Qrator

Суть DDoS

DDoS атака — распределенная атака типа «отказ в обслуживании», целью которой является вывести из строя  сайт  путем постоянного потока запросов, поступающих на него с десятков и сотен тысяч  зараженных компьютеров, разбросанных по всему миру. Какой бы мощной не была информационная инфраструктура обслуживающая приложения, она не выдержит нагрузки, превышающей норму на несколько порядков и выйдет из строя. Это, как правило, приводит к весьма печальным последствиям: потере денег, утрате репутации надежного партнера или провайдера услуг, переходу клиентов к «более надежным» конкурентам, а то и вовсе к потере всего бизнеса. Сегодня стоимость заказа DDoS-атаки начинается с 50$ в сутки, что делает этот инструмент очень популярным среди злоумышленников.

Классификация DDoS

Самый главный критерий – на какие элементы инфраструктуры направлена атака. Мы рассматриваем следующие уровни:

• Канальная емкость
• Сетевая инфраструктура
• Стек протоколов
• Приложение

Самые сложные для нейтрализации атаки  — интеллектуальные атаки на уровне приложений, мы уделяем им особое внимание и считаем их нейтрализацию одной из своих ключевых компетенций.

Это касается всех

Ошибочно считать, что проблема DDoS-атак касается только «гигантов» Интернета, крупных компаний и организаций. Цели злоумышленников непредсказуемы и их интересы могут затрагивать не только коммерческие сферы, но и политические, благотворительные, СМИ и прочие. События в политике и экономике могут смещать основной вектор атак в ту или иную сторону, но, тем не менее, как показывает статистика, если сайт приносит деньги или выражает неугодное кому-либо мнение — он в зоне риска.

Самостоятельная защита

Владелец сайта может попытаться защититься от DDoS самостоятельно, установив средства противодействия на своем сервере, но в большинстве случаев это не даст положительного результата. Безуспешность попыток защитить свою инфраструктуру от DDoS в данном случае связана с тем, что трафик может просто не дойти до оборудования фильтрации – есть вероятность, что DDoS “парализует” каналы связи жертвы или её провайдера задолго до достижения средств защиты.

Защищает хостинг

К кому в первую очередь обращаются атакуемые DDoS? Первое, что приходит на ум – попросить защиты у своего хостинга. В случае наличия у хостинг-провайдера специализированных систем противодействия DDoS, защита может быть эффективна. Но, при наличии серьезной атаки провайдер не всегда может справиться с ней самостоятельно — cети хостинг-провайдеров не проектируются под экстремальные дополнительные нагрузки и не могут противостоять мощному DDoS. Владелец сайта в таком случае может получить следующее сообщение: “Зафиксирована DDoS-атака, направленная на домен XXX.ru, размещенный на Вашем аккаунте. Работа домена была приостановлена, т.к. атака создавала аварийную ситуацию на сервере, где размещается сайт с указанным доменом, и стабилизировать работу сервера без прекращения работы домена не представлялось возможным”. Данное письмо получил наш будущий на тот момент клиент.

Защищает Qrator

Сеть Qrator спроектирована и построена в расчете на работу под постоянным воздействием большого числа DDoS-атак. Узлы фильтрации Qrator Labs подключены к каналам крупнейших магистральных Интернет-провайдеров США, России, Западной и Восточной Европы, Юго-восточной Азии. Таким образом, в отличие от сетей операторов хостинга (особенно, виртуального), наша сеть спроектирована в расчете на экстремальные нагрузки, и атака на ресурс одного из наших клиентов никак не влияет на работоспособность сайтов других клиентов.

Технически клиенты подключаются следующим образом:

Клиенты вносят изменения в записи DNS, направляющие пользовательский трафик на узлы фильтрации Qrator. Эти узлы используют технологию BGP anycast для анонсирования своих адресов. В случае необходимости защиты подсетей клиента к BGP anycast могут быть добавлены и соответствующие клиентские префиксы.

После подключения трафик наших клиентов постоянно, вне зависимости от наличия атаки, поступает в сеть Qrator и анализируется ей. “Чистый” трафик перенаправляется на защищаемый сайт. Такая схема работы позволяет узлам фильтрации “понимать”, какой профиль трафика является нормой для каждого сайта в отдельности, и в случае любых отклонений молниеносно реагировать на это.

Все узлы сети Qrator работают независимо и в случае выхода из строя одного из них трафик защищаемого сайта не потеряется, а автоматически будет перемаршрутизирован на другой ближайший узел фильтрации.

Схема работы узла Qrator

Характеристики сети Qrator

Сеть Qrator обладает следующими основными характеристиками:

• Около 1000 Гбит/с пассивной полосы пропускания — детерминированная обработка IP-пакетов без установления TCP-соединения;
• Более 300 Гбит/с активной полосы пропускания — каждое входящее TCP-соединение обрабатывается и анализируется;
• <5% ложных срабатываний в процессе отражения DDoS-атаки;
• время обучения сети от момента подключения нового клиента — менее 2 часов:
  • в 33% случаев — до 4 минут;
  • в 60% случаев — от 5 минут до 1 часа.
• добавленное время задержки при проксировании трафика — от 0 до 100 мс. В случае проксирования HTTP-трафика в силу использования persistent HTTP-соединений с защищаемым сервисом возможен прирост скорости работы защищаемого сервиса;
• количество защищаемых ЦОД и сервисов — не ограничено.