Успейте бесплатно протестировать защиту сетевой инфраструктуры!



Команда DDoS-Guard предлагает владельцам автономных систем в интернете неделю бесплатного тестового периода услуги Защита сети от всех известных видов DDoS-атак.

Акция продлится до 30 сентября 2021 года.

Тестовый период содержит все опции платной версии услуги, в том числе круглосуточную техподдержку по использованию сервиса.

Как подключить бесплатный тестовый период:
  • Нажмите на ссылку: Подключить сейчас.
  • Пройдите быструю регистрацию или авторизуйтесь в личном кабинете.
  • Введите технические параметры вашей сети.
  • Наши специалисты обеспечат подключение на стороне DDoS-Guard и сообщат рекомендации по дальнейшей настройке. Настройте оборудование на своей стороне.
  • Ваша сетевая инфраструктура под защитой DDoS-Guard.
Защита корпоративных сетей и серверов от DDoS-атак включает в себя:
  • защиту в автоматическом режиме на уровнях L3-L4, L7 OSI;
  • противодействие DDoS-атакам любой продолжительности;
  • безлимитное количество защищаемых доменов сети;
  • отсутствие необходимости смены А-записи для всех сайтов сети;
  • выбор методов подключения: GRE-/IPIP-туннелирование;
  • гарантированно фильтруемую полосу до 3,2 Tbps и 750 Mpps;
  • чистую полосу — 1 Gbps, при активации в Гонконге — 100 Mbps;
  • круглосуточную 3-х уровневую техподдержку;
  • гарантируемую доступность по SLA, не менее 99.95%;
  • ускоренную загрузку сайта благодаря системе оптимизации и кэширования контента CDN от компании DDoS-Guard;
  • SSL-сертификаты от Let's Encrypt;
  • черные/белые списки IP-адресов;
  • доступ к отслеживанию атак, аналитике и отчетности в личном кабинете.

До 30 сентября 2021 года тестовый период на 7 дней предоставляется бесплатно.
Более подробно ознакомиться с условиями пробного периода можноhttps://ddos-guard.net/ru/manual/category/zashishennyj-ip-tranzit#130

https://ddos-guard.net

У нас появился Plesk Obsidian

Планируете арендовать защищенные VDS или выделенный сервер у DDoS-Guard? Можете забыть о поиске лицензии контрольной панели на других ресурсах! Мы запустили в продажу лицензию Plesk Obsidian. Теперь на выбор для вас представлены: cPanel, ISPmanager и Plesk.



Активация происходит в 1 клик.

Все подключенные услуги вы сможете оплачивать в своем личном кабинете и никогда не забудете о сроках их продления.

Арендуйте защищенный VDS или выделенный сервер у DDoS-Guard и воспользуйтесь новой панелью управления.
https://ddos-guard.net

Новый центр очистки трафика на Восточном побережье Северной Америки



Команда DDoS-Guard рада сообщить об открытии нового центра очистки трафика на Восточном побережье Северной Америки. Теперь полоса фильтрации DDoS-Guard составляет 3,2 Тбит/с.

Это решение было принято в связи с программой по расширению и оптимизации связности сетей DDoS-Guard. Мы не зря выбрали этот регион, ведь значительное количество посетителей сайтов наших клиентов находятся именно здесь, на восточном побережье США.

Благодаря этому, наши клиенты из североамериканского региона смогут сократить время задержки (RTT) передачи данных пользователей на своих ресурсах на 60-70 мс, а также ускорить загрузку контента.

Теперь в Новом Свете у всех, кто давно хотел подключить защищенный IP-транзит или поставить сайт под защиту от DDoS-атак, есть возможность сделать это на обоих побережьях региона.

https://ddos-guard.net

Скачайте презентацию услуг провайдера безопасности DDoS-Guard

Мы постоянно совершенствуемся и стараемся сделать информацию о наших услугах общедоступной.

Теперь не нужно искать тарифы и описание наших продуктов по всему сайту — гости нашей страницы смогут быстро познакомиться с услугами провайдера безопасности DDoS-Guard здесь.

ddos-guard.net/info/protect?id=22370

Подключи AS к защите за 15 минут и тестируй 7 дней

Команда DDoS-GUARD модернизирует сервисы для своих пользователей, чтобы активация услуг была простой и быстрой.

Представляем вам «Мастер подключения» услуги Защита сетевой инфраструктуры DDoS-GUARD. Он позволит автоматизировать и ускорить процесс активации защиты.
ddos-guard.net/ru/store/network-protection

При подключении с помощью Мастера, владельцы автономных систем получат 7 дней бесплатного пробного периода, чистую полосу в 1 Гбит/с и техподдержку 24/7. Тестовый период включает весь функционал: вы можете в полной мере оценить защиту сети DDoS-Guard.

Как самостоятельно подключить услугу Защита сети от DDoS-атак
ddos-guard.net/ru/manual/category/zashishennyj-ip-tranzit#128


https://ddos-guard.net

Аналитический отчет DDoS-GUARD о DDoS-атаках 2018-2020



В 2020 году мир столкнулся с пандемией коронавирусной инфекции. Локдаун во многих странах стал причиной еще большего проникновения интернета в жизнь мирового сообщества. Количество пользователей всемирной сети увеличилось на 7% – это 298 миллионов новых пользователей. По данным DataReportal в “ковидное” время люди проводили онлайн в среднем 100 дней в прошлом году. Широкое распространение получили устройства «Интернета вещей» (IoT) и облачных сервисов.

Вместе с распространением интернета участились и усилились DDoS-атаки. Злоумышленники стали действовать быстрее, изощреннее, масштабнее. Во многих странах организация DDoS-атак является незаконной деятельностью, но заказать ее по-прежнему не представляет особого труда. Этим пользуются недоброжелатели и конкуренты по рынку.

DDoS-атаки — серьезная угроза доступности интернета. Время простоя сервиса, задержки в работе или недоступности сайта могут существенно повлиять на репутацию бренда, доверие клиентов и доход компании.

Какими были атаки на клиентов DDoS-Guard за последние три года? Читайте в нашем отчете.

Отчет содержит наблюдения за DDoS-атаками на клиентов DDoS-Guard за 2018-2020 годы.

Ключевые моменты
Количество атак: Количество атак на сеть DDoS-Guard каждый год увеличивается вдвое. Если считать данные за 2020 год максимальными (100%), то показатели за 2019 год — 57%, а за 2018 и вовсе 33%.


Продолжительность: 98% всех наблюдаемых атак длились менее 1 часа.

Размер: Наблюдается тенденция смещения на крупные DDoS-атаки размером более 5 Гбит/с.

Крупные DDoS-атаки: Количество атак более 100 Гбит/с в 2019 году выросло в 6,3 раз по сравнению с 2018 годом и продолжило расти меньшими темпами в 2020 году.

Распределение атак по месяцам
Впервые в 2020 году во всех месяцах, кроме октября, общее количество зафиксированных нами DDoS-атак на уровнях L3-L4 OSI превысило количество атак в самый активный месяц 2019 года — август.

Самым насыщенным месяцем 2020 года был январь. Количество DDoS-инцидентов в январе в 2,8 раза превысило среднемесячный показатель 2019 года.

Анализ распределения количества атак по месяцам за 3 года дает понять, что атаки злоумышленников не носят сезонный характер. Только август стабильно входит в топ-3 самых насыщенных месяцев года.



Распределение DDoS-атак по дням недели
Самыми активными днями недели в 2020 году для DDoS-атак были среда, четверг и пятница. В понедельник и выходные дни нами был замечен спад активности.



Параметры атак
Существуют разные способы измерения размера DDoS-атак на уровне L3-L4 OSI. Один из них — это объем трафика или его битрейт (бит в секунду). Другой — это количество пакетов или «скорость передачи пакетов» (пакетов в секунду).

Атаки с высокой скоростью передачи данных перегружают сетевые каналы, а атаки с высокой скоростью передачи пакетов нацелены на исчерпание пакетной производительности маршрутизаторов, серверов или другого оборудования.

Структура
В 2020 году большинство атак были размером в диапазонах 1-5 Гбит/с и 1-10 млн пакетов в секунду (Mpps) — большинство атак совершаются любителями с использованием простых инструментов, которые стоят не более нескольких долларов. Небольшие атаки могут также служить уловкой для инженеров по безопасности: ими отвлекают от других видов кибератак или проверяют существующие механизмы защиты.


Размер
Последние 2 года наблюдается рост атак размером более 100 Гбит/с. Количество таких атак в 2019 году выросло в 6,3 раза по сравнению с 2018 годом и продолжило расти в 2020 году.


Увеличение количества крупных DDoS-атак — тревожный знак. Это происходит из-за того, что увеличивается мощность телекоммуникационного оборудования, доступные для конечного пользователя скорости передачи данных становятся выше, злоумышленники становятся все изощреннее и используют инструменты, которые позволяют проводить более масштабные атаки. Также необходимо отметить, что все чаще крупные атаки имеют негативные последствия не только для сети компании, но и для промежуточных поставщиков услуг — хостинг-провайдеров, дата-центров, интернет-провайдеров.

Протоколы
Вектор атаки — это термин, который используется для описания метода атаки. Самыми популярными атакуемыми протоколами в 2020 году по прежнему являются TCP и UDP. На них приходится 59% и 28% случаев соответственно.


Защита сетевой инфраструктуры от DDoS-атак
DDoS-Guard с 2011 года специализируется на защите от DDoS-атак на уровнях L3-L7 OSI. Для этого мы используем уникальные каскады фильтров, технологии искусственного интеллекта и собственные разработки. Непрерывную работоспособность обеспечивают высококлассные специалисты отрасли. Круглосуточно мы на страже вашего бизнеса в сети.

Нам доверяют тысячи клиентов, среди которых: hh.ru, Reg.ru, Apteka.ru, ISP system, Центральный банк России, Авантел, Мастертел, ПрофМедиа, КонсультантПлюс, АиФ, АвтоРадио, Университет Синергия, НТВ, СберСтрахование, ТТК, Высшая школа экономики, Хёрст Шкулёв Паблишинг.

Клиенты выбирают защиту DDOS-GUARD, потому что у нас:
  • геораспределенная сеть с узлами фильтрации по всему миру;
  • собственные разработки для анализа и фильтрации трафика;
  • прозрачная ценовая политика без тарификации за атаки;
  • бесплатный тестовый период для типовых решений;
  • детализированная статистика по трафику в личном кабинете.
Больше информации о защите сетевой инфраструктуры вы можете посмотреть здесь.

Для заказа индивидуальной консультации специалиста отправьте письмо на электронный адрес sales@ddos-guard.net.

https://ddos-guard.net

Обидеть хостера каждый может. Должен ли провайдер отвечать за контент своих клиентов?



Сабж
Российский хостинг-провайдер (далее – хостер) «Макхост» был оштрафован в ноябре 2020 года за то, что предоставлял услуги сайтам. Там любой желающий мог приобрести, казалось бы, безобидный товар – плюшевого персонажа знаменитого мультсериала «Свинка Пеппа».

Гендиректор «Макхоста» сказал в интервью «Коммерсанту» следующее: «Присужденная сумма такова, будто хостинг-провайдер сам продавал эти игрушки и наживался, но никаких доходов от игрушек провайдер не получал, доходы от хостинга каждого сайта находятся в пределах 500 рублей в месяц».

В то же время, основной закон в сфере блокировки информации ФЗ N 149 содержит исчерпывающие основания для блокировки, а процедура урегулирования таких конфликтов предусмотрена только в отношении владельца сайта. Но никак не в отношении хостера.

Справедливо ли наказывать провайдера, который оказывает услуги? Имеют ли законы сетевого нейтралитета право на существование в современных интернет-реалиях? Должен ли хостер быть рефери на нивах различной запрещенки? Эти вопросы вдохновили нас на написание этой статьи.

«Русские хакеры» vs американский демократический строй
Наша компания предоставляет сетевой сервис по защите от DDoS-атак. И, к сожалению, мы тоже столкнулись с трудностями из-за действий клиента, пусть и немного иного характера.

История берет начало в ноябре 2020 года. Американский кибер–аналитик Брайан Кребс обратился к подписчикам в твиттере со следующими словами:


После чего нам написал представитель сети американских дата-центров CoreSite, где располагался наш узел фильтрации трафика. Суть обращения проста – для продолжения работы с дата–центром в Лос–Анджелесе нам было необходимо перестать обслуживать домены, определенным образом связанные с ХАМАС.

Мы предполагаем, что некое третье лицо (заказчик сервиса) воспользовалось нашим бесплатным сервисом для подключения доменов, так или иначе связанных с ХАМАС.

Это лицо может быть одновременно и владельцем и администратором сайта, а может быть и сторонним заказчиком. Эти данные скрыты. Причем установить связь заказчика сервиса с указанным доменом невозможно — для этого потребовалось бы чуть ли не собственная разведывательная служба.

7 января 2021 года нас ошарашило очередное письмо от CoreSite. Американская сторона решила в одностороннем порядке завершить с нами сотрудничество. Партнеры обуславливали решение тем, что мы водили их вокруг пальца и не прекратили обслуживать доменные имена, связанным с ХАМАС. Только через пару дней в сети мы обнаружили причину расторжения контракта с CoreSite – исследование Брайана Кребса, опубликованное 5 января.


Кибер-аналитик, поклонник теорий заговоров, господин Кребс обнаружил, что наш клиент, канадский провайдер VanwaTech, обслуживал доменные имена организаций, имеющих, мягко говоря, неоднозначную репутацию.

Среди них печально известный имиджборд 8chan и портал, посвященный популярной теории заговора QAnon. Особое внимание приковано к 8chan, ведь, по данным Кребса, сторонники Дональда Трампа обсуждали там организацию разгрома Капитолия, произошедшую 6 января 2021. Вскоре и с VanwaTech было прекращено сотрудничество, о чем в статье рассказали журналисты The Guardian.

Тут же CoreSite услужливо демонтировал и сложил оборудование компании до нашего приезда. И несмотря на то, что ситуация разворачивалась в новогодние праздники, мы сделали так, что наши клиенты не заметили потери узла фильтрации.

После того, как ситуация приобрела мировой масштаб, на нас обрушился шквал запросов СМИ со всех краев земного шара: журналистам было интересно, есть ли в этой истории пресловутый “русский след”, и как в этом замешана наша компания.

На этом чудеса, как говорится, не закончились. История, которая получила еще бОльшую огласку, случилась с нами на пару со скандальной социальной сетью Parler.com. О нашей связи с ними, кстати, тоже писал Кребс, но уже заранее запросив наш комментарий.


Журналисты Reuters усмотрели наш IP-адрес в А-записях Parler, тут же решив, что мы предоставляем социальной сети услуги хостинга. Коллеги связали это с фактом расторжения сотрудничества Parler с хостингом Amazon, а также с удалением социальной сети из магазинов приложений Google и Apple.

Мы снова начали отстаивать правду перед всем миром, но уже не только перед журналистами, но и перед экспертами и рядовыми читателями. Об этом, кажется, не слышал только глухой. Федеральные СМИ, профильные YouTube-каналы и даже «Редакция» Пивоварова – все эти средства коммуникаций так или иначе обозначали нашу компанию как фигуранта этого неоднозначного дела. Мы сказали мировому сообществу, что мы услуг хостинга Parler не предоставляем, а лишь защищаем сайт от DDoS-атак – это наша первоочередная задача.



Собственно, хостинг
В связи с тем, что многие не понимают, как работает закон в отношении хостера, мы попытаемся приоткрыть завесу тайны. Хотя, не такая уж это и тайна.

Юридическая сторона вопроса. Section 230 – крик души сетевого нейтралитета

Начнем с сетевого нейтралитета. Его суть здорово описана законодателями из Соединенных Штатов в так называемой Section 230. В переводе на русский язык нормативный акт звучит примерно так:

«Ни провайдер, ни пользователь интерактивного компьютерного сервиса не считаются издателем или носителем какой-либо информации, предоставленной другим провайдером информационного контента».

Проще говоря, компании, которые предоставляют хостинг для сервисов в интернете, не считаются авторами сообщений, которые размещены на этих сервисах. И поэтому хостеры не должны нести ответственность за контент клиентов, даже если этот контент незаконный.

По словам экспертов, закон не делает хостеров нейтральными, наоборот, Section 230 приспосабливает их к современным интернет-реалиям. Специалисты считают, что закон подтолкнул хостеров выстраивать собственные отношения с клиентами и внедрять модерацию контента.

Хостер и право. Россия
Отечественное законодательство относится к хостерам, владельцам сайтов и судопроизводству по этим вопросам несколько иначе.

ФЗ N 149 «Об информации, информационных технологиях и о защите информации» — этот закон регулирует права на поиск, передачу, распространение, производство и защиту информации.

Отечественным правом было определено, что хостер – это лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, которая постоянно подключена к интернету. Тогда же провайдеру хостинга отвели роль информационного посредника.

Досудебная процедура удаления контента заключается в разрешении вопроса о правомерности использования: хозяин прав просит об удалении размещенного владельцем сайта контента и предоставляет владельцу сайта доказательства своих авторских или иных прав.

Владелец сайта, в свою очередь, может возразить — он мог ранее приобрести права на этот объект, либо объект находился в открытом доступе. Для владельца сайта имеется интерес в размещении контента — он может получать прибыль от использования сайта, либо от предоставления сайта как площадки для общения пользователей в Интернете.

Тем самым все требования, заявленные к провайдеру как к третьему лицу, исчерпываются требованиями об ограничении информации по решению компетентного суда, который внимательно проверяет основания для такого заявления. Именно такие решения и исполняет хостер.

Без судебного решения, даже если лицо обратится в Роскомнадзор с требованием удалить контента правообладателя, никаких ограничительных мер со стороны Роскомнадзора не последует, поскольку это не входит в его полномочия.

1 февраля 2021 года вступил в силу закон, согласно которому социальные сети должны самостоятельно выявлять и блокировать запрещенный контент.

Однако, нужно обратить внимание, что данный закон применим к социальным сетям, в которых имеются российские пользователи, численность которых должна соответствовать установленным законом пределам, а также находится в перечне специального реестра Роскомнадзора. На текущий момент, тот же Parler, как американская социальная сеть под эти требования не попадает.

Интересно будет вспомнить материал РБК, написанный спустя год после появления на свет закона о безопасности информационной инфраструктуры России (ФЗ N 187). За 12 месяцев существования правового акта, судебные иски подавали исключительно к хостерам, а ответчики лишь трижды явились на слушания по делам.

А что Amazon?
От Parler отвернулись американские it-гиганты. В частности, Amazon прекратил оказывать услуги хостинга одиозной социальной сети. Parler подал иск на Amazon в суд, чтоб доказать противоправность действий корпорации, но судейская мантия пока еще не приняла соответствующее решение.

Преподаватель Гарвардского юридического факультета Эвелин Доук ожидает, что между сайтами и хостерами разгорятся новые конфликты из–за высказываний в интернете.

Она считает, что социальная сеть – неподходящее место для модерации контента. Также Доук упомянула, что компания Amazon приводит 98 материалов спорного содержания в судебных документах по делу о Parler.

«Это меня даже слегка рассмешило», – сказала она в интервью американскому изданию WRVO. «Amazon вообще выходит в интернет? 98 материалов или около того – не так уж и много. Я имею в виду, в Amazon вообще видели, что размещается на Amazon?»

Иными словами, эксперт не видит логики в действиях Amazon, однако существует и другая сторона вопроса. Может ли тот же Amazon будучи хостером отслеживать все, что происходит на сайтах клиентов? Мониторинг «незаконных» клиентов займет столько пар рук и зарплат, сколько не может позволить себе даже такой гигант, как Amazon. Не говоря уже о провайдерах, обслуживающих сайты за 500 рублей в месяц.

Что делать, если к тебе пришли за объяснениями?
От подобных ситуаций не застрахован ни один провайдер. Поэтому мы собрали ряд советов, которые сделают проще жизнь коллег:
  1. Отнеситесь внимательно к сообщениям, которые приходят на ваш официальный (юридический) почтовый адрес. Это могут быть абьюзы, просьбы, различные решения компетентных органов, либо поддельные документы, не имеющие под собой оснований.
  2. Осуществляйте внимательную фильтрацию этих запросов на предмет их правомерности. Если имеются сомнения в подлинности документов или их достаточности, или полномочий того или иного лица или государственного органа – предоставляйте соответствующий ответ. Если у вас есть специальный человек на эти задачи – прекрасно, если нет – штурмуйте hh.ru.
  3. Действуйте по принципу сетевого нейтралитета и следуйте по пути закона стран пребывания вашей компании;
  4. Будьте лояльны, не рубите с плеча. Если на клиента поступила жалоба или решение ведомства, не спешите его отключать. Проведите беседу, выясните причины проблемы и попросите ее решить в установленный срок;
  5. Теперь про обращения СМИ:
    • Если вдруг у вас нет отдельной почты для обращений СМИ – заведите ее. Не помешает;
    • Наша PR-служба советует не прятаться от СМИ и давать развернутые и честные комментарии. Если вы не отвечаете на запросы журналистов, вы попросту рискуете прослыть негодяем не только для них, но и для общественности;
    • Имейте за пазухой подробный пресс-релиз произошедшего в виде официального документа. Опубликуйте его на сайте, если есть возможность. Это поможет вам тратить меньше времени на ответы СМИ. В зависимости от течения истории, документ можно всегда отредактировать;
    • Анализируйте каждое слово, сказанное вами в инфополе, ведь это поле минное;
  6. Ознакомьтесь с аналогичными ситуациями, в которых побывали ваши коллеги по цеху. Не стесняйтесь интересоваться у них, какой был план действий, как это отразилось в СМИ, и какие репутационные и финансовые риски понесли эти компании в результате своих действий;
  7. Проработайте план Б по работе с клиентами. А вдруг и вас нежданно-негаданно попросят освободить стойку в дата-центре?

Finita la commedia
Мы считаем, что суд над контентом клиентов – это не задача хостера. Вот причины:
  • Клиент может предоставить хостеру нерелевантные данные при регистрации – имена, номера телефонов и почтовые адреса;
  • Иногда направленность сервиса клиента меняется в режиме реального времени: под защиту может встать сайт по реализации мягких игрушек, а через месяц он уже продает алкоголь;
  • Нет причин, по которым хостер должен делать работу правоохранительных и других компетентных органов.

Таким образом, мы проанализировали СМИ, ознакомились с юридической стороной вопроса, перевели несколько статей и интервью экспертов с целью дать вам пищу для размышлений.

И нам кажется, что на этом наша история еще не окончена.

Мы предлагаем скидки на наших защищенных выделенных серверах


Мы хотим и дальше радовать вас в наступающем году и дать вам скидку на первый платеж при заказе выделенного сервера любой конфигурации.
Используйте промокоды:
  • V3BK7TUZBG — скидка 20% на первый месяц.
  • Q3M9CB8UKK — скидка 30% при единовременной оплате на 3 месяца.
  • HFQHDFW66X — скидка 35% при единовременной оплате на 12 месяцев.
Чтобы активировать выбранный вами промокод, сообщите об этом в службу поддержки при оформлении заказа на странице нашего сервиса.
Промокод действителен до 31.01.2021.

https://ddos-guard.net

Перерастая reverse proxy — технология удаленной защиты и оптимизации сайтов без изменения А-записей DNS



Вы решили защитить свой растущий проект от DDoS-атак. В основе любой защиты лежит анализ и фильтрация входящего трафика. Но чтобы очистить трафик, его сначала нужно доставить в центр очистки. Далее по тексту под “решением по защите” мы будем иметь в виду совокупность технологий по доставке и очистке трафика.

Скорее всего, первое решение, которое вам попадется, будет основано на технологии reverse proxy со сменой A-записей DNS. Поэтому сначала мы рассмотрим принцип работы технологии, ее возможности (если вы хорошо знакомы с reverse proxy — смело пропускайте эти два подраздела) и ограничения, связанные с доставкой трафика (это пропускать не стоит). Затем мы покажем, как эти ограничения можно обойти на примере реального кейса. В конце мы дадим несколько общих рекомендаций по организации защиты интернет ресурса.

Reverse proxy — принцип работы
Здесь мы рассмотрим reverse proxy, как средство доставки трафика. Схема ее работы всем хорошо знакома, но не упомянуть ее здесь просто нельзя.

  • Изменение А-записей DNS — вместо IP адреса веб-сервера указывается IP адрес прокси сервера. Распространение внесенных изменений по миру (DNS propagation).
  • ОС посетителя запрашивает IP-адрес, соответствующий доменному имени сайта (DNS resolution).
  • DNS сервер отвечает на запрос, сообщая IP-адрес прокси сервера.
  • Браузер посетителя открывает HTTP(s) сессию и отправляет запросы прокси серверу, который, переустанавливает соединение с целевым веб-сервером и передает запросы ему.

Reverse proxy — возможности
Какие возможности предоставляют решения работающие через reverse proxy со сменой А-записей?
  • Мониторинг запросов и защита сайта от атак на уровне приложений. Технология позволяет обработать каждый запрос уровня приложений, поступающий к целевому серверу.
  • Снижение нагрузки на целевой веб-сервер и ускорение сайта. На проксирующих серверах можно сжимать и кэшировать данные — это является основой работы сетей доставки контента CDN (Content Delivery Network).
  • Гибкое распределение нагрузки между несколькими целевыми веб-серверами. Технология позволяет распределить нагрузку по обработке запросов между несколькими машинами. Это повышает отказоустойчивость и производительность системы.
  • Простота подключения. Чтобы подключить защиту достаточно поменять А-записи DNS и дождаться, когда изменения вступят в силу. Переезд, новое оборудование и ПО — не требуются.
  • Сокрытие реального IP-адреса целевого веб-сервера. Посетитель используют IP-адрес проксирующего сервера для обращения, и с него же получают ответы, что обеспечивает анонимность целевого веб-ресурса.

Reverse proxy — ограничения
У данной технологии есть ряд подводных камней, о которых не очень-то принято говорить. К ее ограничениям можно отнести:
  • Отсутствие защиты от прямых DDoS-атак для самого веб-сервера и инфраструктуры. Если известен IP-адрес целевого веб-сервера, злоумышленники могут провести атаку напрямую, не обращаясь к DNS-серверу. Настройка файрвола на защищаемом сервере не спасает от пакетных DDoS-атак и атак на переполнение каналов.
  • Изменение IP-адресов, используемых для доступа к веб сайтам. Если одних интересует анонимность, то для других сохранение собственных IP-адресов является принципиально важным. Например если компания обладает собственными IP-адресами или целой автономной системой и не хочет ассоциировать себя с компанией, которой принадлежат IP адреса проксирующих серверов.
  • Ощутимые задержки при включении/отключении защиты. Задержки связаны со скоростью обновления информации на DNS серверах по всему миру (DNS propagation). При лучшем сценарии это занимает несколько часов, но может затянутся и на несколько суток. Длительность DNS propagation зависит от времени жизни TTL (Time to Live) DNS-записей, которое определяет через какое время сервер обновит кэш записей.
  • Нельзя защитить сайты и веб-приложения, использующие TCP-порты, отличные от стандартных 80 и 443. Если веб-приложение использует, например, UDP-порт, защитить его не получится. Запросы не будут проксироваться и легитимные пользователи просто не смогут воспользоваться приложением.


Недостатки решений по защите от DDoS-атак на базе “классической” Reverse Proxy начинают ощущаться, по мере того как растущий проект упирается во все большее число ограничений технологии. Какие технические решения способны нивелировать или значительно снизить риски недоступности сайта из-за перечисленных недостатков? — читайте ниже.

Перерастая reverse proxy
Давайте рассмотрим проблему на реальном примере из нашей практики. В прошлом году к нам обратился крупный клиент, с конкретным списком требований к услугам по защите. Мы не можем раскрыть название компании по понятным причинам, а вот потребности клиента — пожалуйста:
  • Обеспечить защиту сайтов от атак на уровне приложений.
  • Снять часть нагрузки с целевых веб-серверов и ускорить загрузку сайтов — у клиента много статического контента, и он заинтересован в кэшировании и сжатии данных на узлах CDN.
  • Обеспечить защиту от прямых атак на IP-адрес/сеть (защита от DDoS-атак на уровнях L3-L4 OSI).
  • Сервисы должны подключаться без изменения внешних IP-адресов ресурсов. У клиента своя AS и блоки адресов.
  • Управление сервисами обработки трафика и переключение на резервные каналы должно происходить в режиме реального времени — уровень доступности ресурса критически важен для клиента.

Решения на основе “классической” reverse proxy с изменением А-записей DNS позволяют закрыть первые два пункта из спиcка.

Услуги вроде защищенного хостинга, виртуальных и выделенных серверов позволяют защититься от атак на уровнях L3-L7 OSI, но требуют переезда и означают использование единственного провайдера защиты. Что делать?

Защита от DDoS внутри сети с защищаемыми сервисами
Установка фильтрующего оборудования в своей сети позволяет защитить сервисы на уровнях L3-L7 OSI и свободно управлять правилами фильтрации. Вы несете существенные капитальные (CaPex) и операционные расходы (OpEx), выбирая такое решение. Это расходы на:
  • оборудование для фильтрации трафика + лицензии на ПО (CapEx);
  • продление лицензий на ПО (OpEx);
  • штатные специалисты для настройки оборудования и контроля его работы (OpEx);
  • каналы доступа в сеть Интернет, достаточные для приема атак (CapEx + OpEx);
  • оплата входящего «мусорного» трафика (OpEx).

В результате эффективная цена за мегабит неочищенного трафика становится неоправданно высокой. Возможности по фильтрации трафика у такого решения в любом случае будут ниже, чем у специализированных провайдеров. Более того, чтобы повысить скорость работы сайта, так или иначе придется прибегнуть к услугам CDN провайдеров. Из достоинств решения стоит отметить, что расшифрованный трафик не покидает периметра защищаемой сети. Этот вопрос мы обсудим подробнее чуть позже.

Даже для крупных компаний, такое решение часто является экономически нецелесообразным, не говоря о среднем и малом бизнесе. Нашему клиенту оно также не подошло.

Проксирование без смены А-записей.
Чтобы удовлетворить потребности таких клиентов, мы разработали технологию перехвата веб-трафика и реализовали ее в рамках услуги удаленной защиты без смены А-записей. В основе решения лежит принцип: Все соединения между АС клиента и публичными сетями должны быть защищены. Клиент передает нам анонсы своих IP адресов/сетей по BGP, а мы анонсируем их в Интернет.


Весь трафик, предназначенный защищаемым ресурсам, проходит через нашу сеть. Клиент может оставить несколько резервных подключений и использовать их в случае непредвиденных обстоятельств, сняв анонсы с сети DDoS-GUARD. В штатном режиме мы советуем использовать только наши подключения для выхода в сеть Интренет, чтобы мы могли гарантировать защиту клиентских сервисов.

На схеме ниже показано, как организована обработка трафика в нашей сети на примере веб-трафика.


  • Клиент указывает IP-адреса, подсети и домены, которые он хочет защитить на уровне L7. Это можно сделать для анонсируемых сетей в личном кабинете или при помощи API
  • В сеть провайдера услуги из сети Интернет попадает клиентский трафик. В первую очередь он проходит базовый анализ и очистку от «мусора» на уровнях L3-4 модели OSI.
  • Система перехвата сепарирует и обрабатывает трафик на основании используемых протоколов уровня приложений. В данном случае TCP пакеты на 80 и 443 порты, содержащие HTTP заголовки, направляются на анализ веб-трафика, остальной трафик доставляется в сеть клиента как легитимный.
  • Веб-трафик проверяется на принадлежность защищаемой подсети. Пакеты с адресом назначения отличным от указанных клиентом проходят дополнительную проверку по имени домена.
  • Весь трафик указанных клиентом IP адресов/доменов проходит обработку на уровне L7. На проксирующих серверах осуществляется фильтрация трафика, оптимизация контента и его кеширование.

Правила для сетей и доменов можно создавать независимо друг от друга. При создании правила для домена не нужно указывать IP-адрес его веб-сервера. Такой подход позволяет не вносить изменения в правила фильтрации при миграции доменов между веб-серверами внутри защищаемой сети. По запросу клиента мы можем изменить правила обработки таким образом, чтобы перехватывать трафик на любых других портах.

Заключение
Теперь давайте проверим удовлетворяет ли разработанное DDoS-GUARD решение списку требований из раздела «Перерастая reverse proxy».
  • Клиент получает защиту от атак на уровнях L3-L7 OSI.
  • Контент сжимается и кэшируется на узлах нашей CDN, что уменьшает нагрузку на целевые веб-серверы.
  • Управление защитой происходит в реальном времени. Клиент управляет правилами фильтрации трафика для подсетей, IP-адресов и отдельных доменов через личный кабинет или API. Изменения вступают в силу пределах 1 минуты. В экстренной ситуации клиент может перенаправить весь трафик в обход сети DDoS-GUARD, просто сняв анонсы по BGP.
  • IP-адреса, принадлежащие компании, остались неизменными. Клиенту не нужно закупать новое оборудование, программное обеспечение, нанимать дополнительный персонал и платить за неочищенный трафик.

В добавок появляется возможность защитить сервисы и приложения, работающие на нестандартных портах.

P.S.
Общие рекомендации по организации защиты вашего проекта:
  • Избегайте туннелей, в т.ч. при доставке очищенного трафика через сеть провайдера — это снижает MTU (Maximum Transmission Unit). Чем ниже MTU, тем больше пакетов приходится фрагментировать, т.е. разбивать, понижая тем самым скорость передачи данных) и ставит ваш сервис в зависимость от политик по приоритезации трафика транзитных операторов.
  • Обращайте внимание на связность сети поставщика услуг — нерационально строить маршрут Красная площадь — ВДНХ, через Рязань или Франкфурт.
  • Резервируйте все подключения (каналы), операторов, оборудование, персонал. В случае с защитой от DDoS предусмотрите «стоп-кран», который позволит экстренно отключать влияние на трафик.
  • Вне зависимости от особенностей используемой схемы защиты веб-сайта, сервис должен предоставлять возможность управлять защитой в реальном времени. Учитывая, что 100% точность фильтрации недостижима, система должна быть управляемой для снижения ошибок I и II рода.

https://ddos-guard.net

Отдохните от ДДоС-атак



На связи ваш провайдер защиты DDoS-GUARD.

Мы расширяем свою географию и планируем открыть узел фильтрации в Сан-Паулу. Предлагаем оценить качество наших услуг по защите и ускорению сайтов клиентам из Южной Америки и всего мира.

Воспользуйтесь скидками на тарифы:
  1. Free;
  2. Basic со скидкой 95%;
  3. Normal со скидкой 50%;
  4. Premium со скидкой 50%.

Акция продлится до 15.01.2021. Подключение со скидкой действует 1 месяц со дня оплаты. Для подключения услуги и выбора тарифа перейдите на наш сайт.
https://ddos-guard.net