10 grudnia 2013

Zabezpieczenie anty-DDOS dla wszystkich sklepów IAI

Mając na uwagę ochronę sklepów internetowych IAI, zwłaszcza w okresie przedświątecznego szczytu zakupowego, wprowadziliśmy program ochrony naszych klientów przed działaniami wrogimi mającymi na celu paraliżowanie stron internetowych w sposób świadomy lub nie (np. konkurencja która napisała skaner cen).

Zmiany podyktowane są licznymi zgłoszeniami o chwilowych przeciążeniach stron. Wynikają one często z aktywności skanerów pisanych np. przez konurentów, którzy doprowadzają do wywoływania nawet kilkuset żądań na minutę. Nie wszystkie respektują dodanie blokady w pliku robots.txt (patrz wiadomość z 20 października "Zaczniemy blokować roboty skanerów cen". Często sklepy internetowe bez specjalistycznej wiedzy i narzędzi, sklepy internetowe nie są w stanie analizować logów serwera (patrz wiadomość "Można pobierać logi serwera na dysk komputera") i dodawać blokady adresów IP (patrz wiadomość "Możliwość blokowania wybranych adresów IP").

Wynikiem lat doświadczeń w tej kwestii było stworzenie w pełni automatycznego narzędzia, które zabezpiecza sklepy internetowe przed aktywnością ataków typu DOS lub DDOS z zastrzeżeniem, że w drugim przypadku, gdy wykorzystywany jest botnet i z jednego adresu IP generowane są żądania rzadziej niż raz na sekundę, ale w ataku bierze udział wiele tysięcy adresów IP, to zabezpieczenie nie będzie wystarczające. Warto podkreślić, że pod tym względem IAI dba wyjątkowo o bezpieczeństwo i dostępność sklepów, znacząco wyprzedzając trendy na rynku. Prowadząc nasze działania, tworzymy narzędzia dedykowane przede wszystkim sklepom internetowym, a to wymaga innego podejścia niż w przypadku np. zwykłych stron.

Rozwiązaniem, jakie wprowadziliśmy jest analizator ilości otwieranych stron dynamicznych na minutę. Wartość ta może być zmieniona przez operatora sklepu, jednak domyślnie wynosi ona 60 stron na minutę (średnio 1 strona na sekundę). Jest to wartość pozornie niska, jednak wykraczająca znacznie poza możliwości szybkiego klikania przez człowieka. Jeżeli system wykryje większą częstotoliwość otwierania stron, blokuje dany adres IP na określoną ilość minut (domyślnie 10). Obie wartości można zmienić lub wyłączyć moduł całkowicie w panelu administracyjnym sklepu w zakładce ADMINISTRACJA \ Zarządzanie domenami i usługami systemowymi sklepu \ Zabezpieczenie przed atakami DDOS oraz skanerami cen.

Komunikat błędu wyświetlany po przekroczeniu limitu to "Too Many Requests. (Err: 4-NGX-0-429)" zwracany z kodem HTTP 429. Jest to kod, który pozwoli uniknąć również zbyt szybkiej indeksacji np. przez robota Google, bez wpływania ujemnie na pozycjonowanie. Gorzej bowiem dla pozycji w Google, gdy strona zwracana jest zbyt wolno lub wcale, niż jeżeli serwer grzecznie poinformuje robota, że zbyt szybko próbuje indeksować strony. Ograniczenie nie dotyczy API i panelu administracyjnego.

Zrzut ekranowy z domyślnymi ustawieniami z Zabezpieczenie przed atakami DDOS oraz skanerami cen