Защита от DDoS
Системы защиты от DDoS-атак работают последовательно и образуют несколько эшелонов защиты.
Первый эшелон защиты предназначен для блокир�ования атак, детектируемых в результате анализа трафика на уровне сети передачи данных (L3/L4 уровни модели OSI). Второй эшелон защиты блокирует атаки, которые трудно выявить на уровне сети передачи данных, но можно детектировать на уровне приложений (L7 уровень модели OSI) в результате анализа HTTP-запросов. К таким типам атак, например, относятся атаки по протоколу HTTPS.
В дополнение к работе специализированных систем защиты Платформа обладает способностью демпфирования DDoS-атак на различных уровнях за счет большого запаса сетевых и вычислительных ресурсов. Это обеспечивает нормальное функционирование веб-ре�сурса в течение первой минуты DDoS-атаки до перехода систем защиты в режим фильтрации.
Встречаются случаи, когда защиту от DDoS-атак уровня приложений пытаются реализовать на базе ПО WAF, однако такой подход является малоэффективным, так как ПО WAF ориентировано на выявление атак с целью несанкционированного доступа и кражи данных, а не отказа в обслуживании.
Если вы собираетесь защитить веб-ресурс от взлома, то вы можете воспользоваться специализированными сервисами NGENIX на базе ПО WAF. В этом случае возникнет третий эшелон защиты с серверами WAF, которые анализируют и блокируют нежелательные запросы, направленные на эксплуатацию уязвимости веб-ресурса.
Система защиты от DDoS-атак уровня сети передачи данных представляет собой территориально распределенный программно-аппаратный комплекс, обеспечивающий защиту от DDoS-атак на уровне сети передачи данных и функционирующий на сети национального магистрального оператора связи «Ростелеком». Система производит постоянный анализ входящего трафика на Платформу. В случае обнаружения DDoS-атаки входящий трафик перенаправляется в центры очистки трафика, в которых происходит блокировка нежелательного трафика. В результате до Платформы NGENIX доходит только легитимный («очищенный») трафик. Центры очистки трафика работают независимо друга от друга, и в случае выхода из строя любого из них трафик будет автоматически перенаправлен на другие доступные центры очистки трафика.
Система защиты от DDoS-атак уровня приложений это программное решение, которое установлено на серверы доставки Платформы и обеспечивает защиту от DDoS-атак на прикладном уровне (L7 уровень модели OSI). Система производит анализ HTTP-запросов в постоянном режиме. В случае обнаружения DDoS-атаки нежелательный трафик блокируется, в результате чего до сервера оригинации доходит только легитимный («очищенный») трафик.
Анализ HTTP-запросов производится на основании информации, полученной с серверов доставки, обрабатывающих запросы пользователей к данным. Если серверы доставки не осуществляют терминиацию HTTPS, то информация о запросах может быть передана с сервера оригинации. Таким образом Платформа будет обеспечивать защиту от DDoS-атаки без раскрытия SSL.
Существуют два вида списков: сист�емные и пользовательские.
Пользовательские списки могут создаваться и изменяться пользователями. Системные списки создаются и редактируются системой защиты от DDoS-атак или инженерами службы сопровождения клиентских сервисов.
Система защиты от DDoS-атак уровня приложений использует следующие системные списки IP-адресов:
- Черный список. Формируется в автоматическом режиме на основании анализа HTTP-запросов и содержит IP-адреса источников нежелательного трафика. Если IP-адрес занесен в черный список, на любые HTTP-запросы с этого IP-адреса Платформа отдаст 403 код статуса HTTP («Forbidden») страницу-заглушку.
- Фильтрационный список. Формируется в автоматическом режиме на основании анализа HTTP-запросов и содержит IP-адреса, в отношении которых Платформа проводит дополнительную валидацию источников.
- Белый список. Формируется службой сопровождения клиентских сервисов и содержит IP-адреса доверенных сетей.
Вы можете самостоятельно формировать белые списки IP-адресов. Пользовательские белые списки IP-адресов имеют приоритет над системными списками IP-адресов системы защиты от DDoS-атак уровня приложений.
Платформа NGENIX обеспечивает защиту от DDoS-атак при настройке двух сервисов:
Сервис DDoS Protection анализирует поступающий на Платформу трафик и блокирует нежелательный трафик, при этом легитимный трафик не блокируется. Сервис настраивается для каждой серви�сной конфигурации, которую вы собираетесь защитить.
Сервис Secure DNS анализирует запросы к DNS и блокирует запросы, которые обладают признаками DDoS-атаки. Сервис настраивается для доменной зоны.
Если вы защищаете с помощью Платформы веб-ресурc полностью, то необходимо, чтобы все запросы к веб-ресурсу (к статическим и динамическим данным), в том числе и запросы к DNS, осуществлялись через Платформу NGENIX.
Last modified 1yr ago