Основные принципы защиты от DDoS-атак

Существует четыре основных типа DDoS-атак:

Тип атаки Объект атаки Способ отражения
Первый класс (L2) «Забивание» канала (Amplification) Поддержка доступа к внешней сети за счет увеличения емкости канала
Второй класс (L3) Нарушение функционирования сетевой инфраструктуры Продвинутая аналитика сетевой инфраструктуры, отслеживание проблем на сетевом оборудовании
Третий класс (L4) Эксплуатация слабых мест сетевых протоколов, на которых базируется интернет (TCP/IP стека, отвечающего за передачу и маршрутизацию пакетов в сети интернет) Анализ поведения TCP/IP-клиентов (приложений, взаимодействующих с сервером) и пакетов данных, передаваемых по сети. Фильтрация на основе поведенческого анализа
Четвертый класс (L7) Атака непосредственно на приложения (извлечение конкретной информации из базы данных или с диска, исчерпание памяти, пока у сервера не закончатся ресурсы) Поведенческий и корреляционный анализ, использование инструментов мониторинга для блокировки вредоносного трафика

Маршрут движения очищенного трафика показан на следующей схеме:

Глоссарий

Термин Определение
Полоса легитимного трафика Максимально возможное количество передаваемых данных в единицу времени, которое возможно передать через канал связи
Узел фильтрации Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей
SSL Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат
WAF (Web Application Firewall) Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения

Решения

Для защиты сайтов и веб-приложений от DDoS можно подключить одно из решений:

  • через подключение защиты, предоставляемой в партнерстве с DDoS Guard
  • через подключение защиты, предоставляемой в партнерстве с Qrator
  • для услуги Выделенные серверы можно настроить защиту от DDoS-атак на сетевом уровне (L3-L4);
  • для услуги Облачная платформа можно настроить защиту от DDoS-атак на сетевом уровне (L3-L4).

Для защиты сайтов (приложений, веб-ресурсов) от взломов и таргетированных атак, эксплуатирующих уязвимости приложений, можно подключить Web Application Firewall (WAF), выбрав одно из решений: