DDoS обходится бизнесу в 40000 долларов в час .
Защита от DDoS-атак включена в пакет антивируса и файрвола. В случае если вам нужна комплексная защита сайта , то в таком случае вам подойдет Website Antivirus, который оберегает от угроз в сети, в том числе от DDoS-атак, а также включает следующие услуги:
Anti-DDoS можно использовать не только в случае размещения на Alibaba, но и для AWS, Azure, Google Cloud и пр.
MYRA размещается в Германии, так что данные обрабатываются в соответствии с федеральным законом Германии о защите данных.
DDoS-атака (от англ. Distributed Denial of Service) – это распределённая атака типа «отказ в обслуживании». Её целью является создание условий, при которых реальные пользователи не могут получить доступ к сайту или серверу из-за его перегрузки.
Чаще всего атака организуется при помощи ботнетов – множества заражённых или уязвимых компьютеров в сети, владельцы которых чаще всего не подозревают, что участвуют в атаках.
Практически всегда целью DDoS-атаки является отключение того или иного конкурирующего или просто, вызывающего личную неприязнь, сервиса. Однако, отказ атакуемой системы может быть и частью атаки, целью которой является завладение системой, в том случае если она в нештатной ситуации выдаёт какую-либо критическую информацию, например, версию или часть программного кода. Также DDoS-атака может служить для отвлечения внимания во время взлома других систем.
Стоимость услуги защиты от DDoS зависит от только объёма «белого» (легитимного/отфильтрованного) входящего трафика, который потребляет Ваш сервер. Вы никогда не платите за атакующий трафик, вне зависимости от силы атаки он будет отброшен.
Более 96% наших клиентов укладываются в объём средней нагрузки входящей полосы 1 Мбит/с, стоимостью всего 800 руб. в месяц. Цифра лимита полосы не является ограничением по скорости доступного Вам интернет-канала. Он всегда остаётся на уровне 250 Мбит/с. Лимит – это предоплаченный объём (не скорость) входящего трафика в месяц.
Если Вы не уверены, какой объём требуется Вам, просто выберите минимальный и в случае необходимости всегда сможете его расширить.
К сожалению, нет.
Самый распространённый и дешёвый способ атак – это переполнение интернет-канала сервера. При таком типе атаки Вы просто ничего не можете сделать – весь трафик уже у вас на порту, фаервол (брандмауэр) на сервере не помогает, так как он стоит после сетевого адаптера, который принимает весь атакующий трафик. Полоса переполняется очень быстро и любой незащищённый сервер перестаёт быть доступным в течение нескольких секунд.
Это крайне сложный процесс, который имеет очень низкую вероятность успеха. Атакующий трафик практически всегда отправляется с заражённых компьютеров, команды которым могут также давать заражённые компьютеры или же арендуемые по подложным данным серверы.
Поиском злоумышленников занимаются единицы компаний в России и это довольно дорогостоящая услуга.
Если у Вас подключена услуга защиты от DDoS, то Вы просто ничего не заметите, сервер продолжит работать, как и работал до начала атаки.
Однако если же защиты нет, система автоматического мониторинга отключит IP-адрес Вашего сервера в течение 1 минуты после начала атаки. Повторное включение возможно только в течение 72 часов при условии, что атака была не сильной (до 3 Гбит/с). Если же была атака высокой силы, то возобновление обслуживания сервера производится только после подключения услуги защиты от DDoS-атак.
Блокировка незащищённого IP-адреса производится с целью предотвращения негативного влияния атаки на сервера других клиентов.
В случае если Ваш сервер подвергся DDoS-атаке и был в связи с этим заблокирован, то на указанный Вами в личных данных адрес email придёт уведомление.
20 марта 2014 в 17:35Недавно REG.RU совместно с компанией DDoS Guard представил бесплатную автоматическую защиту от DDoS-атак. Защита срабатывает автоматически и способна выдержать атаку со скоростью более 100 Гбит/с, что позволяет избежать отключения серверов и сайтов, а, следовательно, потери клиентов и прибыли.
Проблема борьбы с DDoS-атаками встает перед всеми хостинг-провайдерами без исключения. Классические методы борьбы предполагают временную недоступность атакованного сайта, однако REG.RU и DDoS Guard смогли найти пути решения этой проблемы. Но обо всем по порядку.
Первый подход – использование вендорского оборудования (Arbor, Cisco, Juniper и других). Этот подход, как правило, используется в случае, когда у компании нет возможности отдать эти задачи на аутсорсинг из-за повышенного уровня защиты информации.
В данном случае речь идет об использовании готовых аппаратных решений для фильтрации трафика. На входе в сеть устанавливается такой аппаратный firewall, который фильтрует входящий трафик. Он использует определенное количество базовых правил, по которым определяет, пропускать ли трафик дальше.
Главное преимущество данного подхода в том, что оборудование имеет официальную сертификацию и гарантированно справится с определенными видами атак. В спецификации к аппаратному решению указывается максимальный объем атаки и, если мощность атаки не превышает заявленных значений, все интернет-ресурсы будут функционировать в нормальном режиме.
Минусы этого подхода:
Доступна только одна точка присутствия;
Потолок защиты по полосе ограничен каналом, приходящим от аплинков оборудования;
Относительно низкая мощность при работе с атаками на исчерпание ресурсов, в связи с чем, сложно или невозможно динамично конфигурировать маршруты и распределять нагрузку;
Цена профессиональных решений начинается с пятизначных сумм (за защиту в 10 Гбит/с).
Второй подход – использование распределенной фильтрующей сети. Этот подход используется лидерами отрасли и выглядит наиболее перспективным.
Суть этого метода состоит в том, чтобы принять атаку как можно ближе к тому месту, где она генерируется. Это позволяет оптимально использовать сетевую инфраструктуру и не доставлять вредоносный трафик из одной точки в другую, а сразу его блокировать. В случае распределенной DDoS-атаки, когда трафик генерируется в нескольких странах, он будет перенаправлен по оптимальным маршрутам до ближайших точек присутствия (POP), подвергнется фильтрации и к адресату дойдет только легитимный, полезный трафик.
Важнейшим преимуществом подобной организации защиты является невероятная гибкость. Благодаря этому, можно сбалансировать трафик между точками присутствия и работать с фильтрами в режиме реального времени, настраивая их под защиту от актуальных техник DDoS-атак, которые постоянно видоизменяются и модернизируются. В последнее время злоумышленники стали очень изобретательны – зачастую легитимный трафик отличить от атакующего можно, только обладая специфическим опытом в сфере защиты.
Основные узлы сети:
- Амстердам, Нидерланды;
- Франкфурт, Германия;
- Киев, Украина;
- Москва, Россия.
Существующая топология позволяет уверенно принимать большие объемы трафика, не создавая избыточной нагрузки на промежуточных операторов, обрабатывать локальный трафик России и Украины и имеет значительные резервы для расширения доступной входящей полосы. Следуя концепции постоянного роста, уже сейчас компания проектирует дополнительные точки присутствия и узлы очистки трафика в Северной Америке и Юго-Восточной Азии.
Архитектура сети проектируется с учетом возможных угроз и рисков, связанных с DDoS-атаками в три независимо-резервируемых слоя:
- Слой маршрутизации:
Основная задача - надежная маршрутизация больших объемов трафика, обеспечение связности с максимальным числом внешних сетей.
На этом уровне используются надежные и производительные маршрутизаторы. Максимальная проектная емкость каждого узла обработки трафика - 1400 Гбит/с, возможности быстрого расширения без перехода на порты 100GbE и изменения существующей топологии связности с внешними сетями - 440 Гбит/с.
- Резервированный кластер пакетной обработки (слой пакетной обработки):
Основная задача - распределенная проверка трафика на уровнях 3-4 модели OSI в условиях сверхвысоких пакетных нагрузок и суммарных объемов входящего потока в 100-200 Гбит/с на каждой точке присутствия.
Данный слой состоит из нескольких (2-5, в зависимости от точки присутствия) взаимно-резервированных устройств, производящих проверку пакетного трафика методами DPI. Используемые алгоритмы разработаны непосредственно инженерами компании DDoS Guard.
Необходимо обратить особое внимание на то, что проверка трафика и маршрутизация его конечному потребителю происходит непосредственно в точке приема, что сокращает задержки до минимума и создает дополнительные возможности резервирования.
- Резервированный кластер обработки запросов уровня приложения (слой приложений):
Основная задача - реализация методов проверки запросов уровней 5+ модели OSI - HTTP, HTTPs, DNS, SMTP и так далее. Здесь же происходит расшифровка, проверка и шифрование HTTPs-трафика.
Слой резервируется независимо от пакетной обработки и маршрутизации и не теряет работоспособности вплоть до полного выхода из строя всех узлов.
Примеры успешно отраженных атак в виде графиков загрузки каналов:
Сейчас, в рамках партнерства REG.RU и DDoS Guard, поддерживается защита от атак типа
ICMP flood, TCP SYN flood, TCP-malformed, UDP flood, DNS query flood. В ближайшее время планируется поддержка защиты от атак HTTP/HTTPS flood.