Als wir vor einiger Zeit DDoS- und Bot-Angriffsschutz für ein großes E-Commerce-Unternehmen miteinander verknüpften, entdeckten wir erhebliche automatisierte Aktivitäten in einem Subnetz einer großen Kreditauskunftei. Es stellte sich heraus, dass unser Kunde tatsächlich von einer bestimmten Bank angegriffen wurde und ihm regelmäßig viele Anfragen an den Dienst schickte. Zu Spitzenzeiten war eine starke Auslastung der Client-Server zu beobachten. Dies führte aufgrund der großen verfügbaren Kapazität nicht zu einer Nichtverfügbarkeit oder spürbaren Leistungseinbußen der Websites und mobilen Anwendungen des Kunden.

Wie eine weitere gemeinsame Analyse mit dem Kunden zeigte, waren die Ursache dieser „böswilligen“ Aktivitäten nicht Hacker, Saboteure-Mitarbeiter derselben Bank oder Konkurrenten, sondern ein Ausdruck grundlegender Nachlässigkeit und Unordnung bei der Schaffung und Unterstützung der Automatisierung. Nun, periodische Angriffe sind überhaupt keine Angriffe, sondern einfach eine gierige und unglaublich hartnäckige Automatisierung, die vor anderthalb Jahren in Vergessenheit geraten ist. Wir können nicht sagen, dass wir sehr überrascht waren. Jedes dritte Unternehmen, das eine Lösung zum Schutz vor Bots oder DDoS-Angriffen auf Anwendungsebene anbindet, ist mit dem einen oder anderen Verkehrsaufkommen ähnlicher Art konfrontiert.

Tatsächlich ist eine der Phasen der Verknüpfung von Ressourcen zum Schutz vor einer Vielzahl illegaler Aktionen das „Training“ in Lösungen für die Arbeit mit Client-Verkehr. Experten analysieren den empfangenen Traffic über mehrere Tage und teilen ihn in Gruppen ein. Die Verkehrsgruppe „Browser“ ist im Allgemeinen am verständlichsten und vorhersehbarsten. Mit einem Standardbrowser (Yandex.Browser, Chrome, Firefox usw.) sendet der Benutzer eine Anfrage an den Client-Service. Gruppen mobiler Client-Anwendungen sind dem Unternehmen selbst bekannt und Anti-Bots werden auf deren Datenverkehr geschult, sodass sie gut differenziert sind.

Etwas komplizierter wird es, wenn Sie automatisierte Aktionen verwenden. Es kann legal oder illegal sein. Ein Beispiel für eindeutig legitime Automatisierung sind Suchmaschinenabfragen. Aber darüber hinaus gibt es noch andere Automatisierungen, die im einfachsten Fall wie ständig oder periodisch auftretender Datenverkehr von einem bekannten Hosting-Subnetz aussehen, der viele Anfragen der gleichen Art sendet. Tatsächlich verfügen große und mittlere Dienste meist auch über nützliche Automatisierungsfunktionen. Wenn Bots Informationen für unterschiedliche Zwecke und Aufgaben anfordern, im Rahmen einer Partnerschaft mit Drittanbieterdiensten und sogar innerhalb verschiedener Dienste derselben Unternehmensgruppe.

Tatsächlich beteiligen sich unsere Spezialisten bei der Vorbereitung des Datenverkehrs für einen neuen Dienst am Prüfungsprozess aller vorhandenen Automatisierungen. Automatisierungsoptionen (genannt Traffic Source Subnet, Agent Type und Load Characterization Method) werden hervorgehoben. Der Kundentechniker sollte dann sagen: „Das ist unsere Automatisierung, überspringen wir sie“ oder „Ich werde sie entfernen.“ Tatsächlich antwortet der IT-Beauftragte des Kunden in jedem dritten Fall zusätzlich zu den Erwartungen: „Ja, das ist unser Zabbix“ und „Das ist definitiv ein Bot.“ Vor langer Zeit verwendeten wir eine alte, langsame Version der API, was für uns zusätzlichen Stress bedeutete.“ Oder sogar so: „Es sieht so aus, als ob es von einem Team gegründet wurde, das vor langer Zeit gegangen ist, und das ist nicht klar. warum es funktioniert und welchen Nutzen es hat. Jetzt markieren wir es einfach als verdächtig und führen eine anschließende Prüfung durch. Wir werden entscheiden, was wir damit machen.“ Und in fast jedem großen Unternehmen sind wir mit Situationen konfrontiert, in denen Ingenieure sagen: „Ja, das sind unsere Partner, aber aus irgendeinem Grund waren wir nicht einer Meinung: „Ich werde mit Ihnen gehen, um das Problem zu lösen.“

Vergessene Botnetze sind nicht so harmlos, wie sie auf den ersten Blick scheinen. Häufig sind es die Anfragen, die überleben, die nie einen Dienst mit Tausenden von Benutzern laden, aber jetzt die Systeme, die sich Millionen von Kunden, Produkten, Transaktionen und anderen Objekten merken, drastisch verlangsamen. Und diese Automatisierung verbraucht seit Jahren Rechenressourcen. In einigen Fällen kann eine einmal nützliche Automatisierung, die irrelevant geworden ist, aber weiterhin funktioniert, bis zu 30 % des gesamten Datenverkehrs ausmachen, was bereits eine erhebliche Belastung für die Server darstellt. Und je größer der Dienst, je länger er lebt und je mehr er mit Diensten anderer Teams und Unternehmen zusammenarbeitet, desto wahrscheinlicher ist es, dass Sie auf „vergessene“ Automatisierung stoßen.

Die Erfahrung zeigt, dass, wenn ein Dienst vor drei bis vier Jahren gestartet wurde, Zehntausende eindeutige Benutzer pro Woche hat und mit Partnerdiensten zusammenarbeitet, eine solche unerklärliche Automatisierung fast immer auftritt und kein einziger Fall existiert. Und wenn sich Ihr IT-Team mehr als einmal geändert hat, können Sie möglicherweise nicht feststellen, wann oder von wem die Entscheidung getroffen wurde, mit demselben Partner zusammenzuarbeiten, wie es bei E-Commerce-Kunden der Fall ist. Dies ist eine Bank, aber nach einem 3-wöchigen Vorgang wurde die Verbindung getrennt, was jedoch keine Auswirkungen hatte. Die Belastung hat einfach abgenommen.

Der Kern der Entstehung der „vergessenen“ Automatisierung liegt in der fehlenden Buchhaltung und der Verwischung der Verantwortungsgrenzen, gepaart mit dem rationalen Grundsatz „Warum kaputt machen, was funktioniert?“. Sie können dieses Problem vorerst umgehen, indem Sie zusätzlichen Strom kaufen. Dies ist in der Regel einfacher und kostengünstiger. Selbst wenn Sie Ihre Dienste nicht regelmäßig bereinigen und keine Ressourcen für Audits und Inventarisierung aufwenden, kann Ihre technische Schuldenlast möglicherweise nicht tragbar sein. Wie die Praxis zeigt, beginnt der Dienst freier zu „atmen“, nachdem interne oder externe Umstände die Ordnung in den Ressourcen wiederhergestellt haben. Überwachungsfehler werden eliminiert, die Serverlast reduziert und die Reaktionszeit verbessert.

Die Ansichten des Herausgebers spiegeln möglicherweise nicht die Ansichten des Autors wider.

Источник: Forbes Россия