Корпорациям и финтеху не впервой сталкиваться с DDoS. Однако под удар всё чаще попадают небольшие проекты, неспособные эффективно защитить себя. Рассказываем, что собой представляет малый и средний интернет, с какими DDoS-атаками ему приходится иметь дело, и какие есть варианты для защиты.

Что такое малый интернет

Единого определения «малого интернета» не существует, а в профессиональной среде это явление понимают по-разному. Например, Арал Балкан, автор идеи Small Web и открытого решения Kitten для разработки сайтов, относит к малому интернету минималистичные web0-сервисы, которыми владеют и управляют малочисленные команды специалистов. 

В целом Web0-движение, участником которого является Балкан, подразумевает децентрализованную работу таких проектов, но без блокчейн-технологий (хотя и с открытыми лицензиями).

Похожих принципов придерживаются представители IndieWeb-движения, которые относят к малому интернету как небольшие решения независимых специалистов, так и относительно известные сервисы и платформы. Причем для «индивебовцев» также важна открытость разработок, за счет которой небольшие проекты могут заинтересовать и привлечь сторонних специалистов, ускоряя свое развитие.

Другие видят в «малом вебе» своего рода перерождение «теплых ламповых» сайтов раннего интернета. Такие проекты не только походят на предшественников визуально, но и часто поддерживаются разработчиками ради самой идеи. Именно отсутствие рекламы и всевозможной «монетизации» привлекает к ним дополнительный интерес.

К «малому интернету» можно отнести и другие проекты. Например, соц. сети и платформы для совместной разработки вроде SourceHut и Codeberg, представляющие альтернативу площадкам крупных вендоров. По аналогии — в сфере технологических медиа «относительно малый интернет» представляют такие ресурсы, как Hacker News.

В целом же проекты small web различаются по своим целям, масштабу и числу пользователей. Причем по последнему параметру многие из них вполне можно причислить и к «среднему вебу». При этом большинство таких площадок и сервисов поддерживаются сравнительно компактными командами, у которых часто не хватает не только ресурсов, но и компетенций, чтобы защищать проекты от DDoS-атак.

Малыши под угрозой

DDoS-атаки с каждым годом становятся мощнее, их число растёт, а среди целей злоумышленников все чаще встречаются не только крупные, но и средние, а также малые ресурсы. Не так давно под DDoS как раз попали площадки SourceHut и Codeberg. Первая столкнулась с 170-часовой атакой. Вторая — подверглась воздействию не только DDoS, но и спам-атаки, которая длилась несколько дней.

Довольно часто владельцы малых проектов считают себя недостаточно «лакомой» целью для злоумышленников. Якобы им нет смысла атаковать чей-то блог или SaaS на пару тысяч пользователей — в чем выгода? И отчасти так и есть: атаки на малые сайты действительно не наносят серьезного ущерба, но это не значит, что его нет совсем. Есть ненулевая вероятность стать целью какого-нибудь скрипт-кидди, который выбрал ресурс просто, чтобы потренироваться (или ради развлечения). Его зловредная деятельность вполне способна вызвать неудобства как для самих независимых разработчиков, так и для пользователей их проектов.

Например, жертвой DDoS-атак не раз становился автор маленького технического блога про разработку 2coffee.dev. На протяжении трех лет он испытал на себе легкие атаки, кратковременно замедляющие загрузку страниц, и более серьезные, приводящие к недоступности сервера. «Они не наносили крупного ущерба, но сильно утомляли, — пишет разработчик. — Большинство атак были непродолжительными, и все, что я мог сделать, это сидеть, стиснув зубы, и ждать, пока они закончатся».

Другой кейс с атакой на минималистично приложение для заметок описал соло-дев Такуя Матсуяма. На тот момент пользовательская база проекта не превышала 20 тыс. человек. Злоумышленники использовали недостаток в API для регистрации, чтобы создать сразу 34 тыс. фейковых аккаунтов (судя по всему, используя почты из слитых баз) и разослать фишинговые письма от имени легитимного источника — в моменте нагрузка на инфраструктуру приложения возрастала в шесть раз.

Что нужно знать о защите

В контексте данных событий специалисты обращают внимание на важность развития не только проприетарных решений для защиты, но и открытых альтернатив вроде DDoS Open Threat Signaling (DOTS), которые могли бы уберечь проекты малого и среднего интернета и от классических DDoS-атак, и от агрессивного воздействия ботов и ИИ-краулеров. Цель DOTS — предоставить универсальные протоколы для противодействия DDoS-атакам. Однако работа над инициативой идет не так давно, с 2021 года, и она пока не вышла за рамки обсуждения.

Если говорить о других открытых решениях для защиты сетей малого и среднего интернета, можно выделить проект FastNetMon. Это — пакет для обнаружения и отражения DDoS-атак. С его помощью можно установить пороговые значения для числа подключений и настроить уведомления. Также в open source передают кастомные скрипты, выполняющие аналогичные функции и позволяющие противостоять DDoS-атакам небольших масштабов. Однако такие решения часто остаются без активного развития и свежих обновлений.

В целом же работа с открытыми инструментами требует определённого уровня экспертизы, которым могут не обладать разработчики малых и средних проектов, частные авторы, самостоятельно хостящие свой блог. Да и защититься от масштабных DDoS-атак в условиях ограниченных ресурсов может быть непросто. 

«Я не знаю, как эффективно защищаться от масштабных DDoS-атак, — пишет все тот же автор 2coffee.dev. — Я настроил ограничения на число запросов; каждый IP-адрес может послать не более десяти. Мне говорят, что я должен обновить сервер, но где я возьму на это деньги? В итоге я решил мигрировать проект в облако».

Инструментов и вариантов защиты от DDoS-атак, которыми могут воспользоваться владельцы проектов из категории малого и среднего интернета, довольно много. Но эксперты уверены, что DDoS не перестанет быть серьёзной угрозой для компактных проектов, блогов и минималистичных web0-сервисов. Поэтому можно с уверенностью утверждать, что классическая борьба «щита и меча» продолжится.

Облачная инфраструктура MWS отвечает нормам законодательства и имеет соответствующие сертификаты безопасности. Надёжная виртуальная инфраструктура без затрат на старте.