Основные принципы защиты от DDoS-атак
Типы DDoS-атак и способы их отражения
Существует четыре основных типа DDoS-атак:
| Тип атаки | Объект атаки | Способ отражения |
|---|---|---|
| Первый класс (L2) | «Забивание» канала (Amplification) | Поддержка доступа к внешней сети за счет увеличения емкости канала |
| Второй класс (L3) | Нарушение функционирования сетевой инфраструктуры | Продвинутая аналитика сетевой инфраструктуры, отслеживание проблем на сетевом оборудовании |
| Третий класс (L4) | Эксплуатация слабых мест сетевых протоколов, на которых базируется интернет (TCP/IP стека, отвечающего за передачу и маршрутизацию пакетов в сети интернет) | Анализ поведения TCP/IP-клиентов (приложений, взаимодействующих с сервером) и пакетов данных, передаваемых по сети. Фильтрация на основе поведенческого анализа |
| Четвертый класс (L7) | Атака непосредственно на приложения (извлечение конкретной информации из базы данных или с диска, исчерпание памяти, пока у сервера не закончатся ресурсы) | Поведенческий и корреляционный анализ, использование инструментов мониторинга для блокировки вредоносного трафика |
Глоссарий
| Термин | Определение |
|---|---|
| Полоса легитимного трафика | Максимально возможное количество передаваемых данных в единицу времени, которое возможно передать через канал связи |
| Узел фильтрации | Для очистки трафик проходит через узлы распределенной системы фильтрации. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей |
| SSL | Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат |
| WAF (Web Application Firewall) | Защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения |
Маршрут движения очищенного трафика показан на следующей схеме:
