DevOps

💸 Как DDoS превратился в счёт на $120K за 72 часа

На Reddit инженер рассказал, как DDoS-атака вызвала неконтролируемый рост кластера до 2000 m5.24xlarge инстансов всего за три дня.

Система должна была обеспечивать доступность, но вместо этого принесла счёт на $120,000.

Такой сценарий называют Denial-of-Wallet (DoW) — отказ кошелька.

⚙️ Что пошло не так:
- В Auto Scaling Group не было задано максимальное число инстансов.
- Были настроены бюджетные алерты, но они слали уведомления только в Slack — без автоматических ограничений.
- Не было инструментов drift-детекции, которые подсветили бы отсутствие лимитов.

Результат: политика масштабирования восприняла DDoS-трафик как реальную нагрузку. EC2 масштабировался, пока лимитом не стали деньги.

✅ Меры, которые выделили в разборе инцидента:
- Задавать max capacity для каждой ASG — даже если это может привести к троттлингу.
- Настраивать budget alarms с enforcement — остановка ресурсов на уровне аккаунта, а не просто уведомления.
- Включать drift-детекцию конфигураций масштабирования.
- Роутить алерты о тратах в системы эскалации, а не только в чаты.

🔒 Важно помнить: причина была в DDoS. Масштабирование — лишь следствие.
Без WAF и защиты от атак мы ловим последствия, а не саму проблему.

⚖️ Вывод: лимиты всегда баланс между доступностью и стоимостью.
Автомасштабирование без ограничений — это не устойчивость, а финансовый риск.

❤12👍6🔥4🤔2

www.tgoop.com/DevOPSitsec/1741

5.64K viewsSep 10 at 09:07

💸 Как DDoS превратился в счёт на $120K за 72 часа

На Reddit инженер рассказал, как DDoS-атака вызвала неконтролируемый рост кластера до 2000 m5.24xlarge инстансов всего за три дня.

Система должна была обеспечивать доступность, но вместо этого принесла счёт на $120,000.

Такой сценарий называют Denial-of-Wallet (DoW) — отказ кошелька.

⚙️ Что пошло не так:
- В Auto Scaling Group не было задано максимальное число инстансов.
- Были настроены бюджетные алерты, но они слали уведомления только в Slack — без автоматических ограничений.
- Не было инструментов drift-детекции, которые подсветили бы отсутствие лимитов.

Результат: политика масштабирования восприняла DDoS-трафик как реальную нагрузку. EC2 масштабировался, пока лимитом не стали деньги.

✅ Меры, которые выделили в разборе инцидента:
- Задавать max capacity для каждой ASG — даже если это может привести к троттлингу.
- Настраивать budget alarms с enforcement — остановка ресурсов на уровне аккаунта, а не просто уведомления.
- Включать drift-детекцию конфигураций масштабирования.
- Роутить алерты о тратах в системы эскалации, а не только в чаты.

🔒 Важно помнить: причина была в DDoS. Масштабирование — лишь следствие.
Без WAF и защиты от атак мы ловим последствия, а не саму проблему.

⚖️ Вывод: лимиты всегда баланс между доступностью и стоимостью.
Автомасштабирование без ограничений — это не устойчивость, а финансовый риск.

BY DevOps