Основные принципы защиты от DDoS-атак
Типы DDoS-атак и способы их отражения Существует четыре основных типа DDoS-атак:
Тип атаки | Объект атаки | Способ отражения |
---|---|---|
Первый класс (L2) | «Забивание» канала (Amplification) | Поддержка доступа к внешней сети за счет увеличения емкости канала |
Второй класс (L3) | Нарушение функционирования сетевой инфраструктуры | Продвинутая аналитика сетевой инфраструктуры, отслеживание проблем на сетевом оборудовании |
Третий класс (L4) | Эксплуатация слабых мест сетевых протоколов, на которых базируется интернет (TCP/IP стека, отвечающего за передачу и маршрутизацию пакетов в сети интернет) | Анализ поведения TCP/IP-клиентов (приложений, взаимодействующих с сервером) и пакетов данных, передаваемых по сети. Фильтрация на основе поведенческого анализа |
Четвертый класс (L7) | Атака непосредственно на приложения (извлечение конкретной информации из базы данных или с диска, исчерпание памяти, пока у сервера не закончатся ресурсы) | Поведенческий и корреляционный анализ, использование инструментов мониторинга для блокировки вредоносного трафика |
Глоссарий
Термин | Определение |
---|---|
Полоса легитимного трафика | Максимально возможное количество передаваемых данных в единицу времени, которое возможно передать через канал связи |
Узел фильтрации | Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей |
SSL | Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат |
WAF (Web Application Firewall) | Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения |
Маршрут движения очищенного трафика показан на следующей схеме: