Агрессивный парсинг страниц
Защитились введением тротлинга по User-Agent. Исключением были роботы-индексаторы
Паресеры начали имитировать User-Agent индексаторов google и Яндекс
Защитились внедрением 2-х этапных RDNS проверок запроса на принадлежность индексаторам
Брутфорс форм авторизации в публичных частях
Защитились введением тротлинга для запросов к формам, позволяющим проверить авторизационные данные
Брутфорс авторизационных данных через мобильные API
Защитились внедрением nginx secure-link для мобильных API
DDoS-атаки (6 месяцев назад) находились в дельте запаса производительности и не оказывали влияния на доступность сайта
Блокировкой активных TOR-эндпоинтов
Блокировкой по сигнатуре User-Agent автоматизированных средств поиска уязвимостей
Тротлинг на запрос страниц из публички с 1 IP
В марте приходили мощные DDoS атаки ~ 11 000 RPS, без возможности выделить IP или сигнатуру User-Agent
Настроили Fail2Ban со следующей механикой работы:
Если IP залетает в лог nginx с указанием срабатыванием тротлинга, то блокируются на 24-часа
Заметили, что те же IP адреса делают http запросы напрямую к IP, и пападают в отдельный лог с ошибкой 403. Эти IP блокируются на 24-часа. Это позволило ускорить блокировку при начале атаки
После специалисты несколько недель наблюдали, что в одно и то же время на сайт приходило ~ 10 000 RPS, но сразу же исчезали. Это было связано с тем, что на протяжении нескольких недель DDoS происходил перманентно и Fail2Ban разблокировал атакующие IP по истечению 24 часов. После чего сразу же блокировал
Вскоре набеги прекратились
Из всех проектов это был самый атакуемый, но подошел к «сезону DDoS» уже подготовленным