Интересно следущюее. Почему в whois стоит защита от Qrator. Когда они ее туда поставили?
Я заметил, что QRator стоит вчера, когда CloudFlare отключили.
А вообще, народ, я хоть и не больщой спец по DDoS, но немного в теме. И чаще всего проблема не в ширине канала, который забивают спам-трафиком (как раз с этим тот же qrator, да и CloudFlare, мне кажется, должен легко справляться), а в тех запросах, которые проходят мимо защиты (т.к. похожи на нормальные и не удается их отделить от настоящих) и заставляют сервер (движок сайта) делать бесполезную работу, на которую тратятся все ресурсы процессора, памяти и диска, так что на обработку нормальных запросов уже ничего не остается.
И вот это можно решить только переписав софт так, чтобы не было узких мест, подверженных такому давлению.
Очевидно, для UPS таким сложным местом являются регистрация и авторизация. Потому что все, что на сайте было открыто для анонимов - статика, которую тот же CloudFlare кеширует и отдает со своих серверов, к UPS-у такие запросы вообще попадать не должны (если правильно сайт настроен был, конечно, но это довольно простая админская задачка).
А всё что после авторизации - DDoS-ить невозможно, т.к. дидосер не может выполнять запросы от имени других клиентов.
Регистрацию можно закрыть, но вот с авторизацией - проблема, без неё сайт включать не имеет смысла (хотя ради приличия заглушку с текущей инфой сделать всё-же стоило бы).
В одном из недавних постов Власов писал, что базу вынесли на отдельный сервер. Это, безусловно, позитивно т.к. позволило разработчикам работать с ней даже тогда, когда web-сервер под атакой. Но надо понимать и минус: обращения веб-сервера к серверу БД, а они необходимы для авторизации, теперь пошли по сети, что явно не добавило им скорости работы.
И тут возникают вопросы:
1. Отдельная база должна была позволить поднять сервер "для своих" - для сотрудников и доверенных лиц, которые во время простоя могли бы решать проблемы по зависшим долям, непришедшим договорам и прочему, что накопилось. Почему мы этого не видим?
2. И всё-же, причем тут вообще терминалы? Как они связанны с сайтом, что DDoS по ним бъет? Не то, чтобы я не видел возможных ответов - я вижу. Но всё что я вижу - говорит о полной некомпетентности проектировщиков системы, которые объединили два совершенно несвязанных между собой бизнес-процесса в одном физически-уязвимом месте. И даже так, я не понимаю, почему нельзя оперативно всё это разнести, почему это не было сделано сразу как появилась угроза DDoSа?
Честно, я не думаю, что нам врут. Я уверен, что разумные ответы на эти вопросы существуют. Но я прошу их нам дать... Потому что хочется-же понимать что происходит, а не строить догадки и глотать влерьянку.