Обзор DDoS-GUARD

1. Введение

2. Функциональные возможности DDoS-GUARD

3. Варианты подключения сервиса DDoS-GUARD

4. Тестирование сервиса DDoS-GUARD

5. Выводы

Введение

DDoS-атакам подвержены любые организации — государственные учреждения, СМИ, банки, интернет-магазины и многие другие.

Цель DDoS-атаки — сделать веб-сайт или IT-инфраструктуру компании недоступными для использования. Нападение осуществляется отправкой большого количества запросов с зараженных устройств (ботов), действующих по команде  злоумышленников. Инфраструктура жертвы зачастую не выдерживает нагрузки, превышающей норму на несколько порядков, и выходит из строя. DDoS-атака может привести к множеству негативных последствий для компании, основным из которых является недоступность основных сервисов для клиентов. Кроме того, DDoS-атаки могут использоваться как отвлекающий маневр для сокрытия других действий злоумышленников при осуществлении сложных целевых атак.

Количество, мощность и сложность DDoS-атак с каждым годом неуклонно растет. Согласно годовому отчету DDoS-GUARD за 2016 год, сервисом было зафиксировано 47933 DDoS-атак. Средняя мощность атак на серверы была 1,33 Гбит/с, при этом максимальная нагрузка достигала 293 Гбит/с. Россия в рейтинге «жертв» занимает второе место (25%) уступая первенство Китаю (39%). В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ и ритейл.

Справиться с DDoS-атаками своими силами очень сложно. Поэтому в данной области сформировался отдельный рынок решений и услуг, о котором мы уже рассказывали в статье «Защита от DDoS — обзор мирового и российского рынка». Защита от DDoS-атак может строиться одним из двух основных способов — собственными силами с использованием специализированных решений или путем заказа услуги по защите в специализированной компании по модели SaaS (Security as a Service). В данном обзоре мы расскажем о сервисе DDoS-GUARD от одноименной компании, предоставляющей услуги по защите от DDoS-атак.

Функциональные возможности DDoS-GUARD

DDoS-GUARD — российский провайдер защиты от DDoS-атак, обладающий лицензией в области связи, выданной Роскомнадзором. DDoS-GUARD присутствует на рынке с 2011 года и имеет обширную базу клиентов в России и по всему миру. Сервис DDoS-GUARD — система фильтрации трафика, состоящая из собственной высокопроизводительной распределенной физической сети фильтрующих узлов, подключенной к интернету посредством высокоскоростных каналов связи. Кластеры фильтрации расположены в России, Нидерландах, Германии, Японии, США и Китае.

Существующая топология позволяет:

• уверенно принимать большие объемы трафика, не создавая избыточной нагрузки на промежуточных операторов;
• обрабатывать локальный трафик максимально близко к источнику;
• избегать потерь связности при объемных атаках, минимизировать задержки передачи данных;
• иметь значительные резервы расширения доступной входящей полосы.

Канальные мощности позволяют обрабатывать трафик огромных объемов. Общая канальная емкость сети, анонсируемая компанией, — более 1,5 Тб/с.

Трафик клиентов, подключивших защиту, перенаправляется на ближайшую точку фильтрации, где зловредный — блокируется, а легитимный отправляется на клиентский ресурс. Геораспределение в данном случае — очень важный момент, именно оно позволяет минимизировать задержки трафика. Все происходит автоматически, клиенту надо только изначально выставить правильные настройки межсетевого экрана. Благодаря современному оборудованию конечный пользователь не замечает никаких задержек в загрузке сайта. В качестве бесплатного, но достаточно важного дополнения предлагается сервис CDN, который подразумевает кэширование контента со всеми преимуществами.

DDoS-GUARD работает на фильтрах собственной разработки, что позволяет установить приемлемые цены, соответствующие рынку.

Сервис отражает множество классов атак, например: IP malformed, ICMP flood, UDP flood, TCP flood, SlowLoris, HTTP  flood.

Варианты подключения сервиса DDoS-GUARD

Воспользоваться защитой можно без смены хостинга или с переносом на защищенный хостинг DDoS-GUARD, а также взять в аренду сервер в защищенной сети DDoS-GUARD или защитить свою сеть через услугу «Защищенный IP-транзит». Рассмотрим предлагаемые варианты подключения сервиса DDoS-GUARD подробнее.

Удаленная защита веб-сайтов

Удаленная защита веб-сайтов  осуществляется по технологии Reverse Proxy. Клиент перенаправляет трафик (меняет А-записи DNS) на кластеры фильтрующих серверов DDoS-GUARD, и после обновления записей в корневых DNS-серверах трафик к клиенту начинает идти через систему очистки DDoS-GUARD.

Рисунок 1.  Удаленная защита веб-сайтов по технологии Reverse Proxy

Перенос веб-сайта на безопасный хостинг DDoS-GUARD

Если кроме защиты от DDoS необходим надежный отказоустойчивый хостинг, то можно выбрать вариант перемещения ресурса на площадку DDoS-GUARD. Например, может возникнуть техническая проблема (не DDoS-атака) у стороннего хостинг-провайдера, где размещается защищаемый ресурс — он может оказаться недоступным.

Аренда виртуального выделенного сервера с защитой — подходящий вариант для тех, кто не хочет подвергать свой ресурс риску из-за атак на соседние ресурсы. Кроме того, есть возможность  арендовать через DDoS-GUARD физический сервер.

Дополнительные опции DDoS-GUARD

CDN (сеть доставки контента) — позволяет оптимизировать доставку контента в интернете до конечных пользователей. Использование сети повышает скорость загрузки цифрового контента в зонах присутствия. CDN имеет точки в Нидерландах, Германии, США, России и Японии. Сервис доступен на всех тарифах.

Рисунок 2. Сеть доставки контента DDoS-GUARD

Фильтрация DNS — если DNS-сервер подвергается DDoS-атаке, его можно защитить путем размещения на защищенном DNS DDoS-GUARD, на защищенной VDS или выделенном сервере.

Кэширование данных — позволяет сохранять статический контент клиентского сайта на сервере DDoS-GUARD и передает его пользователю сам, без обращения к защищаемому серверу. Тем самым снижается нагрузка на целевой ресурс, что ускоряет скорость передачи данных. Статические данные клиентского сайта — это графика, аудио, архивы, форматы шрифтов и пр.

Рисунок 3. Кэширование данных на северах DDoS-GUARD

Корпоративным клиентам, обладающим собственной вычислительной инфраструктурой, предлагаются услуги по защите сети. Услуга защиты сети будет интересна владельцам мультисервисных сетей, т. е. сетей с разнородным трафиком. В рамках этой услуги в базовом варианте обеспечивается защита сети на 2-4 уровнях по модели OSI. В расширенном варианте доступна опция защиты от вредных HTTP-ботов (опция L7-фильтрации).

Способов подключения к DDoS-GUARD масса: от логических линков (виртуальных туннелей и VPN) до физических линий.

Рисунок 4. Подключение к DDoS-GUARD через виртуальный туннель

В большинстве случаев выделенный логический или физический канал предпочтительнее, чем виртуальный туннель через общедоступную сеть, поскольку на сетях промежуточных операторов туннельный трафик будет пропускаться с минимальным приоритетом. Для клиента это может означать негарантированную доступность и непредсказуемые параметры канала (среди которых задержки, потери, джиттер, фрагментация и др.), т. е. снижение качества услуги.

Рисунок 5. Подключение к DDoS-GUARD через логический канал

Будучи заинтересованными в предоставлении качественного сервиса своим клиентам, DDoS-GUARD предлагает организовать прямое подключение к сети фильтрации DDoS-GUARD в одной из точек присутствия или логический канал через сеть одного из операторов-партнеров.

Рисунок 6.  Подключение к DDoS-GUARD через физический канал

Для доставки клиентского трафика можно использовать протокол динамической маршрутизации BGP или статическую маршрутизацию, если клиенту удобнее использовать IP-адреса DDoS-GUARD.

Для использования BGP обязательным условием является наличие у клиента собственной автономной системы (AS) или блока провайдеро-независимых адресов (PI-адреса). В случае организации защиты сети через BGP схема включения будет выглядеть следующим образом:

Рисунок 7.  Схема организации защиты сети при наличии у клиента собственной AS

Если у клиента нет своей автономной системы, DDoS-GUARD может предоставить блок статических адресов в аренду. Тогда схема подключения будет выглядеть так:

Рисунок 8.  Схема организации защиты сети при отсутствии у клиента собственной AS

В качестве бесплатной опции DDoS-GUARD предлагает своим клиентам и партнерам, сети которых присоединены к сети DDoS-GUARD, организовать пиринг — обмен трафиком между своими сетями по протоколу BGP. Дополнительным преимуществом пиринг-партнера DDoS-GUARD является возможность отдачи атакующего трафика, генерируемого в сети партнера, напрямую в сеть DDoS-GUARD, минуя аплинки и трафикообменные площадки. Это преимущество позволяет партнерам сокращать издержки на закупку каналов и минимизировать риски переполнения стыков с другими операторами, тем самым снижая вероятность потери легитимного трафика.

Рисунок 9. Организация пиринга

Тестирование сервиса DDoS-GUARD

Чтобы воспользоваться услугами DDoS-GUARD, необходимо пройти процедуру регистрации на сайте.

Рисунок 10. Регистрация в DDoS-GUARD

После регистрации становится доступен «Личный кабинет». Панель полностью русифицирована и имеет интуитивно понятный интерфейс, реализована англоязычная версия для иностранных клиентов.

Рисунок 11. «Личный кабинет» в DDoS-GUARD

Через «Личный кабинет» можно:

• пополнить баланс любым удобным способом (WebMoney, Visa/Mastercard, Perfect Money);
• подключиться к реферальной программе и отслеживать свой доход;
• сменить тариф, подключить дополнительные услуги;
• обратиться в службу технической поддержки.

Отметим, что служба технической поддержки работает круглосуточно. Для получения ответов на возникшие вопросы предусмотрена форма обратной связи посредством тикетов и активного чата. Служба поддержки реагирует достаточно быстро, все вопросы решаются грамотно и оперативно.

Кроме того, сайт насыщен различной полезной информацией: например, есть подробные инструкции о том, как подключить услуги и сделать необходимые настройки, уникальная база знаний, где можно узнать обо всех существующих сегодня типах атак и способах борьбы, с простыми и понятными иллюстрирующими схемами.

Подобрать подходящий вариант защиты можно несколькими способами. Например, заполнить форму-анкету о ресурсе, чтобы система автоматически направила на страницу с наиболее подходящим тарифом, или обратиться к онлайн-консультанту в чат, или позвонить на горячую линию.

В «Личном кабинете» можно настроить профиль, изменить пароль, контактный телефон и другую персональную информацию. Панель полностью русифицирована и имеет интуитивно понятный интерфейс, реализована англоязычная версия для иностранных клиентов.

Для тестирования возможностей сервиса DDoS-GUARD мы выбрали услугу «Удаленная защита веб-сайтов» с тарифом Normal, который наиболее выгоден коммерческим сайтам, интернет-магазинам, малому бизнесу, игровым форумам. Отметим, что DDoS-GUARD предлагает бесплатный тестовый период, чтобы оценить защиту и определиться, какая полоса трафика необходима. При этом если в процессе работы легитимный трафик будет значительно превышать показания, заложенные в условиях тарифа, можно сменить его на более подходящий.

Рисунок 12. Выбор услуги и тарифа DDoS-GUARD

После выбора услуги и тарифа необходимо оформить заказ и заполнить информацию о защищаемом ресурсе (защищаемый домен, целевой IP, наличие SSL, защита поддоменов). Для теста мы выбрали один из наших веб-сайтов:  www.datacenterexpert.ru.

Рисунок 13. Оформление заказа услуги в DDoS-GUARD

После оформления заказа для нашего сайта DDoS-GUARD выделил защищенный IP-адрес. Затем необходимо сменить A-записи домена в DNS. Смена осуществляется у регистратора доменов в редакторе DNS  или же на специализированном сервисе поддержки DNS-записей доменов. Это нужно для того, чтобы трафик защищаемого сайта направлялся через систему фильтрации DDoS-GUARD. При использовании SSL-шифрования в личном кабинете в разделе «Управление Proxy» необходимо добавить файлы сертификатов и ключ. Также в разделе «Управление Proxy» можно создать черные и белые списки IP-адресов. На этом настройка заканчивается.

Рисунок 14. «Управление Proxy» в DDoS-GUARD

При переходе в раздел «Панель DDoS-GUARD» мы попадаем в дашборд, позволяющий в реальном времени видеть процесс обработки данных и самостоятельно оценить нагрузку на свой ресурс.

Первая диаграмма отображает количество запросов и количество заблокированных IP.

На втором графике отображается время запроса и время приема-передачи (RTT).

Третий — тепловая карта количества запросов.

Четвертый отображает ТОП городов/стран — источников трафика.

Рисунок 15. Просмотр статистики трафика защищаемого ресурса в панели DDoS-GUARD (дашборд)

Каждая атака, отражаемая системой защиты, визуализируется и может наблюдаться в режиме реального времени. Во время DDoS-атаки на наш сайт на графиках наблюдался аномальный рост показателей.

Рисунок 16. Начало DDoS-атаки на веб-сайт datacenterexpert.ru

В 12:51 (начало атаки) был зафиксирован пик нагрузки: выросло количество запросов, увеличилось время отклика сервера и число заблокированных IP. Далее значения снизились.

Рисунок 17. Визуализация статистики при осуществлении DDoS-атаки на веб-сайт datacenterexpert.ru

Атака на веб-сайт datacenterexpert.ru длилась 1,5 часа и успешно была отражена сервисом DDoS-GUARD.

Рисунок 18. Визуализация статистики при осуществлении DDoS-атаки

Выводы

Компания DDoS-GUARD — лицензированный российский провайдер защиты от DDoS-атак, предоставляющий услуги защиты по модели SaaS. Наличие у DDoS-GUARD собственной инфраструктуры фильтрующих станций с огромными канальными мощностями (емкостью более 1,5 Тб/с) от крупнейших магистральных операторов позволяет отражать мощные DDoS-атаки, а современное надежное оборудование и инновационное программное обеспечение гарантируют высокий уровень обслуживания.

DDoS-GUARD является одним из лидеров в борьбе с DDoS-атаками и крайне тщательно подходит к вопросам безопасности. Компания предлагает несколько вариантов подключения защиты. Можно воспользоваться услугами удаленной защиты с помощью проксирования (без смены хостинга),  а если кроме защиты от DDoS-атак необходим надежный отказоустойчивый хостинг, то можно выбрать вариант перемещения ресурса на площадку DDoS-GUARD. Защиту можно подключить минимум на месяц, при этом возможно подключение защиты на сутки в режиме trial (бесплатного теста), чтобы оценить, какая полоса трафика необходима. Оперативное подключение услуги позволяет организовать защиту ресурса всего за 10 минут.

Отметим, что в схеме защиты без смены текущего хостинга есть ряд нюансов: атакующие могут заранее знать IP-адрес защищаемого ресурса или же вычислить его в DNS history по имени домена. Таким образом, сервер можно будет атаковать по IP-адресу. Смена IP-адреса у хостинг-провайдера тоже не всегда помогает: конечно, атакующие не смогут найти ресурс напрямую, но если сайт представляет большой интерес для злоумышленников, они могут «положить» хостинг вместе с защищаемым ресурсом целиком. В данном случае целесообразнее всего будет смена хостинга. В свою очередь DDoS-GUARD предлагает воспользоваться услугами защищенного хостинга, виртуального или выделенного сервера.

Преимущества:

• Постоянный мониторинг всего входящего и исходящего трафика защищаемого ресурса 24/7, а не только при атаках.
• Способность отражать атаки скоростью 1,5 Tб/с и 120 млн PPS.
• Гибкая ценовая политика.
• Прозрачное ценообразование, без скрытых платежей за атакующий трафик.
• Возможность организовать защиту всего за 10 минут.
• Информативный личный кабинет с доступом к статистике по трафику.
• Наличие тестового периода.
• Оперативная и профессиональная техническая поддержка.
• Для информационной поддержки пользователей на сайте представлена уникальная база знаний и подробные инструкции по подключению сервиса.

Недостатки:

• Отсутствует оповещение клиента о начале атаки на его ресурс.
• Нет возможности в личном кабинете сформировать отчет или просмотреть историю событий (возможен просмотр только в режиме реального времени).
• Нельзя настроить диапазон статистики на гистограммах.
• Отсутствует информация о методах проводимых атак.