Защита от DDoS атак

Одними из самых распространенных киберугроз в последние годы стали DDoS-атаки. С их помощью злоумышленники могут полностью парализовать веб-ресурс, закрыв доступ для пользователей на неопределенное время. Для интернет-бизнеса, финансовых компаний и веб-порталов государственных услуг это может быть очень болезненным. Кроме того, падает доверие клиентов, которые не могут попасть на сайт, теряют возможность безопасно совершать финансовые операции или другие действия, требующие конфиденциальности, что подрывает репутацию ресурса.

Что такое DDoS-атаки

DDoS-атака (Distributed Denial of Service) — это распределенный отказ в обслуживании. Иными словами злоумышленники совершают определенные действия, чтобы сайт перестал работать.

Во время ДДоС-атаки они отправляют с подконтрольных ресурсов огромное количество запросов к серверу (вирусный трафик) по сети, которые он не в состоянии обработать. Происходит перегрузка и отказ системы, сервер перестает работать, клиенты теряют доступ к сайту.

Особенно страдают от DDoS-атак личные сайты, созданные на бесплатных шаблонах. Обычно владелец подобного ресурса не имеет достаточно опыта в защите от киберугроз. Цена такой беспечности может быть очень высока. Рекомендуем купить услугу администрирования сервера для эффективной борьбы с ДДоС-атаками в TutHost.

Классификация DDoS-атак

Для атаки чаще всего используются определенные уровни модели взаимодействия открытых систем OSI:

  1. Уровни инфраструктуры: 
    1. сетевой L3 — атаки направлены на роутеры и коммутаторы. Используются протоколы IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. 
    2. транспортный L4 — атаки направлены на серверы и разнообразные сервисы (игровые и т.д.). Используются протоколы TCP и UDP, подпротоколы DCCP, RUDP, SCTP, UDP Lite.
  2. Уровни приложений L7. На уровне приложений атаки нацелены на сервисы, приложения и сайты. Используются протоколы HTTP, HTTPS и DNS.

Задача атаки сетевого уровня — добиться отказа в обслуживании легитимных запросов. ДДоС атаки на транспортную инфраструктуру массовые, они перегружают пропускные способности сети и серверы трафиком, но легко вычисляются по определенным признакам.

Атаки на уровне приложения не такие массовые, но направлены на уязвимости в его архитектуре. Для таких атак используется SSL-нарушение, флуд запросов DNS и HTTP, потоки запросов к API приложения или Wordpress Pingback.

Методы защиты от DDoS-атак

Существует несколько методов нейтрализации и защиты от DDoS-атак.

Изоляция зон атаки

Чтобы эффективно нейтрализовать атаку, нужно ограничить зону, которую может затронуть киберугроза. Уменьшение зоны снижает возможности хакеров, а для администратора сервера повышает шансы вовремя вычислить и нейтрализовать атаку.

Нужно уменьшить до минимума или отключить точки уязвимости, такие как порты, приложения и протоколы, с которыми не предусмотрено взаимодействия, ограничить трафик к определенным частям инфраструктуры (например, базам данных), использовать CDN, балансировщики нагрузок и т.д.

Увеличение пропускной способности и производительности сервера

Этот метод помогает нейтрализовать масштабные ДДоС-атаки путем их поглощения. Для этого нужно предусмотреть увеличенную пропускную способность при подключении к сети. Во время масштабной атаки пропускной способности хватит, чтобы приложение или ресурс оставались доступными для клиентов даже при вирусном трафике. Также приложения и ресурсы нужно размещать вблизи крупных узлов межсетевого обмена, которые помогают увеличивать пропускную способность.

ДДоС-атаки используют много ресурсов, поэтому нужно иметь возможность регулировать вычислительные объемы сервера. Увеличенная производительность сервера поддерживает обработку больших объемов трафика. Для регуляции распределения нагрузок и минимизации перегрузок использовать балансировщики.

Эталонный и нетипичный трафик

Еще одним методом вычисления DDoS-атаки является отслеживание трафика. Нетипичный трафик —  это когда множественные запросы поступают в нестандартное время, из нецелевых регионов, из которых обычно не бывает посетителей. Например, вдруг возрастает трафик в 2 часа ночи из Новой Зеландии, хотя ваша целевая аудитория находится в Украине. 

Поэтому необходимо проверять журналы и отслеживать подобные нетипичные активности. Если объемы запросов превышают максимально допустимый трафик, нужно принять меры по нейтрализации. Но при этом не забывать, что в предпраздничный период или в сезон распродаж трафик может сильно вырасти по естественным причинам. 

Использование брандмауэров

Для защиты от DDoS-атак, использующих уязвимости в приложениях путем внедрения SQL-кода или межсайтового скриптинга, лучше использовать брандмауэр. Он будет нейтрализовать запросы по определенным характеристикам, которые отличаются от эталонного трафика. Например, запросы с подозрительных IP или из нетипичных географических регионов.

Кому нужна услуга DDoS-защиты

Чаще всего ДДоС-атакам подвергаются:

  • финансовый сектор;
  • платежные системы;
  • интернет-магазины;
  • государственные учреждения.

Также нередкими жертвами становятся ресурсы медиакомпаний, например, во время топовых онлайн-трансляций, когда сильно возрастает трафик.

Почему базовые средства защиты не спасают от DDoS-атак

Стандартные системы предотвращения вторжений IPS и межсетевые экраны помогают сохранять целостность данных и предотвращают их утечку внутри ресурсов компании, но не защищают от угроз извне, а также могут сами стать мишенями для злоумышленников.

Почему стоит выбрать сервис “Защита от DDoS-атак” в TutHost

Наш сервис защиты от DDoS-атак включает следующие услуги:

  • мониторинг трафика, высокая точность определения вредоносных запросов;
  • быстрая организация защиты от атак, установка фильтров флуда SYN, HTTP, UDP/ISMP;
  • отражение крупномасштабных атак;
  • обеспечение доступности серверов.

Вы можете выбрать и купить один из трех тарифных планов сервиса защиты от ДДоС-атак по доступной цене. Мы гарантируем надежную защиту от внешних посягательств и доступность ваших веб-ресурсов и приложений для клиентов.

  • Отражать атаки большого объема более 1 Tbps
  • Быстро организовать защиту от DDoS-атак сервера
  • С высокой точностью определять вредоносный трафик
  • Обеспечить мониторинг доступности сервисов

security Anti DDoS Lite

100.00 $ / мес.
Заказать

lock Защита DDOS
1 домен

inverse Фильтр UDP/ICMP
100 GBPS

network Фильтр SYNFLOOD
750 KPPS

cloudmanaged Фильтр HTTP 
5000 запросов/с.

global Чистый трафик
100 MBPS

protection Anti DDoS Pro

250.00 $ / мес.
Заказать

lock Защита DDOS
4 домена

inverse Фильтр UDP/ICMP
300 GBPS

network Фильтр SYNFLOOD
10M KPPS

cloudmanaged Фильтр HTTP 
20000 запросов/с.

global Чистый трафик
250 MBPS

Protected Anti DDoS Premium

500.00 $ / мес.
Заказать

lock Защита DDOS
Неограничено

inverse Фильтр UDP/ICMP
2000 GBPS

network Фильтр SYNFLOOD
10M KPPS

cloudmanaged Фильтр HTTP 
100000 запросов/с.

global Чистый трафик
500 MBPS

  • Бонус: При оплате сразу на 1 год — 2 месяца защиты от DDoS-атак на сайт вы получите в подарок

Что дополнительно включено в тарифы?

emailopen
Защита почты
Отправка почты через защищенный канал
document
Списки
Управление черным и белым списком
freenetwork
Прокси
Проксирование исходящие соединений
cloudsecurity
SSL сертификат
Можем использовать ваш SSL сертификат
window
Панель управления
Онлайн статистика. Логи доступ и ошибок
compare
Балансировка нагрузки
Проксирование исходящие соединений

Вы можете заказать хостинг с защитой от DDoS-атак любым удобным вам способом: по email, через онлайн чат или через личный кабинет. Это предоставит вам универсальную защита сервера от DDoS-атак, а также сайтов и не только.

Вы можете заказать услуг защиты от DDoS любым удобным вам способом: по email, через онлайн чат или через личный кабинет.

Просто сообщите нам для какого сайта вам нужно организовать сервис защиты от DDoS-атак, а мы предоставим вам защищенный айпи, поможем направить на него трафик, установить сертификат и получить чистый трафик.