Hetzner - DokuWiki

DDoS-Schutz/ru

DDoS

DDoS-атака (distributed denial-of-service / распределенный отказ в обслуживании) заключается в том, что атакующий отправляет тысячи поддельных запросов на сервер для перегрузки каналов связи и ресурсов сервера. При этом настоящие запросы обрабатываются очень медленно или не обрабатываются вовсе. Часто используется большое число скомпрометированных компьютеров (ботнеты), чтобы создать огромные объёмы трафика.

Удачная DDoS-атака может привести к серьёзному простою веб-приложений, сайтов, сервисов и ИТ-инфраструктуры. Проводимая на конкретный сервер атака может косвенно затрагивать и другие серверы, делая их недоступными.

Защита от DDoS-атак

В результате проведённого исследования систем противостояния DDoS-атакам компания Hetzner Online реализовала в своей сети инструменты защиты и предотвращения DDoS-атак на базе оборудования Arbor и Juniper. Наша трёхуровневая система позволяет провести чёткую границу между нормальным трафиком и злонамеренными атаками.

Передача данных в нормальных условиях

Ddos.png

Передача трафика через систему защиты от DDoS при атаке

Ddos-schutz.png

Система защиты от DDoS-атака состоит из следующих трёх слоёв:

1. Автоматическое распознавание атак по шаблонам

У нас уже была система опознавания DDoS-атак, базирующаяся на объёме трафика и размере пакетов. Теперь мы в состоянии определить тип атаки и отреагировать на него соответствующим образом. Так мы можем более точно определить тип атаки. Например, UDP-флуд с 500К pps для сервера не является проблемой. Вместе с этим 500К SYN-пакетов уже вызывают проблемы. Новая система позволила выявить это отличие.

2. Фильтрация трафика по известным шаблонам атак

Этот метод позволяет эффективно фильтровать большинство известных атак путём пропускания через очищающий фильтр. Это особенно эффективно при очистке атак следующих типов: DNS-Reflection, NTP-Reflection и UDP-флуд на порту 80.

3. Аутентификация вызов-ответ и динамическая фильтрация трафика

На этом финальном уровне мы фильтруем такие атаки как SYN-флуд, DNS-флуд и отправка некорректных пакетов. Мы также можем гибко реагировать на уникальные атаки и надёжно противостоять им.

Вышеприведённые техники предоставляют широкие возможности для автоматизации и шаг за шагом оптимизируются. С каждой новой атакой мы улучшаем систему, настраивая поведение фильтров.

Как это влияет на клиентов

Защита от DDoS-атак не потребует от клиентов дополнительной оплаты и доступна для всех клиентов. Система следит за атаками всё время — её способность определять атаки с каждым днём совершенствуется. При обнаружении DDoS-атаки динамические инструменты защиты сразу же включаются в работу и фильтруют атаку. Такой динамический подход позволяет не изменять трафик большинства клиентов.



© 2017. Hetzner Online GmbH. Alle Rechte vorbehalten.