Защита от DDoS
В статье описаны возможности Платформы по защите веб-ресурсов от DDoS-атак.
Защита от DDoS-атак на Платформе обеспечивается работой двух систем:
Системой защиты от DDoS-атак уровня сети передачи данных (защита на уровне L3/L4)
Системой защиты от DDoS-атак уровня приложений (защита на уровне L7)
В дополнение к работе специализированных систем защиты Платформа обладает способностью демпфирования DDoS-атак на различных уровнях за счет большого запаса сетевых и вычислительных ресурсов. Это обеспечивает нормальное функционирование веб-ресурса в течение первой минуты DDoS-атаки до перехода систем защиты в режим фильтрации.
Система защиты от DDoS-атак уровня сети передачи данных
Система защиты от DDoS-атак уровня сети передачи данных представляет собой распределенный программно-аппаратный комплекс, функционирующий на сетях магистральных операторов связи. Система производит постоянный анализ входящего трафика на Платформу и в случае обнаружения DDoS-атаки перенаправляет его в центры очистки, в которых происходит блокировка нежелательного трафика. В результате до Платформы доходит только легитимный («очищенный») трафик. Центры очистки трафика работают независимо друга от друга, и в случае выхода из строя любого из них трафик будет автоматически перенаправлен на другие доступные центры очистки трафика.
Система защиты от DDoS-атак уровня сети передачи данных защищает инфраструктуру Платформы в целом, а значит все ее пользователи (заказчики) получают защиту от DDoS-атак уровня сети передачи данных по умолчанию при пользовании сервисами Edge Cloud Delivery и Secure DNS.
Система защиты от DDoS-атак уровня приложений
Система защиты от DDoS-атак уровня приложений это программное решение, которое установлено на серверах доставки Платформы и обеспечивает защиту от DDoS-атак на прикладном уровне (L7 уровень модели OSI). Система производит анализ HTTP-запросов в постоянном режиме. В случае обнаружения DDoS-атаки нежелательный трафик блокируется на L7 и/или L3/4 уровнях, в результате чего до сервера оригинации доходит только легитимный («очищенный») трафик.
Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным, так как ПО WAF ориентировано на выявление атак с целью эксплуатации уязвимостей, а не отказа в обслуживании.
ПО WAF потребляет больше вычислительных ресурсов для анализа трафика, а значит:
стоимость отражения небольшой DDoS-атаки будет высокой;
крупная DDoS-атака приведет к отказу в работе самого ПО WAF.
На основании анализа HTTP-запросов система формирует в автоматическом режиме:
черные списки IP-адресов, которые по ее мнению являются источниками нежелательного трафика. Если IP-адрес занесен системой в черный список, на любые HTTP-запросы с этого IP-адреса Платформа отдаст 403 код статуса HTTP («Forbidden») страницу-заглушку.
фильтрационные списки IP-адресов, которые по ее мнению могут являться источниками нежелательного трафика и в отношении которых необходимо провести дополнительную валидацию, по результатам которой такой IP-адрес может быть отправлен в черный список.
Система не производит анализ HTTP-запросов в отношении IP-адресов, находящихся в:
белом (системном) списке, формируемом инженерными командами NGENIX, и содрежащем IP-адреса доверенных сетей.
белом (пользовательском) списке, формируемом заказчиком самостоятельно.
Пользовательский белый список для сервиса DDoS Protection имеет ограничение по количеству элементов в списке: до 20 000 шт.
Комплексная защита веб-ресурса от DDoS-атак
Для достижения максимального уровня защиты от DDoS-атак в составе ваше Аккаунта должны быть настроены следующие сервисы:
Edge Cloud Delivery: обеспечивает защиту от DDoS-атак уровня сети передачи данных.
Secure DNS: обеспечивает защиту от DDoS-атак на DNS.
DDoS Protection: обеспечивает защиту от DDoS-атак уровня приложений.
Edge Logic Rules: позволяет оперативно блокировать запросы с признаками нежелательного трафика (география, версия TLS, принадлежность vpn/tor/proxy и т.п.)
Last updated