Comments 20
А как же KDP (Kaspersky Ddos Prevention)?
сервис защиты от DDoS есть у каждого приличного хостера и у каждого крупного оператора связи (на случай, если вы хостите свой сайт сами). Да, атаки на 500 Гб/с они не отобьют, но с другой стороны, такие атаки достаточно редки, а вот атаки в единицы Гб/с происходят по несколько раз на дню.
Кроме того, надо учесть, что внешние сервисы очистки обладают принципиальным недостатком: если вы поменяли A запись на сервис очистки, а злоумышленникам стал известен настоящий IP адрес вашего сайта, то сервис очистки не поможет. Точнее поможет, если вы построите выделенный канал до сервиса очистки, минуя интернет. Только это экзотика.
Ещё тонкий момент — если ваш сайт работает по HTTPS, вам нужно предоставить свои приватные(!!!) ключи сервису очистки. Иначе не будет очистки L7 трафика.
Резюмируя. По сути, есть 3 основных варианта фильтрации DDoS атак:
— железка у себя. Эффективна от атак уровня приложения и бесполезна от атак на забивание канала. Практически всегда используется, если ваш сайт HTTPS и вы параноик (напр., банк)
— сервис провайдера. Спасает от атак до десятков Гб/с (а это 99% атак, если вы не СМИ). Может использоваться в комбинации с железкой у себя.
— внешний сервис очистки. Может спасти от очень крупных атак. Имеет ахилесову пяту в виде возможности обойти сервис очистки. Комбинация с железкой у себя теоретически возможна, но скорее всего потребует собственной разработки (трансляция API вашей железки в API сервиса очистки)
Кроме того, надо учесть, что внешние сервисы очистки обладают принципиальным недостатком: если вы поменяли A запись на сервис очистки, а злоумышленникам стал известен настоящий IP адрес вашего сайта, то сервис очистки не поможет. Точнее поможет, если вы построите выделенный канал до сервиса очистки, минуя интернет. Только это экзотика.
Ещё тонкий момент — если ваш сайт работает по HTTPS, вам нужно предоставить свои приватные(!!!) ключи сервису очистки. Иначе не будет очистки L7 трафика.
Резюмируя. По сути, есть 3 основных варианта фильтрации DDoS атак:
— железка у себя. Эффективна от атак уровня приложения и бесполезна от атак на забивание канала. Практически всегда используется, если ваш сайт HTTPS и вы параноик (напр., банк)
— сервис провайдера. Спасает от атак до десятков Гб/с (а это 99% атак, если вы не СМИ). Может использоваться в комбинации с железкой у себя.
— внешний сервис очистки. Может спасти от очень крупных атак. Имеет ахилесову пяту в виде возможности обойти сервис очистки. Комбинация с железкой у себя теоретически возможна, но скорее всего потребует собственной разработки (трансляция API вашей железки в API сервиса очистки)
Про передачу сертификата. Не думаю что для серьёзных организаций это допустимо. С другой стороны атаки на 7-й уровень наиболее распространенные тк дешевые и действенные. Какой же выход?
комбинированное решение. Атаки на полосу фильтровать с помощью сервиса провайдера или специализированного сервиса DDoS очистки, атаки L7 — железкой у себя. Соответственно приватные ключи вы загружаете только в свою железку. Атаки L7, как правило, достаточно медленные и канал не забивают, поэтому такое решение работает.
Поправьте рекорд у Akamai. По нынешней сводке удачно отраженная атака на GitHub составляла 1.3Тбайт/с.
;)
F.U.D.-fest какой-то.
Жаль, что очень мало кто ценники пишут. И как фин-планирование проекта делать, когда никаких цен нету?
Цены на стандартную защиту у многих поставщиков есть. Думаю что для особых случаев цены не могут быть из разряда стнадартных т.к во-первых защищать от Тбс атак за 20$ в месяц себе дороже. С другой стороны для сайта, который атакуют с Тбс трафиком (который в большинестве случае принадлежит состоятельным людям) цена 20 000$ в минуту так же приемлема как и 20$ в месяц. Главное чтобы защита работала.
Cloudflare представлены не в 102 дц — неделю назад был открыт их 123й. Остальные данные также стоило бы проверить.
Почему-то не упомянули про российский DDoS-GUARD, хотя про Qrator написали. Из крупных еще странно не указать Voxility.
Есть сервисы и поменьше, например cloud-shield.ru, blazingfast.io, www.x4b.net
Ваша статья очень похожа на habrahabr.ru/company/hosting-cafe/blog/324848 с похожими недочетами по ширине охвата рынка.
Почему-то не упомянули про российский DDoS-GUARD, хотя про Qrator написали. Из крупных еще странно не указать Voxility.
Есть сервисы и поменьше, например cloud-shield.ru, blazingfast.io, www.x4b.net
Ваша статья очень похожа на habrahabr.ru/company/hosting-cafe/blog/324848 с похожими недочетами по ширине охвата рынка.
Не могу удержаться, и не показать сервис, который разрабатывает моя команда в одной восточноевропейской стране: nisps.com. Это не совсем про антиддос, только 20% функциональности это антиддос.
Но в целом, считаю статью ангажированной со странной выборкой провайдеров защиты. Не вижу двух крупных игроков (в командах которых я имел счастье работать) — в России — ddos-guard.net, в Европе — serverius.net
Но в целом, считаю статью ангажированной со странной выборкой провайдеров защиты. Не вижу двух крупных игроков (в командах которых я имел счастье работать) — в России — ddos-guard.net, в Европе — serverius.net
Sign up to leave a comment.
Подборка: 12 сервисов для защиты от DDoS-атак