❢ Проблемы с доступом к сайту из-за DDoS-атаки

Последнее время наш сайт очень сильно тормозит — откликается и загружает страницы с большими задержками. Это связано с тем, что мы в настоящий момент переживаем DDoS-атаку, которая создает избыточную нагрузку на сервер.

К сожалению, мы оказались в вилке между техническими и политическими ограничениями. Наша основная защита от атак реализована на Cloudflare — сервисе мирового масштаба, услугами которого пользуется около 40% бизнесов на планете. Clousflare в России явочным порядком блокируется Роскомнадзором (я писал об этом подробно прошлым летом). Из-за этого включение защиты от атак на Cloudflare приводит к тому, что сайт перестает открываться в половине городов РФ. Чтобы он оставался доступным для всех, мы вынуждены держать защиту отключенной — из-за чего мы все и чувствуем эти тормоза. Ситуация патовая. Дружно говорим спасибо РКН!

Чтобы как-то справиться с этой ситуацией, нам приходится полностью перенести управление DNS и защиту сайта с Cloudflare на другую площадку, которая (пока?) стабильно работает в России и при этом способна отражать атаки. К сожалению для нас, уже не бесплатно.

Такой перенос требует смены NS-адресов у нашего регистратора. Это стандартная, но не мгновенная процедура: обновление записей в сети занимает время. Мы надеемся, что у нас получится завершить все работы в течение суток. Пока обновляются данные DNS, сайт может быть временно недоступен или работать с перебоями у разных провайдеров. Не передать словами все те эмоции, которые мы испытываем по этому поводу.

Я вот не в РФ, а у меня вчера тоже сайт очень медленно работал

Напрямую не открывается

402: Я вот не в РФ, а у меня вчера тоже сайт очень медленно работал

Так он у всех медленно работал, я и написал. Была DDoS атака, она грузила сервер, тот тупил с ответами, из какой бы страны ни приходили запросы. Проблемы начинались в РФ, как только мы включили защиту от атак. Тогда во всем мире сайт начинал летать (работала защита, DDoS переставал нагружать сервер и он быстро откликался), но в РФ сайт становился недоступен примерно для каждого второго, потому что тут глушат трафик из Cloudflare. Потому мы не могли включить защиту — пусть медленно, но у всех, чем быстро, но только у половины.

Сегодня мы перетащили DNS на другую площадку, но защиту включать не стали. Нам просто нее потянуть их ценник. Они берут евро за гиг трафика. В феврале у нас был трафик 65 гигов. В случае DDoS атак он взлетает в разы. Да, до сайта спам не доедет, но счётчик накрутит. А это суммы соизмеримые со всеми доходами в валюте. Cloudflare — огромная корпорация, которая может себе позволить роскошь предоставлять такой сервис бесплатно. Ты же через них в первую очередь попадаешь в CDN, content delivery network, распределенную по миру сеть доставки контента, вот что круто! А защита от атак — это так, приятный бонус. Но их душат у нас. А кроме них больше никто.

Атака стихла, мы потратили полдня на переезд, но ситуация лучше не стала. В РФ, где методично разрушается интернет, инфраструктуру переносить не хотим. В случае чебуреета сайт будет хотя бы виден в мире.

Дремучий: Напрямую не открывается

К сожалению, я вчера проигнорировал это сообщение. Точнее, подумал, что это остаточное явление, потому что у меня без КВН все открывалось. И вот тут и крылась основная проблема, из-за которой вместо ожидаемого улучшения сайт на сутки почти полностью отвалился для пользователей из РФ без КВН.

История событий такова.

Мы пытались защититься от DDoS-атак, включили защиту на Cloudflare, попали под его блокировку в РФ и переехали с него на новую площадку Gcore. Чтобы защита на новом месте заработала, нам пришлось в DNS прописать конкретный IP-адрес сайта (что вообще-то неправильно, потому что Render, на котором работает наше основное приложение, ротирует адреса для распределения нагрузки). К сожалению, этот адрес находится в черных списках РКН — он заблокирован за компанию с каким-то другим ресурсом. Мы об этом знали и в свое время именно поэтому прикрывались CloudFlare. Но он был одним из целого веера, поэтому эта блокировка не была тотальной. А тут мы по ошибке из всех возможных взяли именно его.

Как случилось, что мы не заметили это сразу? Сыграло злое совпадение. Антон-то вовсе смотрит на сайт снаружи, для него эти блокировки ни о чем. А со мной сыграл шутку кэш DNS: сайт продолжал открываться не только у меня по старым адресам, но и «прозвон» доступности сайта из разных городов РФ тоже показывал хороший доступ, пользуясь кэшем с «правильной» версией, создавая иллюзию стабильности. А предупреждение Дремучего я списал на остаточные явления — ведь и мой опыт, и проверка доступности показывали, что все ОК.

Мы продолжаем процесс поиска защищенного канала. Придется, видимо, поднимать свой прокси, чтобы обойти эту идиотскую ковровую блокировку. Это увеличит задержки и снизит откликаемость сайта, но что может быть лучше рукотворной проблемы и потраченного времени с плясками с бубном вокруг ее решения. Жить стало лучше, товарищи, жить стало веселей! Больше блокировок, больше геморроя, больше проблем. Борьба закаляет нас и делает сильнее. Ух!