Пока не взломали

Семейный онлайн-бизнес, небольшой сайт, внезапно начинает захлёбываться. Заходит в логи — 400 000 уникальных IP за несколько часов колотят по главной странице. Для контекста: у них обычно 2-3 тысячи посетителей в день. Первая реакция — «Может это вирусный контент? Может нас кто-то упомянул?» Проверяет реферреры — тишина. Проверяет user agents — каша из Firefox, Chrome, Safari, всё как у людей. Вот только люди так не ходят: по 50 запросов в секунду с одного IP к одной и той же странице. Админ начинает банить через fail2ban. Через час понимает, что это как вычерпывать океан ложкой — IP меняются быстрее, чем он успевает добавлять правила...

1 неделю назад

Годная дискуссия на r/selfhosted: человек хочет хостить майнкрафт сервер дома на своём железе и спрашивает: «Как защититься от DDoS?» Ответы

в комментариях — квинтэссенция того, почему selfhosting и публичные сервисы живут в разных вселенных. Один юзер честно объясняет: «Бро, если кто-то захочет тебя положить — он положит. У тебя домашний канал 100-500 Мбит? Ботнет может гнать 100+ Гбит. Game over». Другой добавляет: «Cloudflare free tier — это единственный способ. Спрячь origin IP за прокси, молись чтобы не слили настоящий». Но самый вкусный комментарий от чувака, который попробовал: поднял сайт дома, через неделю словил атаку. Не какую-то терабитную историю — всего 2 Гбит UDP flood. Его домашний роутер от провайдера просто выключился от перегрева, пытаясь обработать миллионы пакетов в секунду...

1 неделю назад

Защита сайта от DDoS на VPS, костыли, которые работают

Наконец-то дождались разговора по существу. Давайте разберем, что реально работает при защите от DDoS на типичных VPS, где канал — это не терабиты из презентаций, а скромные 100 Мбит–1 Гбит или 10 Гбит в лучшем случае. Начнем с неприятной правды: fail2ban + iptables — это защита от мусора, а не от DDoS. Когда у вас 100 Мбит канал и начинается даже небольшой UDP-флуд на 150–200 Мбит, fail2ban вообще ничего не успеет забанить — канал уже забит, пакеты не доходят до приложения, логи не пишутся. Fail2ban...

1 неделю назад

DDoS с русским акцентом

В штатах сейчас шумно вокруг сайта, где доксили (сливали данные) агентов ICE (иммиграционная полиция). Ресурс лег под мощным DDoS-ом. Админы жалуются прессе, что атака «сложная» и идет через российские прокси-серверы, из-за чего «невозможно отследить источник». Мы с вами знаем, как это переводится: «мы сэкономили на нормальном Scrubbing-центре и нас смыло обычным ботнетом». Использование российских IP — это классика жанра для маскировки, а не доказательство «руки Кремля». Но кейс показательный:...

2 недели назад

n8n: Автоматизируй это (и отдай шелл

) Кто тут любит low-code и n8n для связки сервисов? У меня для вас плохие новости. В популярных версиях нашли связку уязвимостей, которая превращает ваш удобный автоматизатор в решето. Суть в вебхуках: CVE-2026-21858 (кривая валидация ввода) в комбинации с CVE-2026-21877 (инъекция кода). Работает классически: атакующий шлёт специально сформированный запрос на вебхук, парсер n8n давится, но исполняет код. PoC уже гуляет по сети...

2 недели назад

Новый рекорд от ботнета AISURU

Cloudflare отбил рекордную атаку мощностью 29,7 Тбит/с — это новый мировой максимум, который длился всего 69 секунд. За этим стоит ботнет AISURU, состоящий из 1–4 миллионов устройств, который запускает атаки выше 1 Тбит/с в среднем 14 раз в день. Самое неприятное: куски этого ботнета продаются as-a-service за несколько сотен-тысяч долларов, то есть любой желающий может устроить хаос национального масштаба, положив магистральные каналы и лишив доступа к интернету миллионы пользователей...

3 недели назад

Carpet bombing — когда бьют по всему сразу

Carpet bombing: вместо классического “весь трафик на один IP” атакующие размазывают умеренную нагрузку по сотням или тысячам адресов одновременно. Твои пороги per-destination молчат, потому что на каждый отдельный хост идёт условно легитимный объём, но суммарно инфраструктура всё равно схлопывается под весом. Для телекома и банков это особенно больно, потому что классические анти-DDoS решения настроены детектить “острые пики”, а тут ковровая бомбардировка без явных выбросов. Параллельно расцвели атаки через амплификацию:...

3 недели назад

Null-route: когда датацентр сам тебя выключает

Есть такая неприятная штука в DDoS — null-routing, или blackhole. Звучит как из киберпанка, а на деле это просто провайдер отрубает твой IP от своей сети, чтобы спасти остальных соседей по стойке. Механика простая: идёт мощный UDP или SYN-флуд прямо на IP твоего сайта, весь этот мусор забивает каналы датацентра, сервер начинает тормозить, потом вылетает 503. Если у тебя нет защиты на входе, провайдер видит, что твой адрес сжирает весь аплинк и мешает другим клиентам — и просто отправляет весь трафик к тебе в “чёрную дыру”. Технически IP остаётся в таблицах маршрутизации, но физически весь трафик уходит в никуда...

3 недели назад

Cloudflare всё-таки «не отпустило», а замену искать негде Ситуация на рынке защиты от DDoS в РФ сейчас выглядит, мягко говоря, грустно. Аналогов «оранжевому облаку» на горизонте не видно, а то, что есть — малый бизнес просто не потянет. Судите сами: Входной порог: Самый дешевый тариф у местных вендоров — около 15к/мес. И это, по сути, демо-версия: поддержки не ждите, гарантий тоже особо нет. Реальная защита: Хочешь, чтобы действительно работало? Готовь от 50к/мес. Складывается стойкое ощущение какого-то картельного сговора. Будто рынок специально зачистили, чтобы обеспечить крупных игроков жирными чеками. Хотя мы понимаем реальную причину: за Cloudflare годами пряталась масса серых сайтов, бегающих от РКН. В итоге борьба с ними ударила по всем. Молодцы, конечно, но результат один: в России до сих пор нет достойного прокси с WAF за адекватные деньги. Ниша пустует, а малый бизнес остался один на один с атаками.

3 недели назад

Массовый сбой сайтов под Cloudflare в России

Сегодня утром пользователи в России столкнулись с проблемами доступа к сайтам, использующим инфраструктуру Cloudflare. Ошибки проявляются как таймауты соединений, а через VPN ресурсы открываются без проблем, что указывает на возможные блокировки со стороны Роскомнадзора (РКН). Причины сбоя География и масштаб Рекомендации Cloudflare пока не прокомментировал ситуацию...

10 месяцев назад

Влияние искусственного интеллекта на повышение качества и количества DDoS-атак

Искусственный интеллект кардинально меняет ландшафт кибербезопасности, особенно в области DDoS-атак (распределенных атак отказа в обслуживании). Последние исследования демонстрируют двойственность роли AI: с одной стороны, современные алгоритмы значительно повышают эффективность обнаружения и предотвращения атак с точностью выше 91%, а с другой — создают новые векторы угроз, позволяя злоумышленникам превращать обычные запросы к системам искусственного интеллекта в масштабные DDoS-атаки. Особую озабоченность...

10 месяцев назад

Как заблокировать ботов Biterika Grupp OOO

Biterika — самый крупный российский продавец прокси для бото-ферм, поэтому в Метрике боты из этой сети встречаются чаще всего. Посещения ботов Битерики может серьезно повлиять на рейтинг вашего сайта. Они искажают поведенческий фактор и не приносят реальной ценности. В поисковой выдаче это может привести к существенному снижению позиций вашего ресурса. Чтобы заблокировать AS35048 Biterika необязательно создавать правило. Переходим на вкладку Tools в Security - WAF и добавляем Битерику в блок, как на скриншоте: Правило для ...

1 год назад