Минутка технической информации, хочу поделиться парой технических советов для защиты сайта от DDoS.
Знакомые попросили узнать на каком хостинге находится сайт, закрытый за Cloudflare.
Способ №1. Идем на сайт, регистрируемся. Получаем письмо о подтверждении регистрации.
Идем в сырые заголовки, смотрим на исходящий айпишник. В половине случаев – это будет айпи продакшен-сервера.
Как правильно: Используйте SendGrid или какой-нибудь свой, не привязанный к текущему хостингу relay-сервер. (Да, кстати, можно просто сделать dig
domain.com txt и посмотреть на SPF-запись. Там также может быть прод-сервер).
Способ №2. Идем в гугл и пишем «subdomain scanner». Попадаем, например, на DNSDumpster.
Пишем домен и смотрим на список поддоменов. В половине случаев – находим незакрытый IP.
Способ №2bis. Идем в гугл и пишем «dns history» - возможно анти-DDoS поставили на тот же айпи, что был до этого назначен в истории.
Как правильно:
Меняем все IP, которые светились в DNS на новые.
Закрываем защитой все критические поддомены. Как бы ни хотелось оставить открытым API (анти-DDoS на ура фильтруют легитимные запросы к API) – либо закрываем тоже, либо держим API отдельно, например через прокси.
В процессе чтения вышенаписанного осознаем, что жизнь прекрасна, так как большинству DDoS-еров это не приходит в голову (иначе все бы мы жили в муках).
Если хотите узнать больше советов о том, что еще надо закрыть – вот отличный доклад Вадима Рыбалко из Хабра на нашей конференции Uptime Day:
https://www.youtube.com/watch?v=L8OSHAzMBXY