Защита от DDoS: от базовой к комплексной

Успешное развитие бизнеса в современном мире зависит от доступности веб-ресурсов. Организовать DDoS-атаку и вывести сайт из строя сейчас легко, поэтому рекомендуется обезопасить свой бизнес заранее. Уровень защиты должен быть соизмерим размеру бизнеса и расти вместе с ним.

Введение

DDoS-атаки (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») от недобросовестных конкурентов, криминальных структур или хулиганов — широко распространенная причина недоступности веб-ресурсов.

Количество атак постоянно растет, как и их разнообразие. По исследованиям Лаборатории Касперского, в сентябре 2018 года количество атак выросло в 5 раз по сравнению с сентябрем 2017 года.

Риск быть атакованным усугубляется большим количеством платных сервисов по организации DDoS-атак, с посекундной тарификацией и ничтожной ценой даже мощной DDoS-атаки. Например, 5 минут DDoS-атаки мощностью 125 Гбайт в секунду, обойдется заказчику в 5 евро. При этом репутационные последствия таких атак для бизнеса могут быть весьма материальными.

Специалисты Selectel постоянно исследуют технологии защиты от кибератак с целью предложить клиентам лучшие решения. Мы уже не раз писали о защите от DDoS и даже объясняли, как она работает на примере симуляции атаки. В данной статье мы расскажем об оптимальных вариантах защиты для разных типов бизнеса.

Типы DDoS-атак и способы их отражения

Существует четыре основных типа DDoS-атак:

Тип атаки Объект атаки Способ отражения
Первый класс (L2) «Забивание» канала (Amplification) Поддержка доступа к внешней сети за счет увеличения емкости канала
Второй класс (L3) Нарушение функционирования сетевой инфраструктуры Продвинутая аналитика сетевой инфраструктуры, отслеживание проблем на сетевом оборудовании
Третий класс (L4) Эксплуатация слабых мест сетевых протоколов, на которых базируется интернет (TCP/IP стека, отвечающего за передачу и маршрутизацию пакетов в сети интернет) Анализ поведения TCP/IP-клиентов (приложений, взаимодействующих с сервером) и пакетов данных, передаваемых по сети. Фильтрация на основе поведенческого анализа
Четвертый класс (L7) Атака непосредственно на приложения (извлечение конкретной информации из базы данных или с диска, исчерпание памяти, пока у сервера не закончатся ресурсы) Поведенческий и корреляционный анализ, использование инструментов мониторинга для блокировки вредоносного трафика

Выбор метода защиты от DDoS

Большинство компаний не обладают специальными техническими средствами и экспертизой для самостоятельной защиты от DDoS-атак и используют решения профессиональных вендоров.

Выбирая степень защищенности вашей инфраструктуры, сравните стоимость защиты с вероятным ущербом от возможных атак — стоимость защиты не должна превышать вероятные финансовые и репутационные потери для бизнеса.

Линейка решений Selectel

Совместно с компаниями DDoS-Guard, Qrator и Incapsula, представляющими услуги защиты от DDoS-атак, мы предлагаем своим клиентам три варианта надежной защиты от DDoS-атак.

Базовая защита от DDoS

Услуга «Базовая защита» обеспечивает защиту от атак уровня L2 и L3, рассчитанных на перегрузку интернет-канала сайта, а также от атак уровня L7 при подключении услуги «Базовая защита приложения».

Важно помнить, что в случае подключения защиты L7 на сайт, использующий протокол HTTPS (от англ. HyperText Transfer Protocol Secure), возникает необходимость в передаче SSL-сертификата провайдеру услуг по защите от DDoS. Без клиентского SSL-сертификата невозможно фильтровать зашифрованный трафик.

Универсальная защита Qrator

«Универсальная защита Qrator» подходит для работы под постоянным воздействием значительного количества атак и обеспечивает защиту от большинства типов DDoS-атак, за исключением мультивекторных (изменяющихся с уровня L3 на уровень L7) и длительных (состоящих из множества маленьких, следующих непрерывно друг за другом) атак.

При целевой атаке на приложение не требуется дополнительных настроек продукта — система автоматически перейдет в нужный режим защиты.

Комплексная защита Incapsula

«Комплексная защита Incapsula» также подходит для работы под большим количеством атак и предоставляет защиту от всех типов атак.

Использование решения Incapsula предотвращает взлом веб-сайтов и фильтрует спам в комментариях. Помимо этого, в решение Incapsula входят дополнительные функции:

  • WAF — защитный экран для приложений, осуществляющих передачу данных через специальные протоколы НТТP/HTTPS, обеспечивающие взаимодействие сети и пользователя
  • Защита доступа к административной панели сайта и корпоративным интернет-порталам компании, даже в случае, когда пароль администратора был украден, перехвачен или изменен злоумышленниками
  • Глобальный CDN, который по умолчанию входит в состав услуги
  • Поддержка широкого спектра методов распределения трафика, снижающая нагрузку на серверы, как в одном дата-центре, так и между разными дата-центрами

Сравнение решений из продуктовой линейки Selectel

Для удобства выбора подходящего решения мы составили сравнительную таблицу. Определения используемых терминов приведены в базе знаний.

Базовая защита Qrator Incapsula
Тестовый период 7 дней 14 дней
Индивидуальные настройки защиты (пользовательские правила) можно сделать по заявке +
Общее количество узлов фильтрации* 5 9 45
Количество узлов фильтрации в России* 1 2 1
Суммарная полоса фильтрации 1.2 Тбит/с 1.0 Тбит/с 6.0 Тбит/с
Защита от новых типов атак на основе интеллектуального модуля
машинного обучения**
+ +
Доступность сайта в расчете на временной
интервал соответственно соглашению
об уровне обслуживания (далее SLA)
99.500% от 97.000% 99.999%
Стоимость от 2,500 руб./мес. от 25,000
руб./мес.
от 35,000 руб./мес.


*Атака «гасится» на ближайшем узле к источнику возникновения, соответственно, чем больше узлов у компании, тем эффективнее защита.

**Машинное обучение позволяет анализировать уже произошедшие у других клиентов атаки. Чем больше атак проанализировано, тем шире база для обучения. Как следствие, аналогичные атаки «гасятся» намного быстрее.

Выбор оптимальной защиты

Крупные компании

Крупные компании обладают сложной инфраструктурой и бизнес-процессами, а недоступность ресурсов ведет к крупным финансовым потерям. Кроме того, крупные компании чаще попадают в поле зрения хакеров и других злоумышленников.

Сервис «Комплексная защита Incapsula» помогает клиентам создавать индивидуальные решения по защите с широким набором дополнительных опций:

  • WAF (защита приложений от несанкционированного доступа)
  • Глобальный CDN
  • Поддержка методов распределения трафика и двухфакторной авторизации

Компания Incapsula также предоставляет возможность подключения защиты к ресурсу, на который ведется DDoS-атака в настоящий момент времени. При подключении сервиса весь трафик, идущий на сайт, фильтруется. Благодаря возможности подключения услуги защиты «под атакой», конечные пользователи веб-сервиса даже не узнают, что серверы были атакованы.

Быстрорастущие компании

Мы рекомендуем развивающимся компаниям использовать «Универсальную защиту Qrator», так как она быстро и без клиентского вмешательства адаптируется к большинству типов атак, включая вновь появившиеся.

К сайту может поступать множество запросов разных типов из всевозможных источников. Если их становится слишком много, этот поток выводит из строя базу данных. Команда разработчиков Qrator использует машинное обучение для анализа и нейтрализации атак уровня L7 — сервис отфильтровывает запросы реальных пользователей от запросов «роботов». В случае, когда уровень предоставляемых услуг не соответствует SLA, компания Qrator возвращает оплату за месяц.

Небольшие компании

Небольшим интернет-проектам можно обойтись без дорогостоящих комплексных решений по защите от DDoS. После подключения услуги «Базовая защита» сайт будет выдерживать стандартные атаки, а узнавать об атаках вы будете преимущественно из отчетов. Цены на защиту от атак типов L2 и L3 весьма демократичные, а через личный кабинет удобно контролировать все рабочие процессы и отслеживать статистику.

Почему выгодно подключать защиту от DDoS через Selectel?

Заказывая защиту от DDoS-атак в Selectel, вы получаете:

Заключение

DDoS-атаки широко распространены и часто влекут за собой материальные финансовые потери для бизнеса любого размера. Selectel предлагает своим клиентам широкую линейку решений для защиты от DDoS-атак:

Специалисты Selectel помогут грамотно настроить серверы и приложения, разграничить права доступа и настроить мониторинг ресурсов ─ для этого вы можете воспользоваться услугой «Администрирование сервисов» в комбинации с любым из выбранных вами вариантов защиты от атак.

Материалы, использованные в статье:
Цены на DDoS-атаки по исследованиям Лаборатории Касперского
Статистика за первое полугодие 2018 года от Лаборатории Касперского
Статистика за третий квартал 2018 года от Лаборатории Касперского
Как работает Qrator