Защита от DDoS-атак
Защита от DDoS — базовый рубеж scansecurity. Массовые атаки мы принимаем на свой узел фильтрации — это первая стена перед антиботом и WAF. Атака разбивается о наши серверы, а до вашего сайта доходят только живые посетители.
Что такое DDoS-атака
DDoS-атака — это попытка вывести сайт из строя массовой отправкой запросов. Злоумышленник использует множество устройств (ботнет), чтобы перегрузить сервер, занять его каналы связи или исчерпать вычислительные ресурсы.
Типичные проявления DDoS-атаки:
- сайт начинает работать медленнее обычного;
- страницы загружаются с задержкой или не открываются вовсе;
- сервер тратит ресурсы на обработку мусорного трафика, а не реальных пользователей.
Как включить защиту
- Подключите домен — Добавьте сайт в разделе «Мои сайты» и переключите DNS на наши серверы — как описано в «Быстром старте».
- Проверьте статус — Когда DNS распространится, домен получит статус «Под защитой». Защита от DDoS на этом этапе уже активна.
- Настройте агрессивность — На вкладке домена выберите уровень агрессивности фильтрации — от минимального до максимального, в зависимости от того, насколько ваш сайт подвержен атакам.
Механизмы защиты
Узел фильтрации смотрит на трафик на лету, находит подозрительные запросы и режет их — сайт продолжает работать как обычно. Под капотом за это отвечают несколько отдельных механизмов.
- Потоковые атаки любого типа — Огромный поток мусорных запросов принимаем на себя. До вашего сервера не долетает ничего лишнего — защита работает с первой минуты после переключения DNS.
- Атаки через чужие серверы — Амплификация — усиление атаки через открытые серверы в интернете. Такой трафик распознаём по характерным признакам и режем на входе.
- Боты с поддельными отпечатками — Бот может назваться браузером, но его выдаёт сетевой «отпечаток». Подделку распознаём на лету и блокируем ещё до обработки запроса.
- Умные пороги под ваш трафик — Порог срабатывания подстраивается под обычную нагрузку сайта. Легитимные пики (рассылка, акция) не блокируются — режется только реальный мусор.
- Проверка на «живость» — При подозрительной нагрузке посетитель проходит скрытую браузерную проверку (JS-challenge). Человек её не замечает, а простой бот спотыкается.
- Запас по мощности — Инфраструктура масштабируется под размер атаки: чем крупнее тариф, тем больше запас. Небольшой сайт защищён так же надёжно, как крупный магазин.
Уровни фильтрации
Атаки бывают разной природы, поэтому фильтрация многоуровневая. Каждый уровень отвечает за свой класс угроз:
| Уровень | Класс атак | Как защищаем |
|---|---|---|
| Сетевой | Объёмные флуды, заполнение канала | Поглощаем трафик на узле фильтрации, ваш канал не забивается |
| Транспортный | Полуоткрытые соединения, амплификация | Отсекаем некорректные и усиленные пакеты на входе |
| Прикладной (L7) | HTTP-флуд, частые запросы к тяжёлым страницам | Считаем поведение, режем аномальную частоту запросов |
| Поведенческий | Боты под видом браузеров | Проверка на «живость» и анализ отпечатка клиента |
Агрессивность защиты
Агрессивность определяет, насколько строго узел фильтрации относится к подозрительному трафику. На минимальном уровне браузерная проверка почти не используется и включается только при явной атаке. На максимальном — проверку проходит каждый новый посетитель.
Работа в цепочке защиты
Защита от DDoS — первый рубеж в цепочке. Сначала отсекается объёмный мусор, и только то, что прошло этот фильтр, попадает на следующие рубежи: антибот разбирается с автоматизированным трафиком, а WAF проверяет содержимое запроса на попытки взлома. Такой порядок экономит ресурсы и снижает число ложных срабатываний.
Перенаправление трафика
После переключения DNS все запросы к сайту идут на наш узел фильтрации, а не сразу на ваш сервер. Чистый трафик мы передаём на origin по указанному целевому IP. Реальный адрес сервера посетители не видят — поэтому ударить по нему напрямую не выйдет.