Основные принципы защиты от DDoS-атак

Типы DDoS-атак и способы их отражения Существует четыре основных типа DDoS-атак:

Тип атаки Объект атаки Способ отражения
Первый класс (L2) «Забивание» канала (Amplification) Поддержка доступа к внешней сети за счет увеличения емкости канала
Второй класс (L3) Нарушение функционирования сетевой инфраструктуры Продвинутая аналитика сетевой инфраструктуры, отслеживание проблем на сетевом оборудовании
Третий класс (L4) Эксплуатация слабых мест сетевых протоколов, на которых базируется интернет (TCP/IP стека, отвечающего за передачу и маршрутизацию пакетов в сети интернет) Анализ поведения TCP/IP-клиентов (приложений, взаимодействующих с сервером) и пакетов данных, передаваемых по сети. Фильтрация на основе поведенческого анализа
Четвертый класс (L7) Атака непосредственно на приложения (извлечение конкретной информации из базы данных или с диска, исчерпание памяти, пока у сервера не закончатся ресурсы) Поведенческий и корреляционный анализ, использование инструментов мониторинга для блокировки вредоносного трафика

Глоссарий

Термин Определение
Полоса легитимного трафика Максимально возможное количество передаваемых данных в единицу времени, которое возможно передать через канал связи
Узел фильтрации Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей
SSL Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат
WAF (Web Application Firewall) Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения

Маршрут движения очищенного трафика показан на следующей схеме: