Ответы пользователя по тегу Защита от DDoS
  • Какие методы противодействия Ddos атакам существуют, что вообще есть по теме полезного?

    @sergey_privacy
    Админ со стажем, начинающий DevOps
    Ваш вопрос слишком охватывает слишком широкий круг атак, чтобы можно было ответить однозначно. Сначала изучите базу, а потом определитесь с конкретными видами атак. Защиту от каждой в отдельности уже и изучайте. В целом, от ДДОС защиты нет, может быть комплекс мер, уменьшающий риск от ДДОС-а. ДДОС-атаки могут быть разных видов.
    1. Простое параллельное открытие десятков страниц с тысячи компов - вот уже ДДОС, направленный на веб сервисы. Спастись можно установкой ограничения на количество одновременно запрашиваемых страниц с одного адреса. Остальное резать файрволом. Можно расширить "ферму" серверов, балансируя нагрузку равномерно. Использовать кэширующие серверы.
    2. Старейшая и классическая ДОС, расширенная до ДДОС: TCP SYN-ACK атака. Т.е. с каждого компьютера происходит запрос на открытие нового TCP-соединения, переполняя буферы операционной системы. Защита как в первом случае + система обнаружения вторжений помогут свести на нет всю атаку.
    3. Самый обычный ICMP-флуд гораздо эффективнее и от него спастись гораздо сложнее. Адрес вашего сервиса находят с помощью запроса к ДНС. Потом по таблице маршрутизации пакеты идут к вашему провайдеру и далее к вашему компьютеру или сервису. Любой пришедший к вам пакет провайдер отсылает вам, а можете вы его переварить или нет - не его проблема. При наличии канала в 100Мбит/сек до провайдера, вдруг приходит поток ICMP ping пакетов объемом 400Мбит/сек. Маршрутизатор провайдера передает его вам. Все пакеты, которые не уместились в ширину канала, были отброшены. Все, ДДОС прошел. Ваши сервера могут иметь любые сервисы и службы для защиты от атак. Канал забит, значит хакер добился цели. Провайдер может обнаружить атаку и начать резать трафик к вам на своем уровне. Но ДДОС легко может забить и входящий канал провайдера. В таком случае нужно строить сложную схему с распределением нагрузки по серверам, наличие нескольких провайдеров, соглашение с ними о сервисе защиты от атак и т.д. Стоимость реализации такая, что ее могут себе позволить только компании-гиганты.

    Видов ДДОС-атак может быть множество. Одни направлены на забивание канала, другие направлены на зависание операционной системы, третьи на неработоспособность сервисов. Защита от всех ДДОС-ов требует целого комплекса ОЧЕНЬ дорогостоящих мер, выделения большого количества оборудования, согласования совместных мер с провайдером.
    Ответ написан
    Комментировать