В Субботу (16 августа 2025) мы зафиксировали атаку на наши сервера, что привело к недоступности сайта в связи с исчерпанием ресурсов.
Хронология активности 16 августа 2025
- 17:48 Начало атаки
- 18:52 Начали разбираться в причинах недоступности ресурса, попытка решить проблему своими силами с использованием штатных инструментов.
- 19:26 Переход под защиту от DDOS, прекращение активности
- 21:05 Атака продолжилась, частичная реакция DDOS защиты
- 21:21 Подключение поддержки
- 21:25 Реакция поддержки
- 21:28 Атака прекратилась
Были и повторные инциденты, которые решались обращение в поддержку от DDOS защиты.
В данный момент активность продолжается, защита не работает, приходиться отслеживать активность самостоятельно и на каждый инцидент писать тикет в поддержку.
Методы
Было зафиксировано два метода, все на 7 уровне OSI:
Постоянный перебор страниц, для того что бы избежать попадания в кеш, из общих признаков реферер:
- https://www.yahoo.ru/
- http://www.baidu.ru/
- https://www.google.ru/
- https://www.yandex.ru/
Постоянные обращения к медленно загружающейся странице (на данный момент - Исправлено)
- /ioc/gs-553-mirai-botnet-iocs_4120
Выводы и решение
Ранее, мы мигрировали на Российскую инфраструктуру в виде собственного шлюза с встроенным WAF, в связи с ограничениям доступа к серверам CloudFlare, который прекрасно справлялся с нагрузкой и обеспечивал эффективную (на тот момент) защиту от угроз.
Анализ показал, что доступные на рынке сервисы защиты не являются аналогами зарубежных сервисов, как по качеству так и по стоимости своих услуг. Взвесив все за и против, нами было принято решение отказаться от использования Российских сервисов защиты.
Мы уже начали процесс переезда под защиту CloudFlare, что в итоге может привести не недоступности ресурса на некоторых провайдерах.
