#оффтоп Коли DDOS зробив пизDOS на 100к доларів для простенького сайту

Одна із таких історій в яку складно повірити, якщо б вона не сталася. Коли ми дивимось на DDOS і з ризиками пов'язаними з ним, більшість компаній будуть плюватися. Це в цілому і не дивно, бо топ компанії мають дуже якісно зроблений load balance, який дозволяє пережувати гігантські об'єми інформації, але це йде мова про компанії, які мають шикарних спеціалістів і велику кількість ресурсів на те, щоб зробити все правильно, а що якщо ти програміст, який вирішив просто викласти щось від себе в інтернет?

Для людей, які не в темі, DDOS простими словами це коли погані дядьки пробують настільки сильно навантажити сайт або додаток, що він більше не може працювати правильно. Наприклад, не так давно було спроба такої атаки на Монобанк. У нашому випадку, сайт тут не перестав функціонувати, хоча мені здається, що його власник був би радий цьому більше...

Так ось, це історія від власника сайту Jyutping (якийсь китайський сайт, буквально), де в середньому було 200 щоденних відвідувачів. Він побудував свій сайт використовуючи продукт Netlify, який дозволяє будувати динамічні і швидкі веб додатки.

Одного дня, власнику сайту приходить повідомлення про те, що він заборгував 104к доларів‼️. Він спочатку сприйняв це як скам, а потім подивився на статистику і побачив там, що за останні 4 дні було згенеровано 190 ТЕРАБАЙТІВ трафіку. Виявляється, що платформа Netlify не мала ніякого вбудованого захисту від DDOS і дозволяла всі запитам повноцінно виконуватися. З технічної сторони, якийсь гівнюк просто скачував один і той самий .mp3 файл без зупинки протягом 4 днів. Часто у платформах, як Netlify, Cloudflare тощо буде описана ціна трафіку за 100GB. Так ось, з Netlify розцінка була 55$ на 100 GB, так і з'явилася гігантська квитанція після DDOS атаки.

Бідний власник чуть не отримав інфаркт, почав вирішувати питання з сапортом. Йому потім зробили нову пропозицію заплатити 5к доларів. Від цього йому легше не стало і він вирішив зробити шуму в соц мережах. У кінцевому рахунку, навколо цього створилося багато ажіотажу і навіть CEO Netlify був задіяний. На щастя, так як створилося багато негативного PR для компанії, вона вирішила зробити правильну річ і зняла квитанцію. Тим не менш, аж складно уявити кількість стресу, яку власник отримав.

Урок з цього повинен бути таким, що як мінімум ставьте Алерти або обмеження на кількість трафіку. В більшості випадків ви можете передбачити, що для вас буде реалістично, а що аномально. А так, використовуйте продукти, які мають по нормальному зроблений DDOS protection і не нехтуйте цими ризиками.