Як працює захист від DDoS атак

Що таке DDoS

DDoS — Distributed Denial of Service. Розподілена атака типу "відмова в обслуговуванні".

Проста аналогія: уявіть кав'ярню на 20 місць. Приходить 100 чоловік, займають всі місця і нічого не замовляють. Реальні клієнти не можуть увійти.

В інтернеті те саме: атакуючі надсилають величезну кількість запитів, канал забивається, сайт недоступний.

Типи DDoS атак

1. Volumetric (об'ємні)

Найпростіші. Мета — забити канал великою кількістю трафіку.

• UDP flood — мільйони UDP пакетів
• ICMP flood — ping на максимумі
• DNS amplification — маленький запит, великий відповідь

Обсяг: від 1 Gbps до сотень Gbps.

2. Protocol (протокольні)

Цілять в конкретні слабкості протоколів.

• SYN flood — відкривають TCP з'єднання, не закривають
• ACK flood — відправляють ACK на неіснуючі з'єднання

3. Application (прикладні)

Найскладніші. Імітують звичайних користувачів.

• HTTP flood — запити GET/POST на важкі сторінки
• Slowloris — відкривають з'єднання, тримають довго

Методи захисту

На рівні провайдера

1. BGP Blackhole Routing

Коли атака йде на вашу IP-адресу — провайдер "скидає" весь трафік на цю адресу в "чорну діру". Атака не доходить, але і сайт недоступний.

Використовується як крайній захід.

2. Rate Limiting

Обмеження кількості пакетів з одного джерела. Якщо один IP надсилає 10 000 пакетів на секунду — це підозріло.

3. Фільтрація за сигнатурами

Аналіз трафіку на патерни відомих атак. Подібно до антивіруса.

На рівні клієнта

1. Хмарний захист (Cloudflare, Qrator)

Весь трафік йде через їхню мережу. Вони фільтрують атаки, пропускають чистий трафік до вас.

Ціна: від безкоштовного (базовий) до тисяч доларів (enterprise).

2. WAF (Web Application Firewall)

Аналіз HTTP запитів. Блокує підозрілі патерни.

3. CDN

Контент роздається з багатьох серверів. Атакувати потрібно всі одразу.

Що робить AIST

Базовий захист (включено)

• Фільтрація invalid packets
• Rate limiting на граничних роутерах
• BGP blackhole за запитом (для екстрених випадків)

Захищає від атак до 1-2 Gbps.

Розширений захист (опція)

• Інтеграція з Qrator/Cloudflare
• Виділений канал під час атаки
• 24/7 моніторинг трафіку

Що робити, якщо атакують

1. Не панікуйте
   DDoS — це тимчасово. Атаки коштують грошей, вони закінчуються.
2. Зв'яжіться з провайдером
   Чим швидше — тим краще. Ми бачимо атаку на нашій стороні.
3. Увімкніть хмарний захист
   Cloudflare можна активувати за 5 хвилин. Базовий план безкоштовний.
4. Перенесіть критичні сервіси
   Якщо атакують основний сайт — зробіть резервну сторінку на іншому домені.
5. Зберіть логи
   Інформація про атаку може знадобитися для розслідування.

Висновки

1. DDoS — це реальність
   Від нього не застрахований ніхто. Питання — чи готові ви.
2. 100% захисту не існує
   Є тільки різні рівні протидії. Чим більша атака — тім дорожчий захист.
3. Провайдер + хмарний захист = краще рішення
   Провайдер захищає канал, хмара — застосунок.
4. Готуйтеся заздалегідь
   Налаштувати Cloudflare до атаки — 10 хвилин. Під час атаки — години паніки.