Scale Nitro
Well-Known Member
DoS (аббр. англ. Denial of Service «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.[1] В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую плохо написанную систему, не оставляя юридически значимых улик.
ЗАЩИТА ОТ ДДОСА!!
Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей. Фильтры могут реализовываться как на уровне маршрутизаторов, управляемых свичей, так и специализированными аппаратными средствами.
Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:
1) предоставить как можно меньше информации атакующему;
2) предоставить как можно больше информации DDoS-защитнику;
3) обеспечить понятные возможности фильтрации атаки;
4) обеспечить надежность сервиса под атакой.
Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак. Подробнее о защите и о том, что на нее влияет, можно узнать здесь:
Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.
Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.
Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.
В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:
защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.
По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.
Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.
И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.
ЗАЩИТА ОТ ДДОСА!!
Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей. Фильтры могут реализовываться как на уровне маршрутизаторов, управляемых свичей, так и специализированными аппаратными средствами.
Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:
1) предоставить как можно меньше информации атакующему;
2) предоставить как можно больше информации DDoS-защитнику;
3) обеспечить понятные возможности фильтрации атаки;
4) обеспечить надежность сервиса под атакой.
Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак. Подробнее о защите и о том, что на нее влияет, можно узнать здесь:
Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.
Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.
Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.
В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:
защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.
По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.
Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.
И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.