Привет! Меня зовут Антон Резник и я тот человек, который взвалил на себя миссию пропагандировать здоровый подход к созданию партнерок. Как создатель движка AlterCPA, я каждый день вижу ошибки основателей, из-за которых их бизнесы проваливаются. Так что уже несколько месяцев я веду блог Как создать ПП и не разориться, в котором выдаю уникальную информацию. Не забудь подписаться :)
Рекомендую ознакомиться с предыдущей статьей про DDoS партнерок, чтобы сегодняшний материал вам не пригодился.
В первой части мы говорили, что от грамотной DDoS-атаки, CloudFlare не спасет. Однако, если советы по предостережению не были применены, то остается 2 варианта:
- Выжимать максимум из CloudFlare.
- Плакать и молиться.
Со вторым все прекрасно справляются и без моих советов. Так что здесь поговорим про 6 шагов по борьбе с DDoS-атакой ПП, если из инструментов в наличии только CloudFlare.
Шаг 1. Режим «I’m under attack»
Это самый базовый функционал Клары, который срезает большинство ботового трафика. Он облегчит жизнь система, но при атаке объем часто настолько крупный, что и пара процентов укладывает сервера.
Чтобы включить режим «I’m under attack», нужно открыть в CloudFlare свой домен и на основной странице перевести во включенное положение тумблер «Under Attack Mode»:
Шаг 2. Проверка DNS-записей
DNS-записи — один из ключей к получению реального IP-адреса, что аж никак не нужно во время атаки. Открываем в CloudFlare блок «DNS», жмем на «Records» и проверяем:
- Проксирование записей типов «A», «AAAA», «CNAME». В их строке должна быть иконка оранжевой тучки. Если тучка серая — идем в редактирование и включаем статус «Proxied» вручную;
- У некоторых записей в строке может быть оранжевый восклицательный знак. Обычно тип у таких записей «MX». Их необходимо удалить. Временно, после атаки можно восстановить. Такие записи первым делом сдают реальный адрес сервера. Из превентивных рекомендаций — не держите почтовый сервер там же, где лежат сайты. Для этого лучше завести отдельную виртуальную машину.
Самые токсичные могут создать подобную запись сами с IP-адресом конкурирующей сетки.
Шаг 3. Режим работы SSL
На этом шаге мы заменяем запросы между серверами с правоверного защищенного протокола HTTPS на древний и опасный HTTP. Таким образом мы значительно снизим нагрузку на сервер, ведь подготовка защищенного соединения тоже ест ресурсы. Негативных последствий не будет, общение между серверами и так не требует защищенного протокола.
В блоке «SSL/TLS», жмем «Overview» и устанавливаем режим работы «Flexible».
А вот внешние запросы по HTTP надо отключить, чтобы теперь самим атакующим пришлось тратить больше ресурса за бомбежку тяжелыми запросами по HTTPS. Для этого в том же пункте «SSL/TLS» жмем «Edge Certificates» и включаем «Always use HTTPS».
Также для удобства можно включить «Automatic HTTPS rewrites».
Теперь за SSL-соединение отвечает только CloudFlare. Это значительно снизит процент успешных запросов от ботов к серверу.
Шаг 4. Режим борьбы с ботами
У CloudFlare есть свои алгоритмы по определению ботов. Мы можем заставить систему не допускать их всех к сайту. Это заденет и полезных ботов, например тех, что индексируют страницы в поисковиках. Однако во время атаки нам не до погони за местом в топе ранжирования.
В разделе «Security» кликаем на «Bots» и переводим тумблер «Bot Fight Mode» во включенное положение.
Шаг 5. Уровень защиты
К этому пункту можно обратиться, когда пик атаки уже позади, чтобы повысить удобство для юзеров и снизить процент отказов, потери живого трафика. Из раздела «Security» переходим в «Settings» и вместо «I’m Under Attack!» указываем степень защиты «High». До конца атаки строго нельзя выбирать защиту «Medium» или «Low».
Шаг 6. Мелочи и тонкости
На этом этапе, из основного сделано уже все возможное. Вероятно, сайт начал хотя бы иногда открываться у некоторых юзеров, если атака сильная или уже стабильно работает, если атакой занимались школьники-бездельники.
Вот еще несколько небольших действий, которые стоит выполнить:
- Включить отображение страниц из кэша при нерабочем сервере. Для этого в блоке «Cache» идем в «Configuration» и включаем «Always Online™»;
- Установить в «Standard» режим кэширования, а заодно проверить, чтобы время не было менее часа, лучше поставить сутки;
- В разделе «Speed» нужно перейти к странице «Optimization» и включить автоматическую минификацию ресурсов всех типов.
Вывод
От многих атак эти советы вас спасут как минимум частично, как максимум полностью. Но при грамотном DDoS, этого будет мало. Потому еще раз рекомендую прочитать первый мой пост по этой теме и озаботиться безопасностью сайта сейчас же.
Заходите в мой блог, чтобы не пропустить выход статей. Там можно почитать много чего полезного. Например, «Как найти контакт прямого крипто-рекла за 5 минут по ссылке автологина».
