Инженер-программист Дэнни Го рассказал, что однажды его кошка смогла вовремя разбудить крепко спящего хозяина и предупредить таким действием об инциденте с ночной DDoS-атакой.
Несколько лет назад Го работал в стартапе, и формальной дежурной ротации там не было. Это было обдуманное решение, поскольку находиться на дежурстве сложно, и команда хорошо справилась с тем, что просто коллективно следила за срочными оповещениями. В конце концов они установили дежурную ротацию, но прежде чем это произошло, Го весело провёл часть ночи за ПК в попытке быстро исправить ситуацию.
Около трёх часов ночи я проснулся от того, что моя кошка вылизывала мне волосы. Само это действие не было чем-то необычным. Время от времени она делала это, и я оптимистично воспринимаю это как знак того, что я ей действительно нравлюсь, а не того, что она просто меня терпит. Но за 9 лет это был единственный раз, когда она сделала это, пока я спал. Я проверил свой смартфон, чтобы узнать, который час, и заметил, что пару минут назад сработало предупреждение AWS CloudWatch из-за неработоспособных сервисов нашего балансировщика нагрузки.
Я пытался зайти на наш сайт со смартфона, но он не загружался. Я застонал и начал проверять логи на рабочем ноутбуке. Наша панель мониторинга показала огромное количество запросов, поступающих со многих IP-адресов, связанных с разными странами. Да и международный трафик для нас не был типичен, поскольку наши сервисы были доступны только жителям США. Это была распределённая атака типа «отказ в обслуживании» (DDoS).
Моей первой и не самой удачной мыслью было заблокировать IP-адреса на уровне сервера, что было бы утомительно и, возможно, неэффективно, если бы у злоумышленника было значительно больше исходных IP-адресов. Но потом я вспомнил, что мы уже настроили брандмауэр веб-приложений AWS. Чтобы справиться с немедленным сбоем, я установил правило блокировки запросов из других стран. Оно вступило в силу и в течение следующего часа заблокировало сотни тысяч запросов. Наш сайт снова заработал, поток запросов прекратился.
Позже тем же утром в команде заметили, что получили электронное письмо в нашу службу поддержки примерно в то время, когда началась атака. Отправитель, используя ужасную грамматику, заявил, что нашёл уязвимость на нашем веб-сайте, приводившую к сбою Apache, которую мы не устранили. Злоумышленник угрожал, что заблокирует наш сайт и сможет сохранять его в таком состоянии в течение нескольких месяцев. Он великодушно предложил нам «файл с решением», если мы отправим ему $5000 в биткойнах. Мы не ответили, хотя, оглядываясь назад, можно сказать, что было бы забавно попытаться его троллить.
«Мне до сих пор трудно поверить, что моя кошка разбудила меня в идеальное время. Вы можете предположить, что предупреждение AWS заставило мой телефон вибрировать или издать звук, разбудив первым мою кошку. Но ночью я держу телефон в режиме «Не беспокоить». Так что мне просто нравится думать, что каким-то образом она почувствовала, что что-то не так, и это не могло подождать до утра. Это был, конечно, более приятный способ проснуться, чем рёв будильника», — подытожил Го.
