Защита оборудования от DDoS-атак¶

В этой статье

• Базовая DDoS-защита
• Расширенная DDoS-защита
• Отличия сервисов

DDoS-атаки представляют серьезную угрозу для современных веб-ресурсов и интернет-сервисов. Распределенные атаки типа "отказ в обслуживании" могут полностью вывести из строя критически важные системы, парализовав работу целых компаний и организаций. Поэтому обеспечение надежной защиты от DDoS-атак является первостепенной задачей для поддержания бесперебойной работы онлайн-сервисов. HOSTKEY предлагает два варианта комплексного решения против DDoS от компании DDoS-Guard: базовая бесплатная и расширенная платная версии. Каждое из этих решений имеет свои особенности активации, уровень защиты и предоставляемые возможности.

Базовая DDoS-защита¶

Базовая DDoS защита - комплексное решение против DDoS-атак, использующее анонсирование маршрутов через BGP и фильтрацию трафика. Все защищаемые сети анонсируются всем провайдерам, включая DDoS-Guard, обеспечивая оптимальную доступность входящего трафика через стандартный BGP AS-PATH. Внешние провайдеры знают о наличии нескольких AS-PATH до этих сетей и хранят маршруты в базе данных маршрутной информации (RIB) роутеров.

Для мониторинга входящего трафика настроен анализ Sflow на всех апстримах. При превышении порогового значения для конкретного IP (порт сервера + 50% пропускной способности порта) срабатывает триггер. После этого подсеть перестает анонсироваться всем апстримам, кроме DDoS-Guard. Таким образом, провайдеры очищают информацию из RIB о других AS-PATH, оставляя единственный маршрут до атакуемой подсети через DDoS-Guard. DDoS-Guard фильтрует трафик, пропуская к серверу только очищенный поток.

По истечении 2 часов подсеть вновь анонсируется всем апстримам. Если атака продолжается, механизм сработает повторно. Предусмотрена возможность защитить инфраструктуру, даже если атака настолько сильна или сложна, что пробьет защиту DDoS-Guard. В этом случае, при повторном срабатывании триггера через 10 минут после первого, когда подсеть уже под защитой, активируется механизм DDoS блэкхоул. Он отправляет маршрут /32 всем провайдерам, блокируя трафик на конкретный IP-адрес. Разблокировка произойдет автоматически через 2 часа после активации блэкхоула.

Данное решение обеспечивает многоуровневую защиту сетей от DDoS-атак, комбинируя технологии анонсирования маршрутов, фильтрации трафика и блэкхоулинга для достижения максимальной эффективности и отказоустойчивости.

Расширенная DDoS-защита¶

Бесплатная версия защиты от DDoS-атак имеет несколько недостатков в предыдущем варианте реализации. При обработке сценария защиты происходит небольшая деградация сервиса в течение нескольких минут из-за потерь при переводе подсети на DDoS-Guard. Хотя внесение изменений в базу данных маршрутной информации (RIB) обычно позволяет плавно переключиться на другой маршрут, и деградация сервиса все же присутствует.

Кроме того, перенос под защиту происходит только при грубом нарушении пороговых значений, то есть при самых простых и действенных атаках. Однако такой механизм не защищает от атак, направленных на уязвимости протоколов, например, небольших (порядка 20 Мбит/с) SYN flood или UDP-flood атак. Этот поток трафика не превысит пороговых значений, и подсеть не перейдет под защиту. Хотя такие атаки не критичны для большинства сервисов, некоторые, например веб-сайты, могут испытывать значительную деградацию производительности.

Для решения этой проблемы предоставляется защита для таких сервисов на постоянной основе. Выделены несколько подсетей, специально предназначенных для этих целей. Эти подсети анонсируются только через DDoS-Guard и постоянно очищаются от вредоносного трафика. Поскольку трафик данных подсетей обходится дорого, эта услуга предоставляется на платной основе. Таким образом, расширенная версия защиты от DDoS-атак позволяет обеспечить безопасность критически важных сервисов от различных типов DDoS-атак, включая атаки на уязвимости протоколов и небольшие атаки, которые могут не превышать пороговых значений в обычном режиме защиты.

Отличия сервисов¶