Рейтинг
0.00

DDOS GUARD хостинг

10 читателей, 85 топиков

Подключи AS к защите за 15 минут и тестируй 7 дней

Команда DDoS-GUARD модернизирует сервисы для своих пользователей, чтобы активация услуг была простой и быстрой.

Представляем вам «Мастер подключения» услуги Защита сетевой инфраструктуры DDoS-GUARD. Он позволит автоматизировать и ускорить процесс активации защиты.
ddos-guard.net/ru/store/network-protection

При подключении с помощью Мастера, владельцы автономных систем получат 7 дней бесплатного пробного периода, чистую полосу в 1 Гбит/с и техподдержку 24/7. Тестовый период включает весь функционал: вы можете в полной мере оценить защиту сети DDoS-Guard.

Как самостоятельно подключить услугу Защита сети от DDoS-атак
ddos-guard.net/ru/manual/category/zashishennyj-ip-tranzit#128


https://ddos-guard.net

Аналитический отчет DDoS-GUARD о DDoS-атаках 2018-2020



В 2020 году мир столкнулся с пандемией коронавирусной инфекции. Локдаун во многих странах стал причиной еще большего проникновения интернета в жизнь мирового сообщества. Количество пользователей всемирной сети увеличилось на 7% – это 298 миллионов новых пользователей. По данным DataReportal в “ковидное” время люди проводили онлайн в среднем 100 дней в прошлом году. Широкое распространение получили устройства «Интернета вещей» (IoT) и облачных сервисов.

Вместе с распространением интернета участились и усилились DDoS-атаки. Злоумышленники стали действовать быстрее, изощреннее, масштабнее. Во многих странах организация DDoS-атак является незаконной деятельностью, но заказать ее по-прежнему не представляет особого труда. Этим пользуются недоброжелатели и конкуренты по рынку.

DDoS-атаки — серьезная угроза доступности интернета. Время простоя сервиса, задержки в работе или недоступности сайта могут существенно повлиять на репутацию бренда, доверие клиентов и доход компании.

Какими были атаки на клиентов DDoS-Guard за последние три года? Читайте в нашем отчете.

Отчет содержит наблюдения за DDoS-атаками на клиентов DDoS-Guard за 2018-2020 годы.

Ключевые моменты
Количество атак: Количество атак на сеть DDoS-Guard каждый год увеличивается вдвое. Если считать данные за 2020 год максимальными (100%), то показатели за 2019 год — 57%, а за 2018 и вовсе 33%.


Продолжительность: 98% всех наблюдаемых атак длились менее 1 часа.

Размер: Наблюдается тенденция смещения на крупные DDoS-атаки размером более 5 Гбит/с.

Крупные DDoS-атаки: Количество атак более 100 Гбит/с в 2019 году выросло в 6,3 раз по сравнению с 2018 годом и продолжило расти меньшими темпами в 2020 году.

Распределение атак по месяцам
Впервые в 2020 году во всех месяцах, кроме октября, общее количество зафиксированных нами DDoS-атак на уровнях L3-L4 OSI превысило количество атак в самый активный месяц 2019 года — август.

Самым насыщенным месяцем 2020 года был январь. Количество DDoS-инцидентов в январе в 2,8 раза превысило среднемесячный показатель 2019 года.

Анализ распределения количества атак по месяцам за 3 года дает понять, что атаки злоумышленников не носят сезонный характер. Только август стабильно входит в топ-3 самых насыщенных месяцев года.



Распределение DDoS-атак по дням недели
Самыми активными днями недели в 2020 году для DDoS-атак были среда, четверг и пятница. В понедельник и выходные дни нами был замечен спад активности.



Параметры атак
Существуют разные способы измерения размера DDoS-атак на уровне L3-L4 OSI. Один из них — это объем трафика или его битрейт (бит в секунду). Другой — это количество пакетов или «скорость передачи пакетов» (пакетов в секунду).

Атаки с высокой скоростью передачи данных перегружают сетевые каналы, а атаки с высокой скоростью передачи пакетов нацелены на исчерпание пакетной производительности маршрутизаторов, серверов или другого оборудования.

Структура
В 2020 году большинство атак были размером в диапазонах 1-5 Гбит/с и 1-10 млн пакетов в секунду (Mpps) — большинство атак совершаются любителями с использованием простых инструментов, которые стоят не более нескольких долларов. Небольшие атаки могут также служить уловкой для инженеров по безопасности: ими отвлекают от других видов кибератак или проверяют существующие механизмы защиты.


Размер
Последние 2 года наблюдается рост атак размером более 100 Гбит/с. Количество таких атак в 2019 году выросло в 6,3 раза по сравнению с 2018 годом и продолжило расти в 2020 году.


Увеличение количества крупных DDoS-атак — тревожный знак. Это происходит из-за того, что увеличивается мощность телекоммуникационного оборудования, доступные для конечного пользователя скорости передачи данных становятся выше, злоумышленники становятся все изощреннее и используют инструменты, которые позволяют проводить более масштабные атаки. Также необходимо отметить, что все чаще крупные атаки имеют негативные последствия не только для сети компании, но и для промежуточных поставщиков услуг — хостинг-провайдеров, дата-центров, интернет-провайдеров.

Протоколы
Вектор атаки — это термин, который используется для описания метода атаки. Самыми популярными атакуемыми протоколами в 2020 году по прежнему являются TCP и UDP. На них приходится 59% и 28% случаев соответственно.


Защита сетевой инфраструктуры от DDoS-атак
DDoS-Guard с 2011 года специализируется на защите от DDoS-атак на уровнях L3-L7 OSI. Для этого мы используем уникальные каскады фильтров, технологии искусственного интеллекта и собственные разработки. Непрерывную работоспособность обеспечивают высококлассные специалисты отрасли. Круглосуточно мы на страже вашего бизнеса в сети.

Нам доверяют тысячи клиентов, среди которых: hh.ru, Reg.ru, Apteka.ru, ISP system, Центральный банк России, Авантел, Мастертел, ПрофМедиа, КонсультантПлюс, АиФ, АвтоРадио, Университет Синергия, НТВ, СберСтрахование, ТТК, Высшая школа экономики, Хёрст Шкулёв Паблишинг.

Клиенты выбирают защиту DDOS-GUARD, потому что у нас:
  • геораспределенная сеть с узлами фильтрации по всему миру;
  • собственные разработки для анализа и фильтрации трафика;
  • прозрачная ценовая политика без тарификации за атаки;
  • бесплатный тестовый период для типовых решений;
  • детализированная статистика по трафику в личном кабинете.
Больше информации о защите сетевой инфраструктуры вы можете посмотреть здесь.

Для заказа индивидуальной консультации специалиста отправьте письмо на электронный адрес sales@ddos-guard.net.

https://ddos-guard.net

Обидеть хостера каждый может. Должен ли провайдер отвечать за контент своих клиентов?



Сабж
Российский хостинг-провайдер (далее – хостер) «Макхост» был оштрафован в ноябре 2020 года за то, что предоставлял услуги сайтам. Там любой желающий мог приобрести, казалось бы, безобидный товар – плюшевого персонажа знаменитого мультсериала «Свинка Пеппа».

Гендиректор «Макхоста» сказал в интервью «Коммерсанту» следующее: «Присужденная сумма такова, будто хостинг-провайдер сам продавал эти игрушки и наживался, но никаких доходов от игрушек провайдер не получал, доходы от хостинга каждого сайта находятся в пределах 500 рублей в месяц».

В то же время, основной закон в сфере блокировки информации ФЗ N 149 содержит исчерпывающие основания для блокировки, а процедура урегулирования таких конфликтов предусмотрена только в отношении владельца сайта. Но никак не в отношении хостера.

Справедливо ли наказывать провайдера, который оказывает услуги? Имеют ли законы сетевого нейтралитета право на существование в современных интернет-реалиях? Должен ли хостер быть рефери на нивах различной запрещенки? Эти вопросы вдохновили нас на написание этой статьи.

«Русские хакеры» vs американский демократический строй
Наша компания предоставляет сетевой сервис по защите от DDoS-атак. И, к сожалению, мы тоже столкнулись с трудностями из-за действий клиента, пусть и немного иного характера.

История берет начало в ноябре 2020 года. Американский кибер–аналитик Брайан Кребс обратился к подписчикам в твиттере со следующими словами:


После чего нам написал представитель сети американских дата-центров CoreSite, где располагался наш узел фильтрации трафика. Суть обращения проста – для продолжения работы с дата–центром в Лос–Анджелесе нам было необходимо перестать обслуживать домены, определенным образом связанные с ХАМАС.

Мы предполагаем, что некое третье лицо (заказчик сервиса) воспользовалось нашим бесплатным сервисом для подключения доменов, так или иначе связанных с ХАМАС.

Это лицо может быть одновременно и владельцем и администратором сайта, а может быть и сторонним заказчиком. Эти данные скрыты. Причем установить связь заказчика сервиса с указанным доменом невозможно — для этого потребовалось бы чуть ли не собственная разведывательная служба.

7 января 2021 года нас ошарашило очередное письмо от CoreSite. Американская сторона решила в одностороннем порядке завершить с нами сотрудничество. Партнеры обуславливали решение тем, что мы водили их вокруг пальца и не прекратили обслуживать доменные имена, связанным с ХАМАС. Только через пару дней в сети мы обнаружили причину расторжения контракта с CoreSite – исследование Брайана Кребса, опубликованное 5 января.


Кибер-аналитик, поклонник теорий заговоров, господин Кребс обнаружил, что наш клиент, канадский провайдер VanwaTech, обслуживал доменные имена организаций, имеющих, мягко говоря, неоднозначную репутацию.

Среди них печально известный имиджборд 8chan и портал, посвященный популярной теории заговора QAnon. Особое внимание приковано к 8chan, ведь, по данным Кребса, сторонники Дональда Трампа обсуждали там организацию разгрома Капитолия, произошедшую 6 января 2021. Вскоре и с VanwaTech было прекращено сотрудничество, о чем в статье рассказали журналисты The Guardian.

Тут же CoreSite услужливо демонтировал и сложил оборудование компании до нашего приезда. И несмотря на то, что ситуация разворачивалась в новогодние праздники, мы сделали так, что наши клиенты не заметили потери узла фильтрации.

После того, как ситуация приобрела мировой масштаб, на нас обрушился шквал запросов СМИ со всех краев земного шара: журналистам было интересно, есть ли в этой истории пресловутый “русский след”, и как в этом замешана наша компания.

На этом чудеса, как говорится, не закончились. История, которая получила еще бОльшую огласку, случилась с нами на пару со скандальной социальной сетью Parler.com. О нашей связи с ними, кстати, тоже писал Кребс, но уже заранее запросив наш комментарий.


Журналисты Reuters усмотрели наш IP-адрес в А-записях Parler, тут же решив, что мы предоставляем социальной сети услуги хостинга. Коллеги связали это с фактом расторжения сотрудничества Parler с хостингом Amazon, а также с удалением социальной сети из магазинов приложений Google и Apple.

Мы снова начали отстаивать правду перед всем миром, но уже не только перед журналистами, но и перед экспертами и рядовыми читателями. Об этом, кажется, не слышал только глухой. Федеральные СМИ, профильные YouTube-каналы и даже «Редакция» Пивоварова – все эти средства коммуникаций так или иначе обозначали нашу компанию как фигуранта этого неоднозначного дела. Мы сказали мировому сообществу, что мы услуг хостинга Parler не предоставляем, а лишь защищаем сайт от DDoS-атак – это наша первоочередная задача.



Собственно, хостинг
В связи с тем, что многие не понимают, как работает закон в отношении хостера, мы попытаемся приоткрыть завесу тайны. Хотя, не такая уж это и тайна.

Юридическая сторона вопроса. Section 230 – крик души сетевого нейтралитета

Начнем с сетевого нейтралитета. Его суть здорово описана законодателями из Соединенных Штатов в так называемой Section 230. В переводе на русский язык нормативный акт звучит примерно так:

«Ни провайдер, ни пользователь интерактивного компьютерного сервиса не считаются издателем или носителем какой-либо информации, предоставленной другим провайдером информационного контента».

Проще говоря, компании, которые предоставляют хостинг для сервисов в интернете, не считаются авторами сообщений, которые размещены на этих сервисах. И поэтому хостеры не должны нести ответственность за контент клиентов, даже если этот контент незаконный.

По словам экспертов, закон не делает хостеров нейтральными, наоборот, Section 230 приспосабливает их к современным интернет-реалиям. Специалисты считают, что закон подтолкнул хостеров выстраивать собственные отношения с клиентами и внедрять модерацию контента.

Хостер и право. Россия
Отечественное законодательство относится к хостерам, владельцам сайтов и судопроизводству по этим вопросам несколько иначе.

ФЗ N 149 «Об информации, информационных технологиях и о защите информации» — этот закон регулирует права на поиск, передачу, распространение, производство и защиту информации.

Отечественным правом было определено, что хостер – это лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, которая постоянно подключена к интернету. Тогда же провайдеру хостинга отвели роль информационного посредника.

Досудебная процедура удаления контента заключается в разрешении вопроса о правомерности использования: хозяин прав просит об удалении размещенного владельцем сайта контента и предоставляет владельцу сайта доказательства своих авторских или иных прав.

Владелец сайта, в свою очередь, может возразить — он мог ранее приобрести права на этот объект, либо объект находился в открытом доступе. Для владельца сайта имеется интерес в размещении контента — он может получать прибыль от использования сайта, либо от предоставления сайта как площадки для общения пользователей в Интернете.

Тем самым все требования, заявленные к провайдеру как к третьему лицу, исчерпываются требованиями об ограничении информации по решению компетентного суда, который внимательно проверяет основания для такого заявления. Именно такие решения и исполняет хостер.

Без судебного решения, даже если лицо обратится в Роскомнадзор с требованием удалить контента правообладателя, никаких ограничительных мер со стороны Роскомнадзора не последует, поскольку это не входит в его полномочия.

1 февраля 2021 года вступил в силу закон, согласно которому социальные сети должны самостоятельно выявлять и блокировать запрещенный контент.

Однако, нужно обратить внимание, что данный закон применим к социальным сетям, в которых имеются российские пользователи, численность которых должна соответствовать установленным законом пределам, а также находится в перечне специального реестра Роскомнадзора. На текущий момент, тот же Parler, как американская социальная сеть под эти требования не попадает.

Интересно будет вспомнить материал РБК, написанный спустя год после появления на свет закона о безопасности информационной инфраструктуры России (ФЗ N 187). За 12 месяцев существования правового акта, судебные иски подавали исключительно к хостерам, а ответчики лишь трижды явились на слушания по делам.

А что Amazon?
От Parler отвернулись американские it-гиганты. В частности, Amazon прекратил оказывать услуги хостинга одиозной социальной сети. Parler подал иск на Amazon в суд, чтоб доказать противоправность действий корпорации, но судейская мантия пока еще не приняла соответствующее решение.

Преподаватель Гарвардского юридического факультета Эвелин Доук ожидает, что между сайтами и хостерами разгорятся новые конфликты из–за высказываний в интернете.

Она считает, что социальная сеть – неподходящее место для модерации контента. Также Доук упомянула, что компания Amazon приводит 98 материалов спорного содержания в судебных документах по делу о Parler.

«Это меня даже слегка рассмешило», – сказала она в интервью американскому изданию WRVO. «Amazon вообще выходит в интернет? 98 материалов или около того – не так уж и много. Я имею в виду, в Amazon вообще видели, что размещается на Amazon?»

Иными словами, эксперт не видит логики в действиях Amazon, однако существует и другая сторона вопроса. Может ли тот же Amazon будучи хостером отслеживать все, что происходит на сайтах клиентов? Мониторинг «незаконных» клиентов займет столько пар рук и зарплат, сколько не может позволить себе даже такой гигант, как Amazon. Не говоря уже о провайдерах, обслуживающих сайты за 500 рублей в месяц.

Что делать, если к тебе пришли за объяснениями?
От подобных ситуаций не застрахован ни один провайдер. Поэтому мы собрали ряд советов, которые сделают проще жизнь коллег:
  1. Отнеситесь внимательно к сообщениям, которые приходят на ваш официальный (юридический) почтовый адрес. Это могут быть абьюзы, просьбы, различные решения компетентных органов, либо поддельные документы, не имеющие под собой оснований.
  2. Осуществляйте внимательную фильтрацию этих запросов на предмет их правомерности. Если имеются сомнения в подлинности документов или их достаточности, или полномочий того или иного лица или государственного органа – предоставляйте соответствующий ответ. Если у вас есть специальный человек на эти задачи – прекрасно, если нет – штурмуйте hh.ru.
  3. Действуйте по принципу сетевого нейтралитета и следуйте по пути закона стран пребывания вашей компании;
  4. Будьте лояльны, не рубите с плеча. Если на клиента поступила жалоба или решение ведомства, не спешите его отключать. Проведите беседу, выясните причины проблемы и попросите ее решить в установленный срок;
  5. Теперь про обращения СМИ:
    • Если вдруг у вас нет отдельной почты для обращений СМИ – заведите ее. Не помешает;
    • Наша PR-служба советует не прятаться от СМИ и давать развернутые и честные комментарии. Если вы не отвечаете на запросы журналистов, вы попросту рискуете прослыть негодяем не только для них, но и для общественности;
    • Имейте за пазухой подробный пресс-релиз произошедшего в виде официального документа. Опубликуйте его на сайте, если есть возможность. Это поможет вам тратить меньше времени на ответы СМИ. В зависимости от течения истории, документ можно всегда отредактировать;
    • Анализируйте каждое слово, сказанное вами в инфополе, ведь это поле минное;
  6. Ознакомьтесь с аналогичными ситуациями, в которых побывали ваши коллеги по цеху. Не стесняйтесь интересоваться у них, какой был план действий, как это отразилось в СМИ, и какие репутационные и финансовые риски понесли эти компании в результате своих действий;
  7. Проработайте план Б по работе с клиентами. А вдруг и вас нежданно-негаданно попросят освободить стойку в дата-центре?

Finita la commedia
Мы считаем, что суд над контентом клиентов – это не задача хостера. Вот причины:
  • Клиент может предоставить хостеру нерелевантные данные при регистрации – имена, номера телефонов и почтовые адреса;
  • Иногда направленность сервиса клиента меняется в режиме реального времени: под защиту может встать сайт по реализации мягких игрушек, а через месяц он уже продает алкоголь;
  • Нет причин, по которым хостер должен делать работу правоохранительных и других компетентных органов.

Таким образом, мы проанализировали СМИ, ознакомились с юридической стороной вопроса, перевели несколько статей и интервью экспертов с целью дать вам пищу для размышлений.

И нам кажется, что на этом наша история еще не окончена.

Мы предлагаем скидки на наших защищенных выделенных серверах


Мы хотим и дальше радовать вас в наступающем году и дать вам скидку на первый платеж при заказе выделенного сервера любой конфигурации.
Используйте промокоды:
  • V3BK7TUZBG — скидка 20% на первый месяц.
  • Q3M9CB8UKK — скидка 30% при единовременной оплате на 3 месяца.
  • HFQHDFW66X — скидка 35% при единовременной оплате на 12 месяцев.
Чтобы активировать выбранный вами промокод, сообщите об этом в службу поддержки при оформлении заказа на странице нашего сервиса.
Промокод действителен до 31.01.2021.

https://ddos-guard.net

Перерастая reverse proxy — технология удаленной защиты и оптимизации сайтов без изменения А-записей DNS



Вы решили защитить свой растущий проект от DDoS-атак. В основе любой защиты лежит анализ и фильтрация входящего трафика. Но чтобы очистить трафик, его сначала нужно доставить в центр очистки. Далее по тексту под “решением по защите” мы будем иметь в виду совокупность технологий по доставке и очистке трафика.

Скорее всего, первое решение, которое вам попадется, будет основано на технологии reverse proxy со сменой A-записей DNS. Поэтому сначала мы рассмотрим принцип работы технологии, ее возможности (если вы хорошо знакомы с reverse proxy — смело пропускайте эти два подраздела) и ограничения, связанные с доставкой трафика (это пропускать не стоит). Затем мы покажем, как эти ограничения можно обойти на примере реального кейса. В конце мы дадим несколько общих рекомендаций по организации защиты интернет ресурса.

Reverse proxy — принцип работы
Здесь мы рассмотрим reverse proxy, как средство доставки трафика. Схема ее работы всем хорошо знакома, но не упомянуть ее здесь просто нельзя.

  • Изменение А-записей DNS — вместо IP адреса веб-сервера указывается IP адрес прокси сервера. Распространение внесенных изменений по миру (DNS propagation).
  • ОС посетителя запрашивает IP-адрес, соответствующий доменному имени сайта (DNS resolution).
  • DNS сервер отвечает на запрос, сообщая IP-адрес прокси сервера.
  • Браузер посетителя открывает HTTP(s) сессию и отправляет запросы прокси серверу, который, переустанавливает соединение с целевым веб-сервером и передает запросы ему.

Reverse proxy — возможности
Какие возможности предоставляют решения работающие через reverse proxy со сменой А-записей?
  • Мониторинг запросов и защита сайта от атак на уровне приложений. Технология позволяет обработать каждый запрос уровня приложений, поступающий к целевому серверу.
  • Снижение нагрузки на целевой веб-сервер и ускорение сайта. На проксирующих серверах можно сжимать и кэшировать данные — это является основой работы сетей доставки контента CDN (Content Delivery Network).
  • Гибкое распределение нагрузки между несколькими целевыми веб-серверами. Технология позволяет распределить нагрузку по обработке запросов между несколькими машинами. Это повышает отказоустойчивость и производительность системы.
  • Простота подключения. Чтобы подключить защиту достаточно поменять А-записи DNS и дождаться, когда изменения вступят в силу. Переезд, новое оборудование и ПО — не требуются.
  • Сокрытие реального IP-адреса целевого веб-сервера. Посетитель используют IP-адрес проксирующего сервера для обращения, и с него же получают ответы, что обеспечивает анонимность целевого веб-ресурса.

Reverse proxy — ограничения
У данной технологии есть ряд подводных камней, о которых не очень-то принято говорить. К ее ограничениям можно отнести:
  • Отсутствие защиты от прямых DDoS-атак для самого веб-сервера и инфраструктуры. Если известен IP-адрес целевого веб-сервера, злоумышленники могут провести атаку напрямую, не обращаясь к DNS-серверу. Настройка файрвола на защищаемом сервере не спасает от пакетных DDoS-атак и атак на переполнение каналов.
  • Изменение IP-адресов, используемых для доступа к веб сайтам. Если одних интересует анонимность, то для других сохранение собственных IP-адресов является принципиально важным. Например если компания обладает собственными IP-адресами или целой автономной системой и не хочет ассоциировать себя с компанией, которой принадлежат IP адреса проксирующих серверов.
  • Ощутимые задержки при включении/отключении защиты. Задержки связаны со скоростью обновления информации на DNS серверах по всему миру (DNS propagation). При лучшем сценарии это занимает несколько часов, но может затянутся и на несколько суток. Длительность DNS propagation зависит от времени жизни TTL (Time to Live) DNS-записей, которое определяет через какое время сервер обновит кэш записей.
  • Нельзя защитить сайты и веб-приложения, использующие TCP-порты, отличные от стандартных 80 и 443. Если веб-приложение использует, например, UDP-порт, защитить его не получится. Запросы не будут проксироваться и легитимные пользователи просто не смогут воспользоваться приложением.


Недостатки решений по защите от DDoS-атак на базе “классической” Reverse Proxy начинают ощущаться, по мере того как растущий проект упирается во все большее число ограничений технологии. Какие технические решения способны нивелировать или значительно снизить риски недоступности сайта из-за перечисленных недостатков? — читайте ниже.

Перерастая reverse proxy
Давайте рассмотрим проблему на реальном примере из нашей практики. В прошлом году к нам обратился крупный клиент, с конкретным списком требований к услугам по защите. Мы не можем раскрыть название компании по понятным причинам, а вот потребности клиента — пожалуйста:
  • Обеспечить защиту сайтов от атак на уровне приложений.
  • Снять часть нагрузки с целевых веб-серверов и ускорить загрузку сайтов — у клиента много статического контента, и он заинтересован в кэшировании и сжатии данных на узлах CDN.
  • Обеспечить защиту от прямых атак на IP-адрес/сеть (защита от DDoS-атак на уровнях L3-L4 OSI).
  • Сервисы должны подключаться без изменения внешних IP-адресов ресурсов. У клиента своя AS и блоки адресов.
  • Управление сервисами обработки трафика и переключение на резервные каналы должно происходить в режиме реального времени — уровень доступности ресурса критически важен для клиента.

Решения на основе “классической” reverse proxy с изменением А-записей DNS позволяют закрыть первые два пункта из спиcка.

Услуги вроде защищенного хостинга, виртуальных и выделенных серверов позволяют защититься от атак на уровнях L3-L7 OSI, но требуют переезда и означают использование единственного провайдера защиты. Что делать?

Защита от DDoS внутри сети с защищаемыми сервисами
Установка фильтрующего оборудования в своей сети позволяет защитить сервисы на уровнях L3-L7 OSI и свободно управлять правилами фильтрации. Вы несете существенные капитальные (CaPex) и операционные расходы (OpEx), выбирая такое решение. Это расходы на:
  • оборудование для фильтрации трафика + лицензии на ПО (CapEx);
  • продление лицензий на ПО (OpEx);
  • штатные специалисты для настройки оборудования и контроля его работы (OpEx);
  • каналы доступа в сеть Интернет, достаточные для приема атак (CapEx + OpEx);
  • оплата входящего «мусорного» трафика (OpEx).

В результате эффективная цена за мегабит неочищенного трафика становится неоправданно высокой. Возможности по фильтрации трафика у такого решения в любом случае будут ниже, чем у специализированных провайдеров. Более того, чтобы повысить скорость работы сайта, так или иначе придется прибегнуть к услугам CDN провайдеров. Из достоинств решения стоит отметить, что расшифрованный трафик не покидает периметра защищаемой сети. Этот вопрос мы обсудим подробнее чуть позже.

Даже для крупных компаний, такое решение часто является экономически нецелесообразным, не говоря о среднем и малом бизнесе. Нашему клиенту оно также не подошло.

Проксирование без смены А-записей.
Чтобы удовлетворить потребности таких клиентов, мы разработали технологию перехвата веб-трафика и реализовали ее в рамках услуги удаленной защиты без смены А-записей. В основе решения лежит принцип: Все соединения между АС клиента и публичными сетями должны быть защищены. Клиент передает нам анонсы своих IP адресов/сетей по BGP, а мы анонсируем их в Интернет.


Весь трафик, предназначенный защищаемым ресурсам, проходит через нашу сеть. Клиент может оставить несколько резервных подключений и использовать их в случае непредвиденных обстоятельств, сняв анонсы с сети DDoS-GUARD. В штатном режиме мы советуем использовать только наши подключения для выхода в сеть Интренет, чтобы мы могли гарантировать защиту клиентских сервисов.

На схеме ниже показано, как организована обработка трафика в нашей сети на примере веб-трафика.


  • Клиент указывает IP-адреса, подсети и домены, которые он хочет защитить на уровне L7. Это можно сделать для анонсируемых сетей в личном кабинете или при помощи API
  • В сеть провайдера услуги из сети Интернет попадает клиентский трафик. В первую очередь он проходит базовый анализ и очистку от «мусора» на уровнях L3-4 модели OSI.
  • Система перехвата сепарирует и обрабатывает трафик на основании используемых протоколов уровня приложений. В данном случае TCP пакеты на 80 и 443 порты, содержащие HTTP заголовки, направляются на анализ веб-трафика, остальной трафик доставляется в сеть клиента как легитимный.
  • Веб-трафик проверяется на принадлежность защищаемой подсети. Пакеты с адресом назначения отличным от указанных клиентом проходят дополнительную проверку по имени домена.
  • Весь трафик указанных клиентом IP адресов/доменов проходит обработку на уровне L7. На проксирующих серверах осуществляется фильтрация трафика, оптимизация контента и его кеширование.

Правила для сетей и доменов можно создавать независимо друг от друга. При создании правила для домена не нужно указывать IP-адрес его веб-сервера. Такой подход позволяет не вносить изменения в правила фильтрации при миграции доменов между веб-серверами внутри защищаемой сети. По запросу клиента мы можем изменить правила обработки таким образом, чтобы перехватывать трафик на любых других портах.

Заключение
Теперь давайте проверим удовлетворяет ли разработанное DDoS-GUARD решение списку требований из раздела «Перерастая reverse proxy».
  • Клиент получает защиту от атак на уровнях L3-L7 OSI.
  • Контент сжимается и кэшируется на узлах нашей CDN, что уменьшает нагрузку на целевые веб-серверы.
  • Управление защитой происходит в реальном времени. Клиент управляет правилами фильтрации трафика для подсетей, IP-адресов и отдельных доменов через личный кабинет или API. Изменения вступают в силу пределах 1 минуты. В экстренной ситуации клиент может перенаправить весь трафик в обход сети DDoS-GUARD, просто сняв анонсы по BGP.
  • IP-адреса, принадлежащие компании, остались неизменными. Клиенту не нужно закупать новое оборудование, программное обеспечение, нанимать дополнительный персонал и платить за неочищенный трафик.

В добавок появляется возможность защитить сервисы и приложения, работающие на нестандартных портах.

P.S.
Общие рекомендации по организации защиты вашего проекта:
  • Избегайте туннелей, в т.ч. при доставке очищенного трафика через сеть провайдера — это снижает MTU (Maximum Transmission Unit). Чем ниже MTU, тем больше пакетов приходится фрагментировать, т.е. разбивать, понижая тем самым скорость передачи данных) и ставит ваш сервис в зависимость от политик по приоритезации трафика транзитных операторов.
  • Обращайте внимание на связность сети поставщика услуг — нерационально строить маршрут Красная площадь — ВДНХ, через Рязань или Франкфурт.
  • Резервируйте все подключения (каналы), операторов, оборудование, персонал. В случае с защитой от DDoS предусмотрите «стоп-кран», который позволит экстренно отключать влияние на трафик.
  • Вне зависимости от особенностей используемой схемы защиты веб-сайта, сервис должен предоставлять возможность управлять защитой в реальном времени. Учитывая, что 100% точность фильтрации недостижима, система должна быть управляемой для снижения ошибок I и II рода.

https://ddos-guard.net

Отдохните от ДДоС-атак



На связи ваш провайдер защиты DDoS-GUARD.

Мы расширяем свою географию и планируем открыть узел фильтрации в Сан-Паулу. Предлагаем оценить качество наших услуг по защите и ускорению сайтов клиентам из Южной Америки и всего мира.

Воспользуйтесь скидками на тарифы:
  1. Free;
  2. Basic со скидкой 95%;
  3. Normal со скидкой 50%;
  4. Premium со скидкой 50%.

Акция продлится до 15.01.2021. Подключение со скидкой действует 1 месяц со дня оплаты. Для подключения услуги и выбора тарифа перейдите на наш сайт.
https://ddos-guard.net

Alipay, WeChat Pay и очень горячая скидка к китайскому новому году



Компания DDoS-Guard поздравляет Вас с Китайским новым годом и дарит скидку 80% на все защищенные VDS. Не упустите возможность заказать быстрые VDS с защитой от DDoS атак и безлимитным CDN для всех размещенных сайтов. Используйте промокод CNY2020DDG при оформлении нового заказа на защищенный VDS до 16.02.2020.
Специальный подарок всем нашим клиентам из Азии: для Вашего удобства мы подключили дополнительные способы оплаты: Alipay, WeChat Pay, UnionPay и другие.

Счастливого нового года!
新年快乐

С уважением, команда DDos-GUARD


https://ddos-guard.net

Финальные скидки уходящего года - выжми максимум из 2019!

Компания DDoS-GUARD, искренне поздравляет Вас с наступающими праздниками и желает прогресса, благополучия и надежных партнеров в новом году!


Мы подготовили для Вас подарок — скидку 50% на услуги:
  • Защита и ускорение веб-сайтов
  • Защищенный хостинг
  • Защищенные VDS
  • Защищенные выделенные серверы
https://ddos-guard.net

Чтобы воспользоваться скидкой, введите промокод NEWYEAR2020DDG на страничке Ваши данные и способ оплаты при оформлении заказа.
Внимание: промокод действителен до 15 января 2020 г.


В сезон новогодних праздников возрастает не только количество легитимного трафика, но и число кибератак. Воспользуйтесь нашей защитой всего за пол цены и забудьте о проблемах с доступностью вашего ресурса на ближайший месяц, квартал или весь 2020 год!

Возвращайтесь в DDoS-GUARD, у нас есть для вас подарок!



Раньше Вы пользовались услугами DDoS-GUARD, и мы хотим, чтобы Вы вернулись. За прошедшее со дня нашего расставания время мы существенно расширили спектр предоставляемых услуг и повысили их качество. Предлагаем снова работать вместе, ведь старый друг лучше новых двух!

Что нового?
  • Новый личный кабинет, пользоваться которым стало ещё проще и удобнее.
  • Новая точка фильтрации трафика в Лос-Анджелесе. Теперь ваши веб-сервисы будут работать одинаково быстро по обе стороны Атлантики!
  • Обновленная технология оптимизации контента. Используя алгоритмы Gzip и Brotli, а также нашу уникальную технологию эвристической рекомпрессии, мы снижаем объем передаваемого трафика, максимально ускоряя ваш сайт, вне зависимости от веб-сервера, на котором он работает!
Подарок
Начните знакомство с обновленным сервисом DDoS-GUARD со скидки! Просто введите промокод: BackToDDG2019 на страничке «Ваши данные и способ оплаты» при оформлении заказа и получите скидку на первый платеж:
Предоставляемая скидка суммируется со скидкой при оплате за квартал, полгода или год! Внимание: предложение действительно до 31 декабря 2019. Возвращайтесь скорее!

Все еще сомневаетесь?
Напишите нам на адрес sales@ddos-guard.net, на каких условиях Вы хотели бы вернуться в DDoS-GUARD, и мы подберем вариант win-win!
https://ddos-guard.net

Алгоритмы Brotli, рекомпрессия и HSTS: что нового предлагает DDoS-GUARD и причём тут швейцарские булки



Здравствуйте!
Быстрая загрузка сайта — путь к вершинам поисковой выдачи, высокой конверсии и довольным клиентам. DDoS-GUARD предлагает передовые решения для скорейшей и безопасной загрузки сайта без потерь контента и ошибок 404. Сегодня мы расскажем о трех современных технологиях, доступных клиентам DDoS-GUARD — как они работают и зачем вообще нужны.

1. Сжатие GZIP/Brotli
Brotli — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали отличный алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь содержимого. Последние версии алгоритмов существенно ускоряют загрузку файлов HTML, CSS, JavaScript — плоти и крови Вашего сайта. Brotli работает у 9 из 10 пользователей Сети: если у гостей Вашего сайта Chrome моложе 51 версии, мобильный Chrome или любой браузер на основе Chromium – Opera, Яндекс.Браузер или Firefox новых версий — им доступно такое сжатие. У всех остальный сайт загрузится по привычным алгоритмам GZIP.

Теперь наши клиенты могут сжимать трафик алгоритмами Brotli. Такая опция доступна для всех тарифов.

2. Эвристическая рекомпрессия
Эта услуга объединяет мощности алгоритмов сжатия GZIP и Brotli. По данным исследований CertSimple, Brotli сжимает лучше на 14-21%, в зависимости от типа трафика (а по оценкам некоторых системных администраторов — на 25-30%). Механизмы DDoS-GUARD могут распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их посредством Brotli – если браузер Вашего пользователя поддерживает более совершенный алгоритм. Более того, перед началом эвристической рекомпрессии система определяет, какой из алгоритмов сжатия более продуктивен в каждом конкретном случае — и запускает именно его.

Данная технология ориентирована на тех, кто придает значение каждому сэкономленному байту и каждой выигранной милисекунде. Она доступна всем пользователям тарифных планов Normal и выше.

3. HSTS: защита от атак «Man-in-the-middle»
HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в Вашем браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование. Как это работает? Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом. Это защитит Вас и Ваших клиентов от атаки man-in-the-middle с подложным сертификатом. Ваши пользователи не смогут зайти на сайт злоумышленника, выдающего себя за Вас, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности «все равно перейти на небезопасный сайт».

Важно: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы. Гости Вашего сайта вместо страницы увидят только сообщение о небезопасности соединения, а «откат» изменений в аварийном режиме может занять значительное время.

DDoS-GUARD всегда на страже Вашей скорости и безопасности.
Оставайтесь с нами — оставайтесь под защитой.
https://ddos-guard.net