Russian English Ukrainian

Anti-DDoS: способы защиты от DDoS

Защити свою инфраструктуру от посягательств конкурентов и злоумышленников.

Наши предложения по защите от DDoS-атак

Anti-DDoS
Защита от DDoS распространяется на услуги Все выделенные сервера в дата-центре OVH, услуги Хостинга и VDS.
Фильтрация от HTTP DDoS-атак  Распространяется исключительно на услуги Хостинга.
Количество атак в месяц Не ограничено
Мощность атаки, Mbps Не ограничено
Продолжительность атаки Не ограничено
Тип атаки Любой
Обнаружение и автоматическая минимизация последствий Да
Многоточечная минимизация последствий 3 точки: Центральная Европа, Западная Европа, Северная Америка
Дополнительная сеть 3Tbps Да
Зашита Tilera Да
Зашита Arbor Да
Общая мощность точек фильтрации 480 Гбит/с.

Anti-DDoS

Все серверы OVH включают в себя функцию автоматического подавления атак по умолчанию, в момент атаки (реактивное подавление).


Подавление DDoS атаки

Блокируем атаку и пропускаем легитимный трафик

Подавление - это термин, который используется при разработке средств и мер, направленных на снижение негативных последствий DDoS атаки. Подавление состоит из фильтрации нелегитимного (паразитного) трафика и его отсеивания с помощью VAC, одновременно пропуская легитимные пакеты.

VAC состоит из нескольких устройств, каждое из которых обладает определенной функцией для фильтрации одного или нескольких типов атак (DDoS,флуд и т.д.). В зависимости от типа атаки, одна или несколько оборонительных стратегий могут быть введены в действие на каждом VAC-устройстве.

 Podav1

Компоненты VAC
Операции которые выполняются в Pre-Firewall:

• Фрагментированние UDP
• Анализ размеров пакетов
• Авторизация протоколов TCP, UDP,ICMP,GRE
• Блокировка всех остальных протоколов

Операции которые выполняются в FirewallNetwork:

• Разрешение/блокировка IP или подсети IP–адресов
• Разрешение/блокировка протоколов
• IP(все протоколы)Разрешение/блокировка портов TCP/UDPдиапазона портов
• TCP
• UDP
• ICMP
• GRE
• Разрешение/блокировка SYN/TCP
• Разрешение/блокировка всех пакетов кроме SYN/TCP

В Arbor нализируется:

• Некорректно сформированный заголовок IP
• Некорректная контрольная сумма IP
• Некорректная контрольная сумма UDP
• ICMPограничение
• Некорректно сформированная UDP диаграмма
• DNSусилитель

В Tilera анализируется:

• Некорректно сформированный заголовок IP
• Неполный фрагмент
• Некорректная контрольная сумма IP
• Дублированный фрагмент
• Слишком длинный фрагмент
• Слишком длинный IP/TCP/UDP/ICMPпакет
• Некорректная контрольная сумма TCP/UDP
• Неверные TCPпризнаки
• Неверный порядковый номерАутентификация TCPSYN
• Обнаружения зомби
• Аутентификация DNS
• Некорректно сформированный DNS запрос
• Ограничение DNS

Обнаружение атаки
analiz1

Для обнаружения атаки мы используем сетевой поток, который был отправлен маршрутизаторами и проанализирован Arbor Peakflow. Каждый маршрутизатор передает 1/2000 от трафика, который реально проходит через него. Arbor Peakflow анализирует эту часть и сравнивает ее с сигнатурой атак. Если происходит совпадение, то автоматическое подавление атаки срабатывает в считанные секунды.

Проанализированные сигнатуры основаны на следующих значениях трафика: "пакетов в секунду" (PPS, KPPS, Mpps, Gpps) или “бит в секунду” (bps, Kbps, Mbps, Gbps) для следующих типов пакетов:

  • DNS
  • ICMP
  • IP Fragment
  • NULL IP
  • Private IP
  • TCP NULL
  • TCP RST
  • TCP SYN
  • UDP
  • Total Traffic

Учитывая, что при обнаружении паразитного трафика требуется запуск определенных механизмов и, что анализируется только 1/2000 фактического трафика, то активация автоматического подавления атаки может занять от 15 до 120 секунд.


Отсеивание DDoS-атак

 

Необходимая пропускная способность

Otseevanie1

Принцип DDoS заключается в перегрузке сервиса. Иногда случается так, что целая провайдерская сеть не в состоянии справиться с нагрузкой.
Благодаря 3Tbps сети OVH, вся инфраструктура может поглотить огромное количество трафика во время атак, что является преимуществом по сравнению с другими доступными сервисами.

Многоточечное отсеивание: реальное преимущество


Когда происходит широкомасштабная атака, сервисы подавление атак, продублированные в трех дата центрах OVH на двух континентах (Боарнуа, Рубе, Страсбург), активируются одновременно таким образом, чтобы объединить все свои ресурсы и поглотить поток. Общая мощность сервиса подавления составляет 480 Gbps (3 x 160 Gbps).

Подобная структура позволяет свести на нет влияние направленной атаки на работу остальных клиентов и услуг.

Otseevanie2

Рис.1. Стандартная режим работы: отсеивание не активировано.
Otseevanie3

Рис.2. Обнаружена атака: многоточечное отсеивание активировано, что в свою очередь, запускает анализ и подавление атаки на 3-ех VAC-ах.

Что такое Anti-DDoS защита?

DDOS zashchita

Принципы функционирования DDoS-атак

Шансы стать мишенью DDoS атаки большие и атаки многочисленные. Конечной целью DDoS атаки является неработающий сервер, сервис или инфраструктура. Делается это путем перегрузки пропускной способности сервера или монополизирования его ресурсов до точки истощения. Во время DDoS атаки, множество запросов отправляются одновременно из нескольких точек через Интернет. Интенсивность такого «перекрестного огня» делает сервис нестабильным или, что еще хуже, недоступным.

Что мы предлагаем для защиты ваших сервисов

zashchita2

Чтобы защитить ваши серверы и сервисы от атак, OVH предлагает решение по подавлению атаки, основанное на технологии VAC — исключительной комбинации технологий для:

Обнаружение атаки. Анализ всех пакетов с высокой скоростью в режиме реального времени
Отсеевание входящего трафика вашего сервера
Подавление атак, то есть исключение всех нелегитимных IP пакетов, при этом позволяя всем легитимным проходить дальше.

Цели и типы атак

zashchita3

Существует три способа сделать ваш сайт, сервер или инфраструктуру недоступными:

1. Пропускная способность: этот тип атаки заключается в перенасыщении пропускной способности сети сервера, что делает его недоступным;
2. Ресурсы: этот тип атаки заключается в исчерпывании ресурсов машины, что делает ее неспособной отвечать на легитимные запросы;
3. Использование ошибок программного обеспечения: такой способ также известен как “эксплуатация”.
Такой тип атаки больше нацелен на специфические программные ошибки, чем на то, чтобы сделать машину недоступной или на получение контроля над ней.

 


 

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

Back to top