Защита от DDoS

Защита от DDoS-атак на Платформе NGENIX обеспечивается работой двух систем:

Системы защиты от DDoS-атак работают последовательно и образуют несколько эшелонов защиты.

Первый эшелон защиты предназначен для блокирования атак, детектируемых в результате анализа трафика на уровне сети передачи данных (L3/L4 уровни модели OSI). Второй эшелон защиты блокирует атаки, которые трудно выявить на уровне сети передачи данных, но можно детектировать на уровне приложений (L7 уровень модели OSI) в результате анализа HTTP-запросов. К таким типам атак, например, относятся атаки по протоколу HTTPS.

В дополнение к работе специализированных систем защиты Платформа обладает способностью демпфирования DDoS-атак на различных уровнях за счет большого запаса сетевых и вычислительных ресурсов. Это обеспечивает нормальное функционирование веб-ресурса в течение первой минуты DDoS-атаки до перехода систем защиты в режим фильтрации.

Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным, так как ПО WAF ориентировано на выявление атак с целью несанкционированного доступа и кражи данных, а не отказа в обслуживании.

Если вы собираетесь защитить веб-ресурс от взлома, то вы можете воспользоваться специализированными сервисами NGENIX на базе ПО WAF. В этом случае возникнет третий эшелон защиты с серверами WAF, которые анализируют и блокируют нежелательные запросы, направленные на эксплуатацию уязвимости веб-ресурса.

Система защиты от DDoS-атак уровня сети передачи данных

Система защиты от DDoS-атак уровня сети передачи данных представляет собой территориально распределенный программно-аппаратный комплекс, обеспечивающий защиту от DDoS-атак на уровне сети передачи данных и функционирующий на сети национального магистрального оператора связи «Ростелеком». Система производит постоянный анализ входящего трафика на Платформу. В случае обнаружения DDoS-атаки входящий трафик перенаправляется в центры очистки трафика, в которых происходит блокировка нежелательного трафика. В результате до Платформы NGENIX доходит только легитимный («очищенный») трафик. Центры очистки трафика работают независимо друга от друга, и в случае выхода из строя любого из них трафик будет автоматически перенаправлен на другие доступные центры очистки трафика.

Система защиты от DDoS-атак уровня приложений

Система защиты от DDoS-атак уровня приложений это программное решение, которое установлено на серверы доставки Платформы и обеспечивает защиту от DDoS-атак на прикладном уровне (L7 уровень модели OSI). Система производит анализ HTTP-запросов в постоянном режиме. В случае обнаружения DDoS-атаки нежелательный трафик блокируется, в результате чего до сервера оригинации доходит только легитимный («очищенный») трафик.

Анализ HTTP-запросов производится на основании информации, полученной с серверов доставки, обрабатывающих запросы пользователей к данным. Если серверы доставки не осуществляют терминиацию HTTPS, то информация о запросах может быть передана с сервера оригинации. Таким образом Платформа будет обеспечивать защиту от DDoS-атаки без раскрытия SSL.

Система защиты от DDoS-атак уровня приложений использует следующие списки IP-адресов:

  • Черный список. Формируется в автоматическом режиме на основании анализа HTTP-запросов и содержит IP-адреса источников нежелательного трафика. Если IP-адрес занесен в черный список, на любые HTTP-запросы с этого IP-адреса Платформа отдаст 403 код статуса HTTP («Forbidden»).

  • Фильтрационный список. Формируется в автоматическом режиме на основании анализа HTTP-запросов и содержит IP-адреса, в отношении которых Платформа проводит дополнительную валидацию источников.

  • Белый список. Формируется службой сопровождения клиентских сервисов и содержит IP-адреса доверенных сетей.

Если вы хотите самостоятельно формировать белые и черные списки IP-адресов, воспользуйтесь сервисом Dynamic Access Control. Списки IP-адресов, созданные в рамках сервиса Dynamic Access Control, имеют приоритет над списками IP-адресов системы защиты от DDoS-атак уровня приложений.

Комплексная защита веб-ресурса от DDoS-атак

Платформа NGENIX обеспечивает защиту от DDoS-атак при настройке двух сервисов:

Сервис DDoS Protection анализирует поступающий на Платформу трафик и блокирует нежелательный трафик, при этом легитимный трафик не блокируется. Сервис настраивается для каждой сервисной конфигурации, которую вы собираетесь защитить.

Сервис Secure DNS анализирует запросы к DNS и блокирует запросы, которые обладают признаками DDoS-атаки. Сервис настраивается для доменной зоны.

Если вы защищаете с помощью Платформы веб-ресурc полностью, то необходимо, чтобы все запросы к веб-ресурсу (к статическим и динамическим данным), в том числе и запросы к DNS, осуществлялись через Платформу NGENIX.