मैंने एक गड़गड़ाहट सुनी - यह मेरा फोन था जो भनभना रहा था: कॉल, संदेश, सुस्त सूचनाएं। क्लास सेंट्रल वेबसाइट डाउन थी । इसे लाखों हिट्स मिल रहे थे, जिससे यह सभी के लिए अनुपयोगी हो गया था।

बाद में, हमें पता चला कि यह फिरौती का DDoS हमला था, और यह कि कम से कम एक ऑनलाइन पाठ्यक्रम प्रदाता (जिसके बारे में रिपोर्ट के नियमित पाठकों को पता होगा) पर भी हमला किया गया था। हमलावर ने बिटकॉइन में $ 5,000 के लिए "सभी समस्याओं के समाधान फ़ाइल" के लिए कहा।

समय इससे बुरा नहीं हो सकता था। मैं MOOCs सम्मेलन के साथ सीखने के लिए ग्वाटेमाला में था । मैंने अभी-अभी एक मुख्य भाषण दिया था ( यहां स्लाइड्स ) और कुछ घंटों बाद एक पैनल में भाग लेने के लिए निर्धारित किया गया था। और हमारे सबसे वरिष्ठ इंजीनियर अपने गृहनगर जा रहे थे और एक सप्ताह के लिए रवाना हो गए।

क्लास सेंट्रल 36 घंटे के लिए बंद था क्योंकि हमने इसे वापस लाने के लिए काम किया था। हमलावर हमारी हर हरकत पर नजर रख रहा था और उसका जवाब दे रहा था, यहां तक ​​कि हमें संदेश भी भेज रहा था कि हमारी कोशिशें बेकार गईं।

यह कहानी है कि हमने हमले को कैसे कम किया, क्या काम किया और क्या नहीं किया, एसईओ प्रभाव (लघु और दीर्घकालिक), साथ ही साथ यह हमें कितना खर्च करता है।

हमला: कैसे और क्यों

जैसे ही साइट नीचे गई, हमने तुरंत सुराग ढूंढना शुरू कर दिया। हमने हाल ही में बुनियादी ढाँचे में कुछ सुधार किए थे, इसलिए हमारा पहला विचार यह था कि हमने एक सेटिंग को गड़बड़ कर दिया होगा।

लेकिन लॉग्स को देखने के बाद, यह स्पष्ट हो गया कि हम भारी हमले के अधीन थे, जिसके पैमाने का हमें क्लाउडफ्लेयर पर स्विच करने के बाद ही पता चलेगा।

हमला एक "फिरौती DDoS हमला " है। सीधे शब्दों में कहें, लाखों बॉट हर घंटे क्लास सेंट्रल होमपेज पर जाने लगे। हमारे सर्वर वास्तविक मनुष्यों और बॉट्स के बीच अंतर नहीं कर सके, और हम एक समय में केवल एक निश्चित संख्या में उपयोगकर्ताओं को सेवा दे सकते हैं।

परिणामस्वरूप, हम वास्तविक लोगों को दूर कर रहे थे, क्योंकि हम बॉट्स की सेवा में व्यस्त थे। व्यावहारिक रूप से कहा जाए तो साइट सभी के लिए अनुपयोगी थी। अधिक जानने के लिए, क्लाउडफ्लेयर के पास इस विषय पर कुछ बेहतरीन व्याख्याकार हैं ।

कुछ घंटों बाद हमें एहसास हुआ कि हमें क्यों निशाना बनाया जा रहा है। जॉन एवी जुनैद (ट्विटर हैंडल @Evie24435208) द्वारा गए हमलावर ने मुझे मेरे व्यक्तिगत ट्विटर, क्लास सेंट्रल के ट्विटर, साथ ही हमारे संपर्क ईमेल पर मैसेज किया था। यहाँ संदेश है:

उस व्यक्ति ने संकेत दिया कि उन्होंने "एसक्यूएल इंजेक्शन भेद्यता" की पहचान की है और इसका उपयोग "अपाचे को क्रैश" करने के लिए किया है। यह एक स्पष्ट झूठ था। लॉग स्पष्ट थे: यह एक DDoS हमला था। साथ ही, क्लास सेंट्रल अपाचे वेब सर्वर का उपयोग नहीं करता है।

लेकिन मैं कल्पना कर सकता हूं कि कम तकनीकी संसाधनों वाली छोटी साइटें इसके झांसे में आ सकती हैं। जैसा कि हमलावर ने उल्लेख किया था, वास्तविक खतरा "अपनी साइट को महीनों के लिए बंद रखना" था। यहां तक ​​​​कि अगर आप $ 5,000 का भुगतान करते हैं, तो कोई कारण नहीं है कि हमलावर रुक जाएगा या बाद में फिर से वही काम नहीं करेगा।

18 घंटे बाद, मुझे हमलावर का एक और संदेश मिला।

हमलावर ने देखा कि हम Cloudflare (उस पर बाद में और अधिक) पर स्विच कर चुके हैं और अपनी मूल स्क्रिप्ट पर यह कहते हुए अटक गए हैं कि यह "सॉफ़्टवेयर समस्या" थी। लेकिन यहाँ, उन्होंने एक और खतरे की ओर इशारा किया: कि हम "Google रैंकिंग खो सकते हैं।"

यह वास्तव में हमारे साथ पहले हुआ था। पिछले साल जब गूगल ने अपने सर्च एल्गोरिदम में बदलाव किया तो हमने अपना आधा ट्रैफिक गंवा दिया। डेढ़ साल बाद भी हम पूरी तरह से उबर नहीं पाए हैं। इस साल की शुरुआत में, जब 2U स्टॉक की कीमत आधे से कम हो गई, तो मैंने अनुमान लगाया कि Google का एल्गोरिथम परिवर्तन आंशिक रूप से जिम्मेदार हो सकता है ।

मैंने कौरसेरा, मास्टरक्लास और एडएक्स जैसे शीर्ष प्लेटफार्मों की एसईओ सामग्री रणनीति के बारे में भी लिखा है। भले ही हमलावर ने स्पष्ट रूप से इसका उल्लेख नहीं किया हो, यह जोखिम पहले से ही मेरे दिमाग में था। यदि आप नीचे स्क्रॉल करते हैं, तो आप पाएंगे कि हमले ने हमारे SEO को कैसे प्रभावित किया।

डीडीओएस शमन

एक बार जब हमें पता चला कि यह एक DDoS हमला था, तो हमने सबसे पहले हमले में एक पैटर्न खोजने की कोशिश की - उदाहरण के लिए, उपयोगकर्ता एजेंट या आईपी पते में कुछ - वास्तविक उपयोगकर्ताओं को बॉट और फ़िल्टर से अलग करने की कोशिश करने के लिए हमलावरों को बाहर करो।

लेकिन हमने जल्द ही महसूस किया कि यह हमला अधिक परिष्कृत था और इसमें विभिन्न प्रकार के आईपी पतों का उपयोग किया गया था।

हमने देखा कि हमलावर सारा ट्रैफिक हमारे होमपेज पर भेज रहा था। इसलिए हमने मुखपृष्ठ पर एक रखरखाव पृष्ठ दिखाना शुरू किया, और इससे हमें शेष साइट को ऊपर लाने में मदद मिली।

एक अन्य तरकीब जो हमने आजमाई वह थी होमपेज को दूसरे URL पर क्लोन करना और अनुरक्षण पृष्ठ से क्लोन किए गए होमपेज पर वास्तविक ट्रैफ़िक को पुनर्निर्देशित करने के लिए जावास्क्रिप्ट का उपयोग करना। मूल रूप से, बॉट रखरखाव पृष्ठ देखेंगे, लेकिन वास्तविक उपयोगकर्ता वैकल्पिक मुखपृष्ठ पर पुनर्निर्देशित किए जाने से पहले केवल संक्षिप्त रूप से रखरखाव पृष्ठ देखेंगे।

लेकिन जल्द ही, हमलावर को एहसास हुआ कि क्या हो रहा है और उसने अन्य पेजों पर भी हमला करना शुरू कर दिया। तभी हमें अहसास हुआ कि हमें जानबूझकर निशाना बनाया जा रहा है। इस बिंदु पर, हमने अभी तक ट्विटर/ईमेल संदेशों को नहीं देखा था।

जैसा कि मैंने पहले उल्लेख किया था, उस समय, मैं एक सम्मेलन के लिए ग्वाटेमाला में था और अपने सहयोगी @suparn के साथ दूरस्थ रूप से काम कर रहा था , जो भारत में था। जब यह सब शुरू हुआ तब भारत में लगभग 2AM थे। और 24 घंटे बाद, सुपर्ण को उसी सम्मेलन में दो दूरस्थ प्रस्तुतियाँ देनी थीं। कहने के लिए पर्याप्त है, उसे मुश्किल से कोई नींद आई।

हमने तेजी से महसूस किया कि यह हम अपने दम पर संभालने से कहीं अधिक है। DDoS शमन की दुनिया में, एक नाम है (सार्वजनिक धारणा के संदर्भ में, कम से कम) जो सबसे ऊपर है: Cloudflare । अपने स्वयं के प्रयासों के विफल होने के बाद, हमने अंततः Cloudflare पर स्विच करने का निर्णय लिया।

बादल भड़कनाबचाव के लिए सुपरन

लेकिन Cloudflare पर स्विच करने के बाद भी, बॉट अभी भी काम कर रहे थे। इस बिंदु तक मेरी धारणा यह थी कि क्लाउडफ्लेयर जादुई रूप से सभी बॉट्स का पता लगाएगा और उन्हें ब्लॉक कर देगा। मैं गलत था।

हमें क्लाउडफ्लेयर को स्पष्ट रूप से कॉन्फ़िगर करना था, सभी बॉट्स को प्रभावी ढंग से रोकने के लिए सेटिंग को हमले के अनुरूप बनाना था। यह कुछ ऐसा है जिससे सुपर्ण और मैं दोनों वास्तव में परिचित नहीं थे। जब मैंने लिंक्डइन पर क्लास सेंट्रल पर हमले के बारे में पोस्ट किया , तो एक क्लाउडफ्लेयर इंजीनियर ने मुझसे संपर्क किया और मुझे एक अकाउंट एक्जीक्यूटिव से जोड़ा।

अकाउंट एक्जीक्यूटिव ने हमें क्लाउडफ्लेयर वेबसाइट पर कुछ मददगार संसाधनों के बारे में बताया, जिन तरीकों को हम आजमा सकते हैं। यह पूछे जाने पर कि क्या वे क्लाउडफ्लेयर को कॉन्फ़िगर करने में हमारी मदद कर सकते हैं, हमें पता चला कि कम से कम 1 साल की प्रतिबद्धता के साथ हमें प्रति माह $5,000 का खर्च आएगा। ईमानदारी से, हमलावर की कीमत अधिक उचित लग रही थी।

लेकिन सारी उम्मीद नहीं टूटी। जब आप मुश्किल में होते हैं, तो कभी-कभी आप अपनी बेड़ियों को तोड़ सकते हैं और तेजी से लेवल अप कर सकते हैं। इससे बुरा क्या हो सकता है? साइट पहले ही डाउन हो चुकी थी।

सुपर्ण ने वैसा ही किया। यह लगभग ऐसा था जैसे भविष्य का कोई सुपरान वर्तमान सुपरन का मार्गदर्शन कर रहा हो।

यहां तक ​​कि क्लाउडफ्लेयर पर स्विच करने जैसी कोई चीज भी आमतौर पर हमें परीक्षण और तैनात करने में हफ्तों का समय लेती है। इसके बजाय, यह 30 मिनट से भी कम समय में किया गया था। बहुत सारे परीक्षण और त्रुटि के बाद, नींद से वंचित सुपरन ने बॉट्स को ब्लॉक करने के लिए सही क्लाउडफ्लेयर कॉन्फ़िगरेशन का पता लगाया, जबकि वास्तविक मनुष्यों को क्लास सेंट्रल पर जाने की अनुमति दी।

रहस्य क्लाउडफ्लेयर के रेट लिमिटिंग और आईपी एक्सेस नियमों में निहित है। आखिरकार हमलावर पीछे हट गया। हमले के शुरू होने के करीब 36 घंटे बाद, क्लास सेंट्रल वापस ऑनलाइन और स्थिर हो गया था।

लागत

हमारे द्वारा प्रदान किए जाने वाले ट्रैफ़िक की मात्रा की तुलना में क्लास सेंट्रल परिचालन लागत अपेक्षाकृत कम है। लेकिन केवल 36 घंटों में, हमारे Google क्लाउड की लागत महीने के लिए दोगुनी हो जाती है। मूल रूप से बॉट ट्रैफ़िक की उच्च मात्रा के कारण हमारी नेटवर्किंग लागत आसमान छू गई।

संक्षेप में, बॉट ट्रैफिक ने हमें प्रति दिन $ 1,000 खर्च किया, भले ही क्लास सेंट्रल इस समय के बहुमत से नीचे था। यह इस DDoS हमले के सबसे डरावने पहलुओं में से एक था और शायद यही कारण भी है कि ये हमले प्रभावी हो सकते हैं।

एसईओ प्रभाव

सौभाग्य से, हमारे SEO पर कोई दीर्घकालिक प्रभाव नहीं पड़ा। हमले के तुरंत बाद वाले सप्ताह में खोज ट्रैफ़िक में कमी आई थी, लेकिन इसके बाद से यह वापस आ गया है और ऊपर जाना जारी रखा है।

एक चीज़ जो मैंने देखी वह थी Google से क्रॉल अनुरोधों में भारी गिरावट। यह स्पष्ट नहीं है कि यह हमले के कारण है या क्लाउडफ्लेयर पर स्विच करने के कारण है। लेकिन यह नजर रखने के लिए कुछ है।

DDoS हमले कुछ ऐसी कंपनियां हैं जिनके लिए कई कंपनियां तैयारी करती हैं। हमारे मामले में, यह आग से परीक्षण था, मुश्किल समय से जटिल। हमारे पास लीन ऑपरेशंस हैं, इसलिए एक जस्ट-इन-टाइम दृष्टिकोण हमारे लिए काम करता है। लेकिन कई स्टार्टअप्स के लिए डाउनटाइम, भले ही छोटा हो, के गंभीर परिणाम हो सकते हैं। यदि आप उस स्थिति में हैं, तो पूर्वव्यापी उपायों की संभावना एक अच्छा विचार है - खासकर यदि आपकी टीम में कोई सुपरन नहीं है।