Недавно REG.RU совместно с компанией DDoS Guard представил бесплатную автоматическую защиту от DDoS-атак. Защита срабатывает автоматически и способна выдержать атаку со скоростью более 100 Гбит/с, что позволяет избежать отключения серверов и сайтов, а, следовательно, потери клиентов и прибыли.
Проблема борьбы с DDoS-атаками встает перед всеми хостинг-провайдерами без исключения. Классические методы борьбы предполагают временную недоступность атакованного сайта, однако REG.RU и DDoS Guard смогли найти пути решения этой проблемы. Но обо всем по порядку.
Методы борьбы с DDoS-атакой
В настоящее время существует несколько подходов к защите от DDoS-атак:Первый подход – использование вендорского оборудования (Arbor, Cisco, Juniper и других). Этот подход, как правило, используется в случае, когда у компании нет возможности отдать эти задачи на аутсорсинг из-за повышенного уровня защиты информации.
В данном случае речь идет об использовании готовых аппаратных решений для фильтрации трафика. На входе в сеть устанавливается такой аппаратный firewall, который фильтрует входящий трафик. Он использует определенное количество базовых правил, по которым определяет, пропускать ли трафик дальше.
Главное преимущество данного подхода в том, что оборудование имеет официальную сертификацию и гарантированно справится с определенными видами атак. В спецификации к аппаратному решению указывается максимальный объем атаки и, если мощность атаки не превышает заявленных значений, все интернет-ресурсы будут функционировать в нормальном режиме.
Минусы этого подхода:
Доступна только одна точка присутствия;
Потолок защиты по полосе ограничен каналом, приходящим от аплинков оборудования;
Относительно низкая мощность при работе с атаками на исчерпание ресурсов, в связи с чем, сложно или невозможно динамично конфигурировать маршруты и распределять нагрузку;
Цена профессиональных решений начинается с пятизначных сумм (за защиту в 10 Гбит/с).
Второй подход – использование распределенной фильтрующей сети. Этот подход используется лидерами отрасли и выглядит наиболее перспективным.
Суть этого метода состоит в том, чтобы принять атаку как можно ближе к тому месту, где она генерируется. Это позволяет оптимально использовать сетевую инфраструктуру и не доставлять вредоносный трафик из одной точки в другую, а сразу его блокировать. В случае распределенной DDoS-атаки, когда трафик генерируется в нескольких странах, он будет перенаправлен по оптимальным маршрутам до ближайших точек присутствия (POP), подвергнется фильтрации и к адресату дойдет только легитимный, полезный трафик.
Важнейшим преимуществом подобной организации защиты является невероятная гибкость. Благодаря этому, можно сбалансировать трафик между точками присутствия и работать с фильтрами в режиме реального времени, настраивая их под защиту от актуальных техник DDoS-атак, которые постоянно видоизменяются и модернизируются. В последнее время злоумышленники стали очень изобретательны – зачастую легитимный трафик отличить от атакующего можно, только обладая специфическим опытом в сфере защиты.
Как работает DDoS Guard
В настоящее время компания DDoS-Guard располагает распределенной сетью с общей емкостью в 200 Гбит/с, позволяющей надежно и быстро проверять входящий поток трафика.Основные узлы сети: 
- Амстердам, Нидерланды;
- Франкфурт, Германия;
- Киев, Украина;
- Москва, Россия.
Существующая топология позволяет уверенно принимать большие объемы трафика, не создавая избыточной нагрузки на промежуточных операторов, обрабатывать локальный трафик России и Украины и имеет значительные резервы для расширения доступной входящей полосы. Следуя концепции постоянного роста, уже сейчас компания проектирует дополнительные точки присутствия и узлы очистки трафика в Северной Америке и Юго-Восточной Азии.
Архитектура сети проектируется с учетом возможных угроз и рисков, связанных с DDoS-атаками в три независимо-резервируемых слоя:
- Слой маршрутизации:
Основная задача - надежная маршрутизация больших объемов трафика, обеспечение связности с максимальным числом внешних сетей.
На этом уровне используются надежные и производительные маршрутизаторы. Максимальная проектная емкость каждого узла обработки трафика - 1400 Гбит/с, возможности быстрого расширения без перехода на порты 100GbE и изменения существующей топологии связности с внешними сетями - 440 Гбит/с.
- Резервированный кластер пакетной обработки (слой пакетной обработки):
Основная задача - распределенная проверка трафика на уровнях 3-4 модели OSI в условиях сверхвысоких пакетных нагрузок и суммарных объемов входящего потока в 100-200 Гбит/с на каждой точке присутствия.
Данный слой состоит из нескольких (2-5, в зависимости от точки присутствия) взаимно-резервированных устройств, производящих проверку пакетного трафика методами DPI. Используемые алгоритмы разработаны непосредственно инженерами компании DDoS Guard.
Необходимо обратить особое внимание на то, что проверка трафика и маршрутизация его конечному потребителю происходит непосредственно в точке приема, что сокращает задержки до минимума и создает дополнительные возможности резервирования.
- Резервированный кластер обработки запросов уровня приложения (слой приложений):
Основная задача - реализация методов проверки запросов уровней 5+ модели OSI - HTTP, HTTPs, DNS, SMTP и так далее. Здесь же происходит расшифровка, проверка и шифрование HTTPs-трафика.
Слой резервируется независимо от пакетной обработки и маршрутизации и не теряет работоспособности вплоть до полного выхода из строя всех узлов.
Примеры успешно отраженных атак в виде графиков загрузки каналов:
Несколько слов о BGP интеграции REG.RU и DDoS Guard
REG.RU является первым российским хостинг-провайдером, который стал предоставлять услугу защиты от DDoS-атак бесплатно и в автоматическом режиме.
С технологической точки зрения, защита клиентов REG.RU выглядит следующим образом:
REG.RU выделяет адресное пространство, в котором аккумулируются рисковые клиенты.
Имея основные сессии BGP с магистральными операторами, REG.RU дополнительно устанавливает BGP сессии c DDoS Guard и в случае атаки анонсирует сеть, которая нуждается в защите.
В дальнейшем весь трафик, который идет к REG.RU, проходит каскад фильтров и доставляется уже в отфильтрованном виде.
Со стороны DDoS Guard защита работает постоянно, в режиме реального времени, при этом весь мусорный трафик блокируется в полностью автоматическом режиме.
Доставка трафика по оптимальным маршрутам позволяет гарантировать низкие задержки для конечного пользователя.
Сейчас, в рамках партнерства REG.RU и DDoS Guard, поддерживается защита от атак типа
ICMP flood, TCP SYN flood, TCP-malformed, UDP flood, DNS query flood. В ближайшее время планируется поддержка защиты от атак HTTP/HTTPS flood.
Любой, кто создает сайт, рано или поздно может столкнуться с DDoS-атакой – серьезной опасностью. В это же время – это самая популярная опасность, которая может вывести из строя, дестабилизировать совершенно любую систему.
Более профессиональным языком, DDoS-атака – это распределенная атака, пользующаяся уязвимостями протокола TCP/IP, который как раз и является главным протоколом Сети.
Каковы негативные последствия Ddos-атаки?
Последствия очень печальны для владельца сайта, ведь это может быть не простой информационный сайт, а большой интернет-магазин или источник, содержащий еще более ценную информацию, потеря к доступу которого может принести многомиллионные потери.
Во время атаки теряется часть клиентов, так как сайт начинает работать медленно или вовсе становится недоступным.
Второе негативное последствие – сервис-провайдер может произвести блокировку IP-адреса жертвы, тем самым минимизировать ущерб для других.
Третье – после DDOS-атаки потребуются не только большие денежные средства, но и время на восстановление. Еще нужно будет найти «толковых» специалистов, которые помогут разобраться в этой проблеме.
Что же сделать, чтобы предотвратить такую атаку?
При этом многие владельцы сайтов задаются вопросом – а как организовать ДДОС защиту сайта
?
И для этого есть простое решение – заказать хостинг с ДДОС защитой
на нашем сайте – Prohoster.
Почему это самое лучшее решение Вашей проблемы?
Защита сайта от ДДОС
атак является настоящей головной болью многих владельцев сайта, Prohoster гарантирует высокий уровень безопасности в случае использования нашего хостинга.
5 главных преимуществ хостинга сайтов с DDOS защитой в Prohoster
Именно поэтому хостинг с ДДОС защитой Prohoster – это выбор нескольких сотен тысяч владельцев сайтов разной направленности.
Воспользуйтесь этой услугой прямо сейчас!
DDoS (Distributed Denial of Service) атака - это ряд злоумышленных действий, которые производит хакер, пытаясь перекрыть пользователям доступ к сервису. Такая атака может производиться по отношению к практически чему угодно: серверам, устройствам, сервисам, сетям, приложениям и даже специфическим транзакциям внутри приложений. Во время этого процесса хакер направляет на целевой ресурс вредоносные данные или запросы из нескольких разных систем.
Обычно такие атаки настолько сильно заваливают ресурс запросами данных, что он попросту не выдерживает нагрузку. В результате он прекращает работу из-за переизбытка запросов. Потери, которые повлечет за собой эта атака, могут быть минимальными - ресурс просто не будет какое-то время работать. Но иногда это может привести к глобальным негативным последствиям, особенно если перебои в работе сервиса очень сильно вредят его пользователям.
Мотивом, который толкает злоумышленника на DDoS атаку, может быть как желание просто развлечься, так и более серьезная цель - борьба за место на рынке или информационные войны, например. Поэтому хостинг с защитой от DDoS крайне важен как для коммерческих проектов, так и для информационных.
Довольно часто игровые серверы подвергаются атакам. Это могут делать и конкуренты в сфере игр, и независимые хакеры, которые просто хотят заработать себе немного славы, отрезав игрокам доступ к игре. Игровой хостинг с защитой от атак - это не роскошь для онлайн игр, а самая настоящая необходимость.
Хостинг с защитой от DDoS атак от King Servers
Конечно, можно самостоятельно попытаться защитить свой ресурс от злоумышленников. Но зачем, если есть уже готовое решение? Хостинг от King Servers уже обладает надежной защитой от атак, которая предотвратит любые попытки хакера отрезать пользователям доступ к вашему сервису.
Хостинг с ддос защитой предоставляет:
удаленную anti-DDoS систему безопасности;
полную безопасность ресурса от любого вида атак (SYN Flood, UDP/ICMP Flood, HTTP/HTTPS);
защищенные IP-адреса;
программно-аппаратный комплекс, который фильтрует трафик на скорости до 1 ТБит/сек. Грязный трафик переносится на ресурсы King Service, фильтруется, и затем чистый отфильтрованный трафик поступает на сам ресурс.
Сервер, на котором можно арендовать хостинг с защитой от DDoS и ssd, расположен в Нидерландах. IP-адрес клиента автоматически вносится в зону для фильтрации. Если злоумышленник совершает атаку на ресурс, команда King Servers внимательно следит за происходящим и контролирует ситуацию. Если необходимо, сервер дополняется фильтрами для повышения эффективности процесса фильтрации трафика.
Если вам нужна только защита хостинга, выход - удаленный anti-DDoS. Услуга удаленной защиты подключается и настраивается специалистами King Servers всего за 10 минут. Все, что нужно сделать клиенту - это предоставить доменное имя и IP-адрес и внести необходимые правки у регистратора домена. Для пользования этой услугой не нужно размещать ресурс на серверах King Servers. Он может находиться на любом другом хостинге.
Стоимость хостинга с защитой от атак зависит от количества трафика и мощности сервера, на который он поступает. Чем больше информации нужно будет обрабатывать фильтрам, тем дороже будет цена сервиса. Так же и в случае с удаленной защитой - стоимость услуги зависит от выбранного тарифа.
