Ваш надежный
хостинг партнер
(495) 797-8-500

8-800-700 40 36

У Вас нет выбранных услуг.



Новости компании, технические статьи

09.08.2015

Прогрессивные методики борьбы с DdoS-атаками на веб-ресурсы

Сегодня можно выделить несколько действенных способов борьбы с DDoS-атаками.


Способ 1.

Можно использовать только вендерское аппаратное обеспечение (Jupiter, Cisco, Arbor и пр.) Такой способ может быть актуальным в тех случаях, когда предприятие не может отдавать подобные задачи на аутсорс в силу того, что информация имеет повышенный уровень защиты.

Этот метод предполагает использовать готовые аппаратные средства для того, чтобы фильтровать трафик. Файерволл аппаратного типа, отвечающий за фильтрацию входящего трафика, устанавливается на входе в сеть. В его рамках задействуется определенный набор правил, в соответствии с которыми решается вопрос о том, стоит ли пускать трафик дальше.

Основным достоинством данного способа можно считать наличие официально сертифицированного аппаратного обеспечения, которое будет гарантированно справляться с конкретными разновидностями атак. В спецификациях такого оборудования, как правило, указан минимум объемов атак – если заявленные производителями значения не превышаются, то Ваш веб-ресурc будет работать нормально.

К недостаткам такого метода можно отнести следующие нюансы:

  • ограничение защиты приходящим от аппаратных аплинков каналом;

  • доступность лишь одной точки присутствия;

  • сравнительно высокая стоимость профессионального аппаратного комплекса, который, как правило, исчисляется пятизначными суммами на организацию защиты от DDoS-атак с рабочим ресурсом в 10 Гбит/сек;

  • сравнительно невысокая степень мощности в условиях защиты от атак на исчерпание ресурса. В данном случае достаточно проблематично, либо почти невозможно осуществлять распределение нагрузки и конфигурацию маршрутов в динамичном режиме.


Способ 2

Вариант использования фильтрующих сетей распределенного типа. Данный метод в настоящее время используют ведущие компании в данной отрасли. Стоит отметить, что такой способ считается достаточно перспективным.

Его суть заключается в том, что атака принимается ближе к местам ее генерации. Таким образом, обеспечивается оптимальное использование инфраструктуры сети с исключением доставки вредоносного сетевого трафика из точки А в точку B с мгновенной его блокировкой.

Если имеют место распределенные DDoS-атаки, предполагающие генерацию трафика приходящего одновременно из нескольких стран, он направляется к ближайшим POP (точкам присутствия) по оптимальному маршруту и подвергается фильтрации. Так адресат получит на входе только полезный, легитимный трафик.

Одно из основных преимуществ такого метода организуемой анти-DDoS защиты заключается в его необычайной гибкости, за счет чего возможно четкое распределение трафика между точками присутствия, что позволит настраивать фильтры под защиту современных техник атак и работать с ними в реальном времени. В условиях непрерывного развития и совершенствования способов DDoS-атак это является крайне актуальным решением. Притом, что злоумышленники в последнее время проявляют особую изобретательность, чаще всего отличить атакующий трафик от полезного можно только, если у вас имеется специфичный опыт в вопросах сетевой защиты.


Работа с DDoS-Guard: основные принципы защиты с использованием данного решения

На данный момент DDoS-Guard готова предложить услуги распределенной сети, общая емкость которой составляет до 200 Гбит/сек. Такая сеть позволяет осуществлять достаточно оперативную проверку входящего трафика. Главные сетевые узлы в данном случае располагаются на территории таких городов, как Франкфурт (ФРГ), Амстердам (Голландия), Москва (Россия) и Киев (Украина) .

Разработанная и усовершенствованная технология актуальна и позволяет работать с приемом трафика в больших объемах. При этом промежуточные операторы не испытывают на себе избыточную нагрузку. Вместе с тем присутствует возможность оперативной обработки трафика Украины и РФ. В активе компании также имеется внушительный резерв для того, чтобы планомерно расширять доступную входящую полосу. В настоящий момент проектируются дополнительные точки под очистку трафика и узлы присутствия на территории Юго-Востока Азии и североамериканского континента.

Сетевая архитектура в данном случае спроектирована таким образом, чтобы учитывать всевозможные риски и угрозы, которые непосредственным образом связаны с DDoS-атаками. В данном случае все базируется на трех слоях, резервируемых независимо друг от друга:


Возврат к списку