Осеннее обновление системы

Осеннее обновление системы

12 октября 2017
Спешим рассказать о недавнем обновлении системы, которое затронуло наш сайт и биллинг. Также мы расскажем о новом ресурсе status.lite.host и о том, как мы защищались от DDoS атак.

Мы стараемся каждый год производить обновление сайта, в этот раз мы произвели следующие изменения:

Сайт lite.host

  • Полностью переписали сайт, благодаря чему появилась поддержка PHP 7 и сайт стал работать в полтора раза быстрее (напомним про наше тестирование CMS на разных версиях PHP).
  • В разделе "Сервер под ключ" вывели небольшой калькулятор стоимости сервера.
  • Запустили новый раздел "Виртуальные серверы" - это обновленная тарифная линейка виртуальных серверов на базе аппаратной виртуализации KVM и удобной панели VMmanager с поддержкой снимков, подключения собственных образов, IPv6 сети и SSH ключей.
  • В разделе "Доменные имена" теперь можно проверять доступность одного доменного имени (ранее, даже если ввести конкретное доменное имя, то проверка осуществлялась во всех зонах, что неудобно).
  • В разделе помощи улучшили навигацию по ссылкам.
  • Для партнеров обновили баннеры, теперь они не блокируются с помощью расширений отключения рекламы на сайтах (обновите код баннеров при необходимости).
  • В блоге добавили вывод числа статей в категориях.

Биллинг billing.lite-host.in

  • Обновили биллинг до актуальной версии с целью повышения безопасности (срок обновлений для старой версии истекал через месяц), благодаря обновлению сайт также переведен на PHP 7.0, что повысило скорость его работы.
  • Добавлен новый способ оплаты Apple Pay.
  • Перешли на свой модуль (ранее использовали сторонний) изменения платежного цикла услуг, а также их продления (теперь нет ограничений на количество продлений, ранее был 1 год).
  • В профиль добавлен пункт подписки на уведомления о технических работах.

Портал status.lite.host

Создан новый портал на отдельной независимой площадке с целью информирования клиентов о проводимых технических работах, а также возникающих проблемах (через биллинг в разделе профиля, можно подписаться на уведомления с данного портала).

О защите от DDoS атак

Число атак на наши серверы с весны 2017 года сильно возросло, еще весной мы начали применять различные меры по защите серверов от атак, но в период с середины июля по начало августа ситуация сильно ухудшилась и только в конце августа мы поставили все серверы под надежную защиту от team-host.ru.

Весной, когда атак было мало и они были не именно на нас, мы просто переключали сайты с одного IP (который был под атакой) на новый IP, этого вполне хватало и перерывы в работе не превышали 10-15 минут (при этом было лишь несколько атак за месяц на все серверы).

Летом число атак резко возросло и необходимо было искать новые способы защиты, было принято решение пропускать трафик через защищенный сервер в стороннем дата центре и получать очищенный трафик на наши серверы. Мы обратились к владельцам сервиса servicepipe.ru, но в полученном коммерческом предложении цена защита была такая, что наши цены на услуги хостинга пришлось бы увеличить минимум в 2 раза, что для нас неприемлемо. Мы приняли решение работать через их партнеров.

До начала августа мы пропускали трафик через партнеров servicepipe.ru, это неплохо спасало от большинства атак, но с 16 июля 2017 года атаки стали производить целенаправленно по всем нашим серверам и данная защита в автоматическом режиме не фильтровала наши атаки. Пока партнеры перенастраивали фильтры, мы переключались на каналы от OVH, который хорошо фильтровал наши атаки, но так как это увеличивало пинг, а также противоречило 152-ФЗ "О персональных данных", мы искали новое решение, которое фильтровало бы атаки в автоматическом режиме без задержек).

Таким решением для нас стал сервис team-host.ru с точкой присутствия в дата центре selectel.ru. Еще в начале августа мы поставили серверы MARS и PLUTON под данный сервис, который без каких-либо проблем фильтровал атаки в режиме реального времени без простоя.

Отдельной ложкой дегтя стал дата-центр renter.ru, где мы арендовали серверы с 2014 года. Когда мы перешли к ним, они помогали с фильтрацией небольших атак (менее 1 гбит/с), например, блокируя весь UDP трафик. В конце 2015 года в компании сменилось руководство и отношение к атакам изменилось - сеть сервера стали блокировать при небольшом числе пакетов в секунду (например, нам заблокировали сеть при 120 тысячах, хотя сетевой интерфейс 100 мбит/c, с которым был арендован сервер может обрабатывать до 148 тысяч пакетов в секунду, после переговоров лимит удалось расширить до 250 тысяч, что нам помогло при борьбе с атаками).

Так как защита от атак, это дополнительные расходы, то мы отказались от аренды серверов в renter.ru и перешли на собственное оборудование, что сэкономило средства, на которые мы подключили защиту от атак и сохранили текущие цены на наши услуги.

Несмотря на то, что новый сервис защиты отразил более 50 атак без простоя, он тоже имел технические проблемы, из-за которых серверы за полтора месяца в сумме не работали около часа. Если проблемы будут повторяться, то мы поднимем резервный канал, на который будем переключаться в течение 10 минут при возникновении проблем.
578