Разбор самых популярных решений защиты от DDoS-атак

Как устроены 3 самых популярных решения по защите от DDoS-атак, каким компаниям подойдет каждое и какое из решений нельзя обойти.

Илья Янгляев,
старший специалист сектора кибербезопасности

Защита интернет-канала от провайдера

Клиенту предоставляет защиту провайдер, у которого он берет канал. Этот вариант защиты Orange предоставляет своим клиентам.

Такую защиту нельзя обойти, потому что она стоит на единой точке входа трафика. Атака злоумышленника пройдет только в том случае, если ее мощность будет превышать мощность установленной защиты.

Этот вариант лучше всего подходит для банков и других финансовых организаций, которых регуляторы обязывают размещать серверы для платежных сервисов на своей территории, а не арендовать в дата-центрах.

Как технически устроена

Защита, в случае Orange — Internet Umbrella, ставится перед роутером PE (provider edge). Клиентский роутер CE (Customer Edge) при этом может балансировать между несколькими провайдерами и переключаться на провайдера с защитой от DDoS только в момент атаки.

Оборудование стоит на единой точке входа трафика

Плюсы

• Полный контроль за оборудованием, сервисом и каналами связи.
• Банки таким образом выполняют требования законодательства по размещению оборудования.
• Защиту нельзя обойти, как в следующем варианте.
• Провайдера можно сменить без ущерба сервису.
• Провайдер несет ответственность за простои оборудования в соответствии с договором и принятыми SLA. Например, платит штрафы, если сервис не будет доступен определенное время.

Минусы

• Отсутствует гибкость по сравнению с другими вариантами защиты.
• Требуется мониторинг оборудования, организация взаимодействия с провайдерами, вендорами по поддержке каналов, оборудования, ОС и ПО. 
• Мощность защиты ограничена мощностью провайдера.
   

Пропуск трафика в случае DDoS-атак через европейское оборудование

Для своих клиентов Orange дополнительно может прогонять трафик через оборудование во Франкфурте — если атаки превышают локальные мощности. Мощность защиты во Франкфурте: до 5 ТБ грубой очистки и до 200 Гб тонкой. Это нивелирует недостаток с ограниченной мощностью защиты от DDoS, предоставляемой провайдером.

Облачная защита

Клиент так же имеет свое оборудование и арендует канал для выхода в интернет, но защиту берет у облачного провайдера. Такую защиту можно купить у любого провайдера из любой страны и выбрать для себя наиболее мощную.

Этот вариант подходит крупным организациям, но имеет свои издержки.

Как технически устроена

Провайдер меняет IP-адрес клиента в DNS-записи на свой — выступает как прокси-сервер. В итоге весь трафик сначала проходит через облачного провайдера, а затем попадает к клиенту.

Оборудование подключается удаленно

Плюсы

• Возможность выбора и смены любого облачного провайдера.
• Полноценная защита от DDoS-атак, включая WAF-решения (защита веб-приложений).
• Бо́льшая мощность защиты. У облачных провайдеров обычно есть оборудование для отражения более крупных атак, чем у локальных провайдеров.

Минусы

• Повышенная сетевая задержка, так как центры очистки обычно размещаются только в самых крупных городах и часто не в России. Задержка будет такая же, как будто и сам сайт располагается в другой стране.
• Дороже варианта защиты канала от провайдера. 
• Не все сервисы можно защитить таким способом. Часть сервисов не поддерживает режим проксирования, а их доработка может стоить очень дорого.
• Защиту можно обойти.
• Отсутствие видимости IP конечных клиентов. Информацию о посетителях сайта до перехода на такую защиту придется совмещать с информацией о тех же посетителей после перехода — их логи поменяются.
   

Гибрид с защитой от провайдера

Защиту от DDoS от провайдера на своем оборудовании можно совместить с облачной защитой. Если будет большая атака, которую провайдер отразить не может, поможет облачная защита.

Облачная защита от CDN-провайдера

У компании нет своего оборудования, она арендует распределенные мощности CDN-провайдера и размещает на них сайт. 

В такой схеме вся инфраструктура не принадлежит компании и поэтому она не подходит банковским сервисам — им нельзя размещать платежное оборудование в сторонних ЦОДах. Зато схема подойдет маленьким компаниям или отдельным некритичным сервисам в больших компаниях — в этих случаях удобнее, когда провайдер сам обеспечивает инфраструктуру и ее безопасность.

Как технически устроена

Компания арендует сервер или мощности на хостинге, провайдер обслуживает оборудование сам и в качестве дополнительной услуги предлагает защиту от DDoS-атак.

Сам сервер располагается в облаке

Плюсы

• Защиту нельзя обойти, как в варианте со сторонним облачным провайдером.
• Меньше сетевая задержка при доступе к контенту сайта, так как за счет архитектуры решений CDN-провайдеров контент расположен наиболее близко к конечному пользователю.
• Не нужно заботиться о ширине каналов, взаимодействии с разными провайдерами, размещать сервера, не нужен мониторинг железного оборудования.
• Единый провайдер для всего мира и единый вход для взаимодействия.
• Поддержка современных технологий, отказоустойчивость и стабильность работы.

Минусы

• Полная зависимость от CDN-провайдера.
• Полностью арендованное решение, нет полноценного контроля. 
• CDN-провайдер может изменить условия размещения, поднять цены.
• Трудоемкость диагностики при проблемах доступа конечных пользователей к ресурсу, так как команда поддержки распределена по миру и может говорить на другом языке.