Защита от DDoS-атак

Нет, для подключения к услуге не требуется установка дополнительного программного или аппаратного обеспечения. Услуга работает на региональном уровне, и вам нужно будет только предоставить свои IP-адреса.

Услуга разработана так, чтобы минимизировать любое потенциальное влияние на производительность вашего ресурса. Он фильтрует вредоносный трафик и сохраняет доступность вашего сайта для легитимных пользователей.

Услуга подходит для защиты всей вашей инфраструктуры, независимо от количества используемых IP-адресов.

После анализа вашего трафика и настройки параметров фильтрации защита от DDoS-атак может заблокировать вредоносный трафик практически мгновенно, что минимизирует простой вашего ресурса.

Какими бывают DDoS-атаки

Разновидностей DDoS-атак много, и злоумышленники комбинируют их для нанесения наибольшего урона цели. Вот четыре распространенные тактики.

1. Прямые объемные атаки

‣ High packet rate. Генерация большого количества пакетов за короткий промежуток времени.
‣ Small packet size or large packet size. Использование очень маленьких или очень больших пакетов для нарушения обработки сетевыми устройствами трафика, либо переполнение канала связи.
‣ L3/L4 UDP attacks. Отправка большого количества UDP-пакетов для перегрузки целевого сервера, так как UDP не требует установления соединения.
‣ ICMP (including echo request, echo reply, unreachable). Запросы ICMP, например, ping, вынуждают цель отвечать на массовые запросы.
‣ L2/L3 floods (IGMP, SSDP, CHARGEN, QOTD, BT, Kad). Перегрузка сети путем генерации множественных пакетов используя различные протоколы сетевого уровня.

2. Сложные атаки на протоколы и манипуляции с пакетами

‣ L3/L4 TCP attacks (SYN, FIN, ACK, RST, invalid flag combinations). Эксплуатация TCP-протокола, например, создание фиктивных сессий (SYN flood) или неправильное использование флагов для сбоя обработки пакетов.
‣ Attacks involving fragmented packets, truncated or malformed packets. Отправка не полностью сформированных или некорректных пакетов для вызова ошибок и перегрузки в системе обработки данных.
‣ Fragmented packet floods (Frag. UDP Flood, Frag. TCP ACK flood, Frag. ICMP Flood). Перегрузка сети путем генерации фрагментированных пакетов, что заставляет цель тратить ресурсы на их пересборку и обработку.
‣ IP spoofing attacks. Подделка IP-адресов отправителя для обмана целевой системы или скрытия истинного источника атаки.
‣ Amplification attacks (DNS NTP, SNMP, LDAP). Использование уязвимостей в протоколах для многократного усиления объема атакующих данных

3. Распределенные сетевые атаки

‣ Fan-in (many IPs to one IP). Множество источников атакует и перегружает одну цель.
‣ Fan-out (one IP to many IPs). Один источник направляет трафик на множество целей для разведки уязвимостей или создания отвлекающего маневра
‣ Swarms (many IPs to many IPs). Скоординированная атака множества источников по множеству целей для создания массового хаоса.
‣ Multiple targets attacks. Как скоординированные, так и непоследовательные атаки по различным целям, направленные на манипуляцию защитными ресурсами

4. Атаки разной продолжительности и интенсивности.

‣ Long persistent attacks. Продолжительные атаки, создающие постоянную нагрузку на цель.
‣ Pulsed attack. Чередование активной фазы атаки с периодами покоя.
‣ Slow evolving attacks. Атаки с постепенным нарастанием интенсивности, что делает их менее заметными для систем мониторинга на ранней стадии.
‣ Low-rate attacks (from 1000 pps/10 Gbps). Атаки с низкой скоростью отправки пакетов, маскирующиеся под легитимный трафик.

Сервис «Защита от DDoS-атак» блокирует все эти атаки, автоматически адаптируясь к их методам в течение 25 секунд после обнаружения.