DDoS अटैक ऑन क्लास सेंट्रल: मिटिगेशन, SEO इम्पैक्ट, एंड कॉस्ट्स
एक हमलावर ने साइट को 36 घंटों के लिए ऑफ़लाइन रखते हुए क्लास सेंट्रल 200M नकली उपयोगकर्ता भेजे। यहां बताया गया है कि यह कैसे नीचे चला गया।
मैंने ए सुनाrumbling- यह मेरा फोन था जो भनभना रहा था: कॉल, मैसेज, सुस्त नोटिफिकेशन।क्लास सेंट्रलवेबसाइट डाउन थी। इसे लाखों हिट्स मिल रहे थे, जिससे यह सभी के लिए अनुपयोगी हो गया था।
बाद में, हमें पता चला कि यह एक थाफिरौती डीडीओएसहमला, और वह कम से कम एक ऑनलाइन पाठ्यक्रम प्रदाता (जो नियमित पाठकरिपोर्टके बारे में पता होगा) पर भी हमला किया गया था। हमलावर ने बिटकॉइन में $ 5,000 के लिए "सभी समस्याओं के समाधान फ़ाइल" के लिए कहा।
समय इससे बुरा नहीं हो सकता था। मैं ग्वाटेमाला में थाMOOCs के साथ सीखनासम्मेलन। मैंने सिर्फ एक मुख्य वक्ता दिया था (यहाँ स्लाइड्स) और कुछ घंटे बाद एक पैनल में भाग लेने के लिए निर्धारित किया गया था। और हमारे सबसे वरिष्ठ इंजीनियर अपने गृहनगर जा रहे थे और एक सप्ताह के लिए रवाना हो गए।
क्लास सेंट्रल36 घंटे के लिए नीचे था क्योंकि हमने इसे वापस लाने के लिए काम किया था। हमलावर हमारी हर हरकत पर नजर रख रहा था और उसका जवाब दे रहा था, यहां तक कि हमें संदेश भी भेज रहा था कि हमारी कोशिशें बेकार गईं।
यह कहानी है कि हमने हमले को कैसे कम किया, क्या काम किया और क्या नहीं किया, एसईओ प्रभाव (लघु और दीर्घकालिक), साथ ही साथ यह हमें कितना खर्च करता है।
हमला: कैसे और क्यों
जैसे ही साइट नीचे गई, हमने तुरंत सुराग ढूंढना शुरू कर दिया। हमने हाल ही में बुनियादी ढाँचे में कुछ सुधार किए हैं, इसलिए हमारा पहला विचार यह था कि शायद हमने एक सेटिंग गड़बड़ कर दी हो।
लेकिन लॉग्स को देखने के बाद, यह स्पष्ट हो गया कि हम भारी हमले के अधीन थे, जिसके पैमाने का हमें क्लाउडफ्लेयर पर स्विच करने के बाद ही पता चलेगा।
हमला एक "फिरौती" हैडीडीओएस हमला।” सीधे शब्दों में कहें, लाखों बॉट हर घंटे क्लास सेंट्रल होमपेज पर जाने लगे। हमारे सर्वर वास्तविक मनुष्यों और बॉट्स के बीच अंतर नहीं कर सके, और हम एक समय में केवल एक निश्चित संख्या में उपयोगकर्ताओं को सेवा दे सकते हैं।
नतीजतन, हम वास्तविक लोगों को दूर कर रहे थे, क्योंकि हम बॉट्स की सेवा में व्यस्त थे। व्यावहारिक रूप से, साइट सभी के लिए अनुपयोगी थी। अधिक जानने के लिए, क्लाउडफ्लेयर में कुछ हैंइस विषय पर सर्वश्रेष्ठ व्याख्याता.
कुछ घंटों बाद हमें एहसास हुआ कि हमें क्यों निशाना बनाया जा रहा है। हमलावर जॉन एवी जुनैद (ट्विटर हैंडल@ एवी 24435208)मुझे मेरे व्यक्तिगत ट्विटर, क्लास सेंट्रल के ट्विटर, साथ ही हमारे संपर्क ईमेल पर संदेश भेजा था। यहाँ संदेश है:
उस व्यक्ति ने संकेत दिया कि उन्होंने "एसक्यूएल इंजेक्शन भेद्यता" की पहचान की है और इसका उपयोग "अपाचे को क्रैश" करने के लिए किया है। यह एक स्पष्ट झूठ था। लॉग स्पष्ट थे: यह एक DDoS हमला था। साथ ही, क्लास सेंट्रल उपयोग नहीं करता हैअमेरिका की एक मूल जनजातिवेब सर्वर।
लेकिन मैं कल्पना कर सकता हूं कि कम तकनीकी संसाधनों वाली छोटी साइटें इसके झांसे में आ सकती हैं। जैसा कि हमलावर ने उल्लेख किया था, वास्तविक खतरा "अपनी साइट को महीनों के लिए बंद रखना" था। यहां तक कि अगर आप $ 5,000 का भुगतान करते हैं, तो कोई कारण नहीं है कि हमलावर रुक जाएगा या बाद में फिर से वही काम नहीं करेगा।
18 घंटे बाद, मुझे हमलावर का एक और संदेश मिला।
हमलावर ने देखा कि हम क्लाउडफ्लेयर (बाद में उस पर और अधिक) पर स्विच कर चुके हैं और यह कहते हुए अपनी मूल स्क्रिप्ट पर टिके हुए हैं कि यह "सॉफ़्टवेयर समस्या" थी। लेकिन यहाँ, उन्होंने एक और खतरे की ओर इशारा किया: कि हम "Google रैंकिंग खो सकते हैं।"
यह वास्तव में हमारे साथ पहले हुआ था। पिछले साल, हमने अपना आधा ट्रैफ़िक खो दिया जब Google ने अपने खोज एल्गोरिथम में बदलाव किया। डेढ़ साल बाद भी हम पूरी तरह से ठीक नहीं हुए हैं। इस साल की शुरुआत में, जब 2U शेयर की कीमत आधी हो गई थी, मैंने अनुमान लगाया थाGoogle का एल्गोरिथम परिवर्तन आंशिक रूप से जिम्मेदार हो सकता है.
मैंने इसके बारे में भी लिखा हैएसईओ सामग्री रणनीतिकौरसेरा, मास्टरक्लास और एडएक्स जैसे शीर्ष प्लेटफार्मों में से। भले ही हमलावर ने स्पष्ट रूप से इसका उल्लेख नहीं किया हो, यह जोखिम पहले से ही मेरे दिमाग में था। यदि आप नीचे स्क्रॉल करते हैं, तो आप पाएंगे कि हमले ने हमारे SEO को कैसे प्रभावित किया।
डीडीओएस शमन
एक बार जब हमें पता चला कि यह एक DDoS हमला था, तो हमने सबसे पहले हमले में एक पैटर्न खोजने की कोशिश की - उदाहरण के लिए, कुछउपयोगकर्ता एजेंट या आईपी पता - वास्तविक उपयोगकर्ताओं को बॉट्स से अलग करने और हमलावरों को फ़िल्टर करने का प्रयास करने के लिए।
लेकिन हमने जल्द ही महसूस किया कि यह हमला अधिक परिष्कृत था और विभिन्न प्रकार के आईपी पतों का इस्तेमाल किया।
हमने देखा कि हमलावर सारा ट्रैफिक हमारे होमपेज पर भेज रहा था।इसलिए हमने मुखपृष्ठ पर एक रखरखाव पृष्ठ दिखाना शुरू किया, और इससे हमें शेष साइट को ऊपर लाने में मदद मिली।
एक अन्य तरकीब जो हमने आजमाई वह थी होमपेज को दूसरे URL पर क्लोन करना और अनुरक्षण पृष्ठ से क्लोन किए गए होमपेज पर वास्तविक ट्रैफ़िक को पुनर्निर्देशित करने के लिए जावास्क्रिप्ट का उपयोग करना।मूल रूप से, बॉट रखरखाव पृष्ठ देखेंगे, लेकिन वास्तविक उपयोगकर्ता वैकल्पिक मुखपृष्ठ पर पुनर्निर्देशित किए जाने से पहले केवल संक्षिप्त रूप से रखरखाव पृष्ठ देखेंगे।
लेकिन जल्द ही हमलावर को एहसास हो गया कि क्या हो रहा है और उसने अन्य पेजों पर भी हमला करना शुरू कर दिया। तभी हमें अहसास हुआ कि हमें जानबूझकर निशाना बनाया जा रहा है। इस बिंदु पर, हमने अभी तक ट्विटर/ईमेल संदेशों को नहीं देखा था।
जैसा कि मैंने पहले उल्लेख किया था, उस समय, मैं एक सम्मेलन के लिए ग्वाटेमाला में था और अपने सहयोगी के साथ दूरस्थ रूप से काम कर रहा था@suparn, जो भारत में था। जब यह सब शुरू हुआ तब भारत में लगभग 2AM थे। और 24 घंटे बाद, सुपर्ण को उसी सम्मेलन में दो दूरस्थ प्रस्तुतियाँ देनी थीं। कहने के लिए पर्याप्त है, उसे मुश्किल से कोई नींद आई।
हमने तेजी से महसूस किया कि यह हम अपने दम पर संभालने से कहीं अधिक है। DDoS शमन की दुनिया में, एक नाम है (सार्वजनिक धारणा के संदर्भ में, कम से कम) जो सबसे ऊपर है:बादल भड़कना. अपने स्वयं के प्रयासों के विफल होने के बाद, हमने अंततः Cloudflare पर स्विच करने का निर्णय लिया।
बादल भड़कनाबचाव के लिए सुपरन
लेकिन Cloudflare पर स्विच करने के बाद भी, बॉट अभी भी काम कर रहे थे। इस बिंदु तक मेरी धारणा यह थी कि क्लाउडफ्लेयर जादुई रूप से सभी बॉट्स का पता लगाएगा और उन्हें ब्लॉक कर देगा। मैं गलत था।
हमें क्लाउडफ्लेयर को स्पष्ट रूप से कॉन्फ़िगर करना था, सभी बॉट्स को प्रभावी ढंग से रोकने के लिए सेटिंग को हमले के अनुरूप बनाना था। यह कुछ ऐसा है जिससे सुपर्ण और मैं दोनों वास्तव में परिचित नहीं थे। जब मैंकी तैनातीलिंक्डइन पर क्लास सेंट्रल के हमले के बारे में, एक क्लाउडफ्लेयर इंजीनियर मेरे पास पहुंचा और मुझे एक अकाउंट एक्जीक्यूटिव से जोड़ा।
अकाउंट एक्जीक्यूटिव ने हमें क्लाउडफ्लेयर वेबसाइट पर कुछ मददगार संसाधनों के बारे में बताया, जिन तरीकों को हम आजमा सकते हैं। यह पूछे जाने पर कि क्या वे क्लाउडफ्लेयर को कॉन्फ़िगर करने में हमारी मदद कर सकते हैं, हमें पता चला कि कम से कम 1 साल की प्रतिबद्धता के साथ हमें प्रति माह $5,000 का खर्च आएगा। ईमानदारी से, हमलावर की कीमत अधिक उचित लग रही थी।
लेकिन सारी उम्मीद नहीं टूटी। जब आप मुश्किल में होते हैं, तो आप कभी-कभी अपनी बेड़ियों को तोड़ने और तेजी से लेवल अप करने में सक्षम होते हैं। इससे बुरा क्या हो सकता है? साइट पहले ही डाउन हो चुकी थी।
सुपर्ण ने वैसा ही किया। यह लगभग ऐसा था जैसे भविष्य का कोई सुपरान वर्तमान सुपरन का मार्गदर्शन कर रहा हो।
यहां तक कि क्लाउडफ्लेयर पर स्विच करने जैसी कोई चीज भी आमतौर पर हमें परीक्षण और तैनात करने में हफ्तों का समय लेती है। इसके बजाय, यह 30 मिनट से भी कम समय में किया गया था। बहुत सारे परीक्षण और त्रुटि के बाद, नींद से वंचित सुपरन ने बॉट्स को ब्लॉक करने के लिए सही क्लाउडफ्लेयर कॉन्फ़िगरेशन का पता लगाया, जबकि वास्तविक मनुष्यों को क्लास सेंट्रल पर जाने की अनुमति दी।
क्लाउडफ्लेयर में रहस्य निहित हैदर सीमितऔरआईपी एक्सेसनियम। आखिरकार हमलावर पीछे हट गया। हमले के शुरू होने के करीब 36 घंटे बाद, क्लास सेंट्रल वापस ऑनलाइन और स्थिर हो गया था।
लागत
हमारे द्वारा प्रदान किए जाने वाले ट्रैफ़िक की मात्रा की तुलना में क्लास सेंट्रल परिचालन लागत अपेक्षाकृत कम है। लेकिन केवल 36 घंटों में, हमारे Google क्लाउड की लागत महीने के लिए दोगुनी हो जाती है। मूल रूप से बॉट ट्रैफ़िक की उच्च मात्रा के कारण हमारी नेटवर्किंग लागत आसमान छू गई।
संक्षेप में, बॉट ट्रैफिक ने हमें प्रति दिन $1,000 खर्च किया, भले ही क्लास सेंट्रल इस समय अधिकांश समय नीचे था। यह इस DDoS हमले के सबसे डरावने पहलुओं में से एक था और शायद यही कारण भी है कि ये हमले प्रभावी हो सकते हैं।
एसईओ प्रभाव
सौभाग्य से, हमारे SEO पर कोई दीर्घकालिक प्रभाव नहीं पड़ा। हमले के तुरंत बाद वाले सप्ताह में खोज ट्रैफ़िक में कमी आई थी, लेकिन इसके बाद से यह वापस आ गया है और ऊपर जाना जारी रखा है।
एक चीज़ जो मैंने देखी वह थी Google से क्रॉल अनुरोधों में भारी गिरावट। यह स्पष्ट नहीं है कि यह हमले के कारण है या क्लाउडफ्लेयर पर स्विच करने के कारण है। लेकिन यह नजर रखने के लिए कुछ है।
DDoS हमले कुछ ऐसी कंपनियां हैं जिनके लिए कई कंपनियां तैयारी करती हैं। हमारे मामले में, यह आग से परीक्षण था, मुश्किल समय से जटिल। हमारे पास लीन ऑपरेशंस हैं, इसलिए एक जस्ट-इन-टाइम दृष्टिकोण हमारे लिए काम करता है। लेकिन कई स्टार्टअप्स के लिए डाउनटाइम, भले ही छोटा हो, के गंभीर परिणाम हो सकते हैं। यदि आप उस स्थिति में हैं, तो पूर्वव्यापी उपायों की संभावना एक अच्छा विचार है - खासकर यदि आपकी टीम में कोई सुपरन नहीं है।
जेफ विनचेल