Хостинг-провайдер vs. DDoS-атака. Решение REG.RU – профессиональный аутсорс



    Недавно REG.RU совместно с компанией DDoS Guard представил бесплатную автоматическую защиту от DDoS-атак. Защита срабатывает автоматически и способна выдержать атаку со скоростью более 100 Гбит/с, что позволяет избежать отключения серверов и сайтов, а, следовательно, потери клиентов и прибыли.

    Проблема борьбы с DDoS-атаками встает перед всеми хостинг-провайдерами без исключения. Классические методы борьбы предполагают временную недоступность атакованного сайта, однако REG.RU и DDoS Guard смогли найти пути решения этой проблемы. Но обо всем по порядку.


    Методы борьбы с DDoS-атакой


    В настоящее время существует несколько подходов к защите от DDoS-атак:

    Первый подход – использование вендорского оборудования (Arbor, Cisco, Juniper и других). Этот подход, как правило, используется в случае, когда у компании нет возможности отдать эти задачи на аутсорсинг из-за повышенного уровня защиты информации.

    В данном случае речь идет об использовании готовых аппаратных решений для фильтрации трафика. На входе в сеть устанавливается такой аппаратный firewall, который фильтрует входящий трафик. Он использует определенное количество базовых правил, по которым определяет, пропускать ли трафик дальше.

    Главное преимущество данного подхода в том, что оборудование имеет официальную сертификацию и гарантированно справится с определенными видами атак. В спецификации к аппаратному решению указывается максимальный объем атаки и, если мощность атаки не превышает заявленных значений, все интернет-ресурсы будут функционировать в нормальном режиме.

    Минусы этого подхода:
    • Доступна только одна точка присутствия;
    • Потолок защиты по полосе ограничен каналом, приходящим от аплинков оборудования;
    • Относительно низкая мощность при работе с атаками на исчерпание ресурсов, в связи с чем, сложно или невозможно динамично конфигурировать маршруты и распределять нагрузку;
    • Цена профессиональных решений начинается с пятизначных сумм (за защиту в 10 Гбит/с).

    Второй подход – использование распределенной фильтрующей сети. Этот подход используется лидерами отрасли и выглядит наиболее перспективным.

    Суть этого метода состоит в том, чтобы принять атаку как можно ближе к тому месту, где она генерируется. Это позволяет оптимально использовать сетевую инфраструктуру и не доставлять вредоносный трафик из одной точки в другую, а сразу его блокировать. В случае распределенной DDoS-атаки, когда трафик генерируется в нескольких странах, он будет перенаправлен по оптимальным маршрутам до ближайших точек присутствия (POP), подвергнется фильтрации и к адресату дойдет только легитимный, полезный трафик.

    Важнейшим преимуществом подобной организации защиты является невероятная гибкость. Благодаря этому, можно сбалансировать трафик между точками присутствия и работать с фильтрами в режиме реального времени, настраивая их под защиту от актуальных техник DDoS-атак, которые постоянно видоизменяются и модернизируются. В последнее время злоумышленники стали очень изобретательны – зачастую легитимный трафик отличить от атакующего можно, только обладая специфическим опытом в сфере защиты.


    Как работает DDoS Guard


    В настоящее время компания DDoS-Guard располагает распределенной сетью с общей емкостью в 200 Гбит/с, позволяющей надежно и быстро проверять входящий поток трафика.

    Основные узлы сети:
    — Амстердам, Нидерланды;
    — Франкфурт, Германия;
    — Киев, Украина;
    — Москва, Россия.

    Существующая топология позволяет уверенно принимать большие объемы трафика, не создавая избыточной нагрузки на промежуточных операторов, обрабатывать локальный трафик России и Украины и имеет значительные резервы для расширения доступной входящей полосы. Следуя концепции постоянного роста, уже сейчас компания проектирует дополнительные точки присутствия и узлы очистки трафика в Северной Америке и Юго-Восточной Азии.

    Архитектура сети проектируется с учетом возможных угроз и рисков, связанных с DDoS-атаками в три независимо-резервируемых слоя:

    — Слой маршрутизации:
    Основная задача — надежная маршрутизация больших объемов трафика, обеспечение связности с максимальным числом внешних сетей.

    На этом уровне используются надежные и производительные маршрутизаторы. Максимальная проектная емкость каждого узла обработки трафика — 1400 Гбит/с, возможности быстрого расширения без перехода на порты 100GbE и изменения существующей топологии связности с внешними сетями — 440 Гбит/с.

    — Резервированный кластер пакетной обработки (слой пакетной обработки):

    Основная задача — распределенная проверка трафика на уровнях 3-4 модели OSI в условиях сверхвысоких пакетных нагрузок и суммарных объемов входящего потока в 100-200 Гбит/с на каждой точке присутствия.

    Данный слой состоит из нескольких (2-5, в зависимости от точки присутствия) взаимно-резервированных устройств, производящих проверку пакетного трафика методами DPI. Используемые алгоритмы разработаны непосредственно инженерами компании DDoS Guard.

    Необходимо обратить особое внимание на то, что проверка трафика и маршрутизация его конечному потребителю происходит непосредственно в точке приема, что сокращает задержки до минимума и создает дополнительные возможности резервирования.

    — Резервированный кластер обработки запросов уровня приложения (слой приложений):
    Основная задача — реализация методов проверки запросов уровней 5+ модели OSI — HTTP, HTTPs, DNS, SMTP и так далее. Здесь же происходит расшифровка, проверка и шифрование HTTPs-трафика.

    Слой резервируется независимо от пакетной обработки и маршрутизации и не теряет работоспособности вплоть до полного выхода из строя всех узлов.

    Примеры успешно отраженных атак в виде графиков загрузки каналов:







    Несколько слов о BGP интеграции REG.RU и DDoS Guard


    REG.RU является первым российским хостинг-провайдером, который стал предоставлять услугу защиты от DDoS-атак бесплатно и в автоматическом режиме.

    С технологической точки зрения, защита клиентов REG.RU выглядит следующим образом:
    • REG.RU выделяет адресное пространство, в котором аккумулируются рисковые клиенты.
    • Имея основные сессии BGP с магистральными операторами, REG.RU дополнительно устанавливает BGP сессии c DDoS Guard и в случае атаки анонсирует сеть, которая нуждается в защите.
    • В дальнейшем весь трафик, который идет к REG.RU, проходит каскад фильтров и доставляется уже в отфильтрованном виде.
    • Со стороны DDoS Guard защита работает постоянно, в режиме реального времени, при этом весь мусорный трафик блокируется в полностью автоматическом режиме.
    • Доставка трафика по оптимальным маршрутам позволяет гарантировать низкие задержки для конечного пользователя.

    Сейчас, в рамках партнерства REG.RU и DDoS Guard, поддерживается защита от атак типа
    ICMP flood, TCP SYN flood, TCP-malformed, UDP flood, DNS query flood. В ближайшее время планируется поддержка защиты от атак HTTP/HTTPS flood.
    REG.RU
    67.48
    Каждый день мы делаем Рунет лучше! Вы с нами?
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 23

      +3
      с красным носом и щеками вы немного погорячились.
        –4
        Основные узлы сети:
        — Амстердам, Нидерланды;
        — Франкфурт, Германия;
        — Киев, Украина;
        — Москва, Россия.


        Я бы на них так сильно не надеялся)
          0
          Такие крупные фильтрующие сети редко опираются на конкретные точки, а чтобы увести трафик из какого-то Дата Центра и перевести на другой обычно нужно около 2-4 минут, пока перераспределится трафик и перестроятся маршруты в Интернете.
          +1
          Вам нельзя доверять до тех пор, пока вы требуете копию паспорта при переносе от вас международных доменов.
            0
            И при аренде VPS требуют
              0
              VPS еще ладно, хетзнер тоже требует. но при международных доменах — позорище
                0
                Ну пока из всех, у кого я держал VPS, отличились только они.
                Хетзнера через Фаст делали — не требовали.
            0
            У физических серверов тоже есть защита от DDoS? Просто пункт «Защита от DDoS» обнаружил только на страницах заказа хостинга и VPS.
              +1
              К услуге «Защита от DDoS» уже подключены шаред-хостинг и VPS. В данный момент ведутся работы по подключению к физическим серверам.
                0
                Сообщите, пожалуйста, как только подключите.
              +1
              Под защитой ddos-guard находятся такие ресурсы как: nnm-club.me, rutor.org. Собственно с nnm-club и в курсе про работу ddos-guard.

              Вопрос.
              Почему партнерство именно с ними, а не с QRATOR?
                0
                Благодаря этому, можно сбалансировать трафик между точками присутствия и работать с фильтрами в режиме реального времени, настраивая их под защиту от актуальных техник DDoS-атак, которые постоянно видоизменяются и модернизируются.

                Как связана распреленность сети фильтрации с настройкой фильтров в реальном времени и актуальными техниками атак, которые постоянно видоизменяются? Вам не кажется, что вы путаете причинно-следственные связи?

                Ребят, прокомментируйте пож-та каким образом под вашей защитой берется столько «хлама»?
                Ума не приложу, как www.reg.ru встал к вам под защиту, похоже бесплатность так манит, что на вашу репутацию можно закрыть глаза.

                Ваша логика ясна: решили потихоньку становиться беленькими и пушистыми, поэтому решили взять и без денег, т.к. нужен пиар и поступления с «хлама» пока нормально в карман капают.

                Сколько раз слышал: «лучше под ddos сутки пролежать раз месяц, чем весь месяц лежать под защитой ddos-guard и не разу не быть атакованным...»
                  +2
                  Клиентура DDoS-Guard это фарма/порно/скам/кардеры и прочий отборный интернет-шлак. Один verified.ms чего стоит.
                  Команда Qrator прилагает максимум усилий чтобы в нашем фильтре подобной мрази небыло — вот и образовывается «ниша» для не столь разборчивого DDG. Они скорее всего зарабатывают существенно больше нас, и думают что «деньги не пахнут».

                  Пахнут. И пахнут очень скверно.
                    0
                    Александр, Вы возвращаете мне веру в людей раз за разом, ибо принципы и мораль — давно забытые слова в этом мире =(

                    Спасибо за Ваши услуги :)
                  0
                  Гхм, друзья, странная история, на которую я совершенно случайно обратил внимание.

                  Вот есть домен одного Питерского ресторана, isteriya.com, он хостится у Вас:

                  whois isteriya.com|grep 'Name Server' -i
                  Name Server: NS5.HOSTING.REG.RU
                  Name Server: NS6.HOSTING.REG.RU
                  Name Server: ns5.hosting.reg.ru
                  Name Server: ns6.hosting.reg.ru


                  Но направлен он на странный IP
                  host -t a isteriya.com
                  isteriya.com has address 195.211.221.162


                  А этот IP — серверы защиты DDoS-Protection.ru (бывший NetVillage, вроде):

                  whois 195.211.221.162 |tail -n 10

                  route: 195.211.221.0/24
                  descr: Ddos Zashita Ltd.
                  origin: AS50098
                  mnt-by: DZ-MNT
                  source: RIPE # Filtered


                  Почему же, рекламя DDos Guard, Вы защищаетесь DDoS-Protection'ом?
                    +1
                    NS reg.ru это всего то где находятся DNS записи (DNS хостинг).
                    Более показательно mail.isteriya.com — 151.248.122.137 — который в свою очередь на xenhost36.vps.reg.ru.

                    Можно предположить что заведение давно уже озаботилось своей защитой и это их личный выбор.
                      0
                      Да, это еще и типовой пример некорректного подключения домена на защиту. Когда бэкэнд светится как на ладони и почти гарантированно получит DDoS в бэкэнд, а не по фронтам защиты.
                      0
                      Действительно, раньше мы пользовались услугами DDoS-protection. Старых клиентов мы не переводили на новую защиту, однако сейчас при заказе услуг все клиенты REG.RU подключаются к DDoS Guard.
                        0
                        А чем DDoS/Protection.ru или Qrator хуже?
                          0
                          С таким же успехом можно встать на выходе из магазина Apple и докапываться к покупателям: «А чем Samsung и HTC хуже?»
                          Люди уже сделали свой выбор в силу ряда факторов, им неинтересно это обсуждать.
                            0
                            Так «ряд факторов» не был означен, вот теперь (спасибо Александре!) он означен. Если выбор нельзя описать формально — это странный выбор.
                            0
                            REG.RU начал сотрудничать с DDoS Guard по целому ряду причин. Вот только некоторые из них:
                            1) Наличие у DDoS Guard собственной геораспределенной инфраструктуры;
                            2) Ориентация на защиту от Amplification DDoS, постоянное увеличение максимального потолка атаки;
                            3) Круглосуточная техподдержка;
                            4) Готовность к реализации любых сценариев и максимальная гибкость технических решений.
                        +1
                        Готовность к реализации любых сценариев

                        вот тут можно не сомневаться… один из сценариев — ddos-рэкит ваших клиентов, дабы не сомневались в необходимости услуги.

                        Only users with full accounts can post comments. Log in, please.