Каким образом платные сервисы от DDOS атак работают?

Question

[WebDev]

Если сайт атакуют большим количеством запросов с разных адресов, например через заражённые компьютеры, то стандартные способы защиты, например, ограничение количества запросов с одного адреса, не помогут. Тут рекомендуют пользоваться платными сервисами, которые фильтруют трафик.
Объясните пожалуйста, как такие сервисы устроены? Как они отличают настоящий запрос от вредоносного?

Answer 1

[xmoonlight]

1. https://www.cloudflare.com/learning/ddos/ddos-miti...
2. https://beget.com/ru/articles/syncookied

Схемка сетевого ядра Linux

Answer 2

[dollar]

Во-первых, DDOS, это не всегда запросы к сайту. Это может быть просто поток сетевых пакетов с целью перегрузить ваш канал. Если он слабый, типа домашнего Интернета, то это вообще не проблема. Поэтому платные сервисы тупо дают широкий канал, и загрузить такой сервис очень сложно. Далее такой флуд легко фильтровать по простым критериям, и до вас, до вашего сервера, доходит лишь "чистый" трафик, от нормальных пользователей.

Ну а дальше начинается война снаряда и брони. Можно придумывать всякие способы атаковать вас, и можно придумывать всякие способы защиты. К примеру, боты могут делать запросы к сайту. Вы можете тупо отправлять их на капчу. Или можете попытаться найти закономерность в атаке и написать свой фильтр (опять-таки, если атака не перегружает канал, иначе это бесполезно). Можете даже воспользоваться машинным обучением, чтобы найти какие-то паттерны у ботов. Платные сервисы отличаются тем, что уже съели собаку на методах борьбы, поэтому делают это дешевле, чем если вы своими руками. И если они завтра что-то новое придумают, то это распространится на всех их клиентов, - это дешевле, чем если каждый клиент отдельно будет изобретать велосипед с нуля. Хотя, как я сказал выше, главной фишкой является широкий канал, так что их нельзя заддосить тупо трафиком.

От вас тоже требуется кое-что - оптимизировать работу сервисов так, чтобы они могли буквально жить под ддос, не особо от этого страдая. Такой подход является самым выигрышным на сегодня, но и требует грамотной разработки ПО, а не тяп-ляп.

В общем, война никогда не меняется. Поэтому ответить вам, что вот, мол, такие сервисы следуют такому-то рецепту - не получится. Технологии постоянно развиваются. И через год будут новые способы атаки и защиты. Платные сервисы просто берут деньги за то, что участвуют в этой войне, а как и что у них там получается - это отдельная наука. Для любой брони можно подобрать снаряд. И для любого снаряда можно подобрать броню. Вопрос в цене. Побеждает тот, у кого больше ресурсов (времени и денег), но потери по итогам несут все стороны конфликта (наживаются только спонсоры).

Comments

[xmoonlight]

Stand-alone с синхронизацией через TOR (как делает тот же Близзард) - оптимально.

Answer 3

[АртемЪ]

Каким образом платные сервисы от DDOS атак работают?

Фильтруют трафик.
Вы настройках DNS меняете запись, и переводите все запросы к вашему домену, на адрес сервиса.

Как они отличают настоящий запрос от вредоносного?

По разному. Анализ трафика быстро выявляет аномалии.

Вообще есть два типа DDOS атак -

• Атака на приложение.
  
• Атака на канал.
  

С атакой на приложение вы можете справиться сами - там злоумышленник просто заваливает ваш сервер кучей тяжелых запросов, и он не может их обработать. Такие запросы можно фильтровать прямо у себя. В общем бороться с ними вообще несложно и делается это народными методами.

А вот в случае атаки на канал, вас просто заваливают таким количеством запросов, которое ваш канал в интернет просто физически не может пропустить. В итоге на ваш сервер ни пройдет ни один пакет от клиентов - канал будет постоянно забит.
Вот в этом случае без сервиса не обойтись

Comments

[OverDrop]

Так то вектора 3, на приложение, на канал и на протокол

Answer 4

[SagePtr]

К примеру, они обслуживают множество клиентов, и если какой-то IP-адрес участвовал в атаках на сервера других клиентов - то с большой долей вероятности и на ваш сайт они ведут атаку, а не просто мирно зашли.
Тот же Cloudflare при первом открытии сайта иногда показывает капчу или на фоне при помощи JS выполняет проверку браузера, а потом помечает при помощи Cookie, что данному браузеру с данного IP можно некоторое время доверять, потому если с данного IP юзер совершал последнее время легитимные запросы - то его запрос можно пропустить без лишней проверки.

Comments

[xmoonlight]

К примеру, они обслуживают множество клиентов,

Кто такие "они" и откуда взялись?

[SagePtr]

xmoonlight,

Каким образом платные сервисы от DDOS атак работают?

[xmoonlight]

SagePtr, а-а.. "среднее по больнице" - понял.

[xmoonlight]

SagePtr, чтобы такое делать - общий канал пропуска трафика - должен быть нехилый...

[SagePtr]

xmoonlight, не среднее, там различные хитрые алгоритмы применяются

[xmoonlight]

SagePtr, разумеется: я не имел ввиду "математическое", а имено средние показатели у НС.