Основные принципы защиты от DDoS-атак
Существует четыре основных типа DDoS-атак:
| Тип атаки | Объект атаки | Способ отражения |
|---|---|---|
| Первый класс (L2) | «Забивание» канала (Amplification) | Поддержка доступа к внешней сети за счет увеличения емкости канала |
| Второй класс (L3) | Нарушение функционирования сетевой инфраструктуры | Продвинутая аналитика сетевой инфраструктуры, отслеживание проблем на сетевом оборудовании |
| Третий класс (L4) | Эксплуатация слабых мест сетевых протоколов, на которых базируется интернет (TCP/IP стека, отвечающего за передачу и маршрутизацию пакетов в сети интернет) | Анализ поведения TCP/IP-клиентов (приложений, взаимодействующих с сервером) и пакетов данных, передаваемых по сети. Фильтрация на основе поведенческого анализа |
| Четвертый класс (L7) | Атака непосредственно на приложения (извлечение конкретной информации из базы данных или с диска, исчерпание памяти, пока у сервера не закончатся ресурсы) | Поведенческий и корреляционный анализ, использование инструментов мониторинга для блокировки вредоносного трафика |
Маршрут движения очищенного трафика показан на следующей схеме:
Глоссарий
| Термин | Определение |
|---|---|
| Полоса легитимного трафика | Максимально возможное количество передаваемых данных в единицу времени, которое возможно передать через канал связи |
| Узел фильтрации | Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей |
| SSL | Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат |
| WAF (Web Application Firewall) | Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения |
Решения
Для защиты сайтов и веб-приложений от DDoS можно подключить одно из решений:
- через подключение защиты, предоставляемой в партнерстве с DDoS Guard
- через подключение защиты, предоставляемой в партнерстве с Qrator
- для услуги Выделенные серверы можно настроить защиту от DDoS-атак на сетевом уровне (L3-L4);
- для услуги Облачная платформа можно настроить защиту от DDoS-атак на сетевом уровне (L3-L4).
Для защиты сайтов (приложений, веб-ресурсов) от взломов и таргетированных атак, эксплуатирующих уязвимости приложений, можно подключить Web Application Firewall (WAF), выбрав одно из решений: