Как мы защищаем клиентов хостинга от DDoS-атак

Количество DDoS-атак растёт с каждым годом, они становятся сложнее и наносят огромный ущерб бизнесу. 11 самых крупных атак 2020 года заставили своих жертв потратить около $144 млн на оплату выкупа и восстановление веб-сервисов.

Если вы покупаете хостинг на выделенном или виртуальном сервере, очень важно убедиться, что провайдер может предоставить вам надёжную защиту от DDoS-атак.

Рассказываем, как мы защищаем клиентов нашего хостинга от злоумышленников.

Какие бывают DDoS-атаки

Сейчас большинство DDoS-атак сложные: злоумышленники одновременно используют разные методы, чтобы «положить» сервер. Но глобально все атаки можно разделить на три типа:

1. Volumetric-атаки (объёмные атаки или флуд) — на сервер посылается огромное количество запросов, которые перекрывают всю пропускную способность сети и делают ресурс недоступным. Самые известные примеры — DNS Amplification, DNS Flood, ICMP Flood и SYN Flood.
2. Protocol-атаки используют уязвимости сетевых протоколов, в отличие от атак первого типа, выводят ресурс из строя не большим объёмом трафика, а точечными действиями, направленными на слабые места сети. Типичный пример такой атаки — POD (Ping of Death).
3. Application-атаки — атаки на уровне приложения (седьмой уровень модели OSI), которые направлены непосредственно на веб-сервис. Самые распространённые атаки этого типа — Slowloris и HTTP Flood.

Как EdgeЦентр защищает клиентов хостинга от DDoS-атаки

У нас есть два типа защиты от DDoS-атак: базовая и расширенная.

Базовая DDoS-защита

Базовая защита доступна по умолчанию для всех клиентов хостинга. Она бесплатная. Вы получаете её автоматически вместе с сервером, и дополнительно ничего подключать не нужно.

Защита работает на всех выделенных и виртуальных серверах, доступна на всех локациях хостинга.

Как это работает:

1. Весь входящий трафик анализируется. Проверяется количество уникальных IP-адресов, учитываются скорость передачи пакетов, битовая скорость и другие показатели.
2. Трафик проходит фильтрацию по базовым правилам. Этот режим очистки хорошо работает против широко распространенных volumetric-атак.
3. Система блокирует подозрительные запросы. Доступ к вашему сайту получают только настоящие пользователи.

Базовая защита эффективна против атак, использующих следующие протоколы и системы:

• DNS
• NTP
• SSDP
• MSSQL
• LDAP
• SNMP
• CharGen
• Memcache
• RIP

Но при этом у неё есть свои недостатки и ограничения:

• Трафик меньше 200 Мбит/с не детектируется. Это значит, что защита окажется бесполезной против атак малого объёма, например Slowloris.
• Недоступна настройка правил. Вы не сможете закрыть порты, добавить IP-адреса в чёрный список или установить другие правила. Эта опция работает только в расширенной версии защиты.
• При атаке большого объёма система временно блокирует все запросы к атакуемому IP-адресу. Злоумышленники не смогут занести вирус или украсть ценные данные, но и для реальных клиентов ваш ресурс тоже будет временно недоступен.
• В момент блокировки на электронную почту автоматически отправляется уведомление. В нём будет указано время, когда IP-адрес снова будет доступен.

Кроме защиты данных, блокировка IP-адреса позволяет нам сохранить работоспособность остальных серверов. Например, если цель атаки — конкретный VDS, он будет заблокирован, а остальные VDS, находящиеся на том же физическом сервере, не пострадают.

Базовой защиты будет достаточно, если у вас небольшой бизнес и вы крайне редко подвергаетесь DDoS-атакам или если вы только начинаете свой проект в интернете. Ресурсы будут защищены, и при этом вы экономите бюджет.

Расширенная DDoS-защита

Базовая защита обезопасит вас от многих типов атак, подойдёт для небольших проектов или на первое время.

Но даже если вы только начинаете онлайн-бизнес и ещё ни разу не подвергались DDoS-атакам, стоит учитывать, что в будущем ваш проект наверняка будет расти. Да и количество атак с каждым годом увеличивается.

Если вам важно, чтобы ваши веб-сервисы всегда оставались доступны для пользователей, а все попытки злоумышленников «положить» ресурс отбивались ещё на подходе, лучше подключить расширенную защиту.

Это платный продукт. Но он обеспечивает комплексную защиту от всех известных DDoS-атак на сетевом, транспортном уровнях и уровне приложений.

Принцип работы расширенной защиты практически не отличается от базовой. Но с ней у вас есть больше возможностей. Вы можете:

• настроить правила фильтрации вплоть до анализа содержимого пакета на L7 OSI;
• заблокировать адреса или разрешить доступ к серверу по геолокации;
• защититься от сложных UDP-атак;
• противостоять «умным» атакам с малым объёмом трафика.

В расширенной версии ваши ресурсы останутся доступными для клиентов даже при массивной атаке объёмом более 5 Гбит/с. Наши центры фильтрации способны пропускать через себя суммарно более 1,5 Тбит/с. Весь вредоносный трафик будет заблокирован с первого запроса, а настоящие клиенты смогут пользоваться вашим веб-сервисом и не заметят никаких изменений в его работе.

Как мы защищаем клиентов хостинга от DDoS-атак

Несколько фактов о расширенной защите от DDoS-атак:

• Защищаем от любых типов volumetric-атак.
• Помогаем справляться с SYN/ACK/RST Flood атаками.
• Можем анализировать трафик вплоть до L7.
• Детектируем и успешно защищаем от атак, использующих TLS.
• Профиль защиты формируется индивидуально в соответствии с профилем трафика и типом предоставляемого сервиса.
• Защиту можно интегрировать с клиент-серверными приложениями.
• Предоставляем доступ к детальной статистике.
• Сообщим об обнаружении DDoS-атаки удобным вам способом.
• Техническая поддержка 24/7 совместно с инженерами Security Operations Center.
• Помимо защиты серверов, мы предоставляем защиту сайтов и приложений от ботов. Предотвратим парсинг, брутфорс, рекламный фрод. Не позволим злоумышленникам украсть контент с вашего ресурса или взломать аккаунты ваших пользователей.

Ещё у нас есть эффективный WAF (Web Application Firewall), который защитит ваше веб-приложение от взлома. Файрвол блокирует атаки, вычисляет уязвимости приложения и даёт рекомендации по их устранению.

Подведём итоги

1. Количество DDoS-атак с каждым годом растёт, они становятся сложнее. Поэтому, выбирая хостинг-провайдера, обязательно стоит обращать внимание на то, как он защищает своих клиентов.
2. У EdgeЦентр есть два типа защиты от DDoS-атак: базовая и расширенная.
3. Базовая защита бесплатна, доступна всем клиентам нашего хостинга по умолчанию. Она эффективна против многих популярных угроз. Её будет достаточно, если вы только начинаете бизнес в интернете или у вас небольшой проект и вы крайне редко подвергаетесь атакам.
4. Если вы хотите обезопасить ресурсы от всех известных угроз так, чтобы сервисы оставались доступны для клиентов даже при самых мощных атаках, мы советуем подключить расширенную версию защиты. Дополнительно можно подключить умный WAF, который не позволит злоумышленникам взломать ваше веб-приложение.

Подключите комплексную защиту сейчас и забудьте о существовании DDoS-атак.