• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Защита от DDoS атак методом проксирования (фильтрации)

    DDoS. По обе стороны баррикад

    Содержание:

    1. DDoS – атака. Основные виды

    2. Флуд, как основной способ DDoS-атак

    3. Защита от DDoS атак

    4. Защита от DDoS атак методом проксирования (фильтрации)

    На сегодняшний день для защиты ресурсов от DDoS-атак разработано множество методов и способов, однако, наиболее популярным по прежнему остаётся метод проксирования.

    Метод этот можно разделить на две составляющие: фильтрация и блэкхолинг. Давайте рассмотрим обе составляющие подробнее.

    Проксирование  способом - Блэкхолинг

    Блэкхолинг (от англ. Black hole – чёрная дыра) – наименее затратный метод, позволяющий защитить не только атакуемый объект, но и всю инфраструктуру ресурса в целом. Блэкхолинг заключается в том, что весь поступающий на атакуемый ресурс трафик перенаправляется на несуществующий сервер, так называемую «чёрную дыру». При этом на источник перенаправляемого трафика не отправляется уведомление о том, что данные не дошли до адресата. Этот факт не позволяет злоумышленникам скорректировать атаку и вновь атаковать IP-ресурса. Сами «чёрные дыры» при сканировании инфраструктуры ресурса невидимы и могут быть отслежены только при контроле за движением отправленного трафика. Отсюда и название, по аналогии с космическими чёрными дырами.

    Защита от DDoS атак методом проксирования (фильтрации)

    Как пример всем известных «чёрных дыр» можно привести обратные почтовые адреса автоматизированных почтовых служб тех или иных ресурсов.

    Использование блэкхолинга при защите DDoS-атак, обычно происходит на уровне маршрутизации, часто с использованием нескольких маршрутизаторов сразу, что позволяет оперативно реагировать и отражать атаки ещё до того, как они дойдут до того уровня когда смогут действительно угрожать безопасности ресурса. Наиболее эффективен блэкхолинг в том случае, когда службе безопасности известен точный IP-адрес злоумышленника. В этом случае имеется возможность перенаправить в «чёрную дыру» исключительно вредоносный трафик, не трогая трафик легетимный.

    Однако при использовании блэкхолинга следует соблюдать осторожность, поскольку неправильная настройка маршрутизаторов может привести к отправлению в «чёрные дыры» легитимных или даже необходимых для нормального функционирования ресурса протоколов. Что в свою очередь может привести к «падению» ресурса.

    Проксирование  способом - Фильтрация

    Фильтрация. Как можно судить из названия, при использовании этого метода входящий трафик фильтруется в соответствии с теми или иными правилами, заданными при установке фильтров.

    Можно выделить два способа фильтрации: маршрутизация по спискам контроля доступа (или списки  ACL) и использование межсетевых экранов.

    Первый способ эффективен при защите от DDoS-атак небольшой силы. При использовании списков ACL фильтруются второстепенные протоколы, не затрагивая при этом протоколы TCP и не замедляя скорость работы пользователей с ресурсом. Однако, при использовании злоумышленниками первостепенных запросов (например SYN-флуд) или ботнета, данный способ фильтрации окажется неэффективным.

    Защита от DDoS атак методом проксирования (фильтрации)

    Межсетевые экраны являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей. Причина в том, что их невозможно использовать на тех ресурсах, которые должны быть открыты для общего доступа.

    Использование фильтрации или блэкхолинга зависит от силы DDoS-атаки. Фильтрация прекрасно справляется с небольшими потоками вредоносных данных и при этом позволяет легитимным пользователям относительно легко добраться до ресурса. Однако при использовании злоумышленниками очень большого потока вредоносных запросов, системы фильтрующие трафик попросту захлебнуться и, как следствие, ресурс упадёт. Блэкхолинг в такой ситуации справиться более эффективно, хотя и для легитимных пользователей доступ может быть ограничен.