Dnes došlo k celkem velkému výpadku mého serveru, za což se samozřejmě omlouvám. Zase na druhou stranu jsem rád, že jsem neodjel na prodloužený víkend a mohl alespoň dát věci do původního stavu. Za několikahodinový výpadek může promyšlený DDoS útok a zajímavá strategie podnikání. Nechci říkat, že je legální, ale určitě si svoje zákazníky najde.

Abych byl trochu konkrétnější… Zhruba ve 4 hodiny začaly na server chodit desítky dotazů za sekundu na DNS server. Vše šlo z IP adresy 46.28.203.250 (úmyslně nedávám jako link). Bohužel to mělo za následek pád některých důležitých služeb serveru, včetně databáze. Prokousal jsem se logama, abych zjistil důvod pádu a dokázal problémům v budoucnu předejít.

Prvním krokem bylo zjistit komu patří IP adresa, jestli náhodou nejde o nějakou softwarovou chybu na cizí straně. U IP adresy se mi zobrazila švýcarská vlaječka. Traceroute ale mířil někam do Asie a to už bylo podezřelé. Neváhal jsem a zadal jsem si IP do prohlížeče. Ta mě přesměrovala na stránku nabízející ochranu před DDoS útoky :-).

Když se zamyslím, tak je to promyšlená forma propagace služby (ač nelegální) s perfektním cílením. Přetížím někomu server. Administrátor najde v logu zdroj problému a koukne se na IP adresu, ze které požadavky přicházejí a je mu ihned nabídnuto řešení problému. Navíc se mohou vyskytovat i techničtější výrazy, protože se počítá s tím, že do logů nekoukají BFU, ale lidi, kteří mají nějaké znalosti. Každopádně bych se nedivil, kdyby mi při nákupu „řešení“ ještě vybílili bankovní účet.

Udělal jsem pár opatření, aby se problém neopakoval a doufám, že nevyskytne jiný typ útoku. Serveru plánuji nakoupit trochu více RAMky, protože už teď má celkem velké vytížení a útoky typu DDoS prostě neustojí.