție care chiar dacă ne ținea site-ul în picioare, era mai mult un workaround decât o soluție pe termen lung. Apoi, s-a lucrat la filtrele de pe server și la alte măsuri de securitate despre care nu pot vorbi aici, astfel încât dimineața, deși atacul a continuat, site-ul era funcțional. Și da, am citit recomandările voastre cu Cloudflare și altele, dar vă spun sincer că și cu Cloudflare, la un atac de magnitudinea asta, nu ar fi avut nicio șansă site-ul.
Un nou atac a venit ieri, 10 mai, de data asta pe Store, dar având filtrele deja active, atacul nu a mai avut succes decât parțial, în sensul că a întrerupt temporar comunicarea magazinului cu alți furnizori de servicii conexe.
Rămân în continuare câteva întrebări la care nu am un răspuns. Cine ar fi putut să facă asta? Pot să spun cu un grad destul de mare de siguranță că un astfel de atac necesită resurse (în principal financiare) destul de mari, resurse absolut irosite pe un site care nu este o sursă de venit ridicat, ci mai degrabă un suport pentru canalele de YouTube. Puneți-vă coifurile înapoi în sertar, un eventual concurent comercial (priceput) nu ar fi atacat site-ul ZONA IT, ci direct magazinul online, din prima, iar acela, fiind pe o infrastructură separată, nu a fost afectat în primul atac.
La fel, altcineva, care ar fi vrut să ne facă rău, ar fi putut cel multă să ne dea daună la server sau să ne țină offline pentru o zi-două. Raportul cost-beneficiu este absurd, chiar și în acest caz. Poate fi, și aici e mai mult o glumă, poate fi pur și simplu un mare flex al cuiva care a vrut să își demonstreze superioritatea tehnică. Caz în care, bravo, premiul întai, ești cel mai tare h@X0r din parcare, doar că ai atacat parcarea din spatele blocului. Și acum să îmi pun și eu coiful de staniol și să zic, poate or fi fost rușii, că a vorbit Dan în câteva rânduri de război? Poate chinezii, i-om fi supărat că am zis de telefoanele lor că sunt meh? Măcar de am fi spus asta.
Mai este și varianta mai plictisitoare că este un atac care nu ne vizează doar pe noi, ci și pe alții, într-un pattern pe care nu-l pot eu vedea acum (probabil clienții aceluiași furnizor de servicii sau altceva).
Ce este cert este că un astfel de atac, chiar și în prezența unor măsuri de securitate bine puse la punct, poate îngenunchea 99% din serverele companiilor mici și medii. Spre deosebire de un atac reușit de phishing, un atac DDoS este doar un inconvenient pentru site-uri ca al nostru (site care nu generează pierderi uriașe în downtime), dar mărimea atacului pentru o țintă atât de mică ar trebui să pună pe gânduri administratorii de rețele pentru site-uri mai mari din România.
Cât despre noi, dacă într-o zi nu puteți accesa site-ul ZONA IT, luați o cafea, ieșiți la o țigară și apoi poate aruncați un mesaj pe Facebook, posibil să fim din nou luați în vizor de un atac disproporționat (vizavi de rezultate) din partea unor hackeri cu prea mult timp la dispoziție.
Salutari,
Va urmaresc de ceva timp, de prin 2015-2016 cand va vedeam la TVR… Intre timp am urmat si o cariera in domeniul IT, mai exact administrator de retea/sistem sau cum i se mai zice, SysAdmin.
Pentru atacurile DDoS, ce ati avut voi atac DDoS layer 7, este mandatoriu sa folositi CloudFlare. Probabil daca ati discutat cu cei de la Romarg unde aveti gazduirea v-au specificat acest lucru.
Prin simple reguli de firewall din CloudFlare orice atac L7 poate fi mitigat in cateva secunde fara prea multe batai de cap, apasand un simplu buton numit:”Under attack mode” 🙂
Usor de folosit, eficient, fara costuri aditionale.
Suna mai curand a test pentru un peste mai mare. Sa vada timpii de reactie, solutiile adoptate, modalitati de contracarare a lor …