Как работает сеть фильтрации Qrator Labs

Что такое DDoS-атака

DDoS-атака – это распределенная атака типа «отказ в обслуживании», целью которой является выведения сайта из строя путем направления постоянного потока запросов с десятков и сотен тысяч зараженных компьютеров, разбросанных по всему миру. Какой бы мощной не была информационная инфраструктура, обслуживающая приложения, она не выдержит нагрузки, превышающей норму на несколько порядков, и выйдет из строя. Это, как правило, приводит к весьма печальным последствиям: потере денег, утрате репутации надежного партнера или провайдера услуг, переходу клиентов к «более надежным» конкурентам, а то и вовсе к потере всего бизнеса. Сегодня стоимость заказа DDoS-атаки начинается с 50$ в сутки, что делает этот инструмент очень популярным среди злоумышленников.

Классификация DDoS-атак

 

Сетевые атаки можно классифицировать в зависимости от того, на какие элементы инфраструктуры они направлены. Мы рассматриваем следующие уровни:

  • Канальная емкость
  • Сетевая инфраструктура
  • Стек протоколов
  • Приложение

Самые сложные для нейтрализации – интеллектуальные DDoS-атаки на уровне приложений, мы уделяем им особое внимание и считаем их нейтрализацию одной из своих ключевых компетенций.

Это касается всех

 

Ошибочно считать, что проблема распределенных сетевых атак касается только «гигантов» интернета и крупных компаний. Цели злоумышленников непредсказуемы, и их интересы могут затрагивать не только коммерческие сферы: часто атаки организуются на  благотворительные, политические организации, СМИ и пр. События в политике и экономике могут смещать основной вектор атак в ту или иную сторону, но, как показывает статистика, если сайт приносит прибыль или выражает неугодное кому-либо мнение – он в зоне риска.

Самостоятельная защита от DDoS-атак

Владелец сайта может попытаться организовать защиту сети от DDoS-атак самостоятельно, установив средства противодействия на своем сервере, но в большинстве случаев это не даст положительного результата. Безуспешность попыток защитить свою инфраструктуру от сетевой атаки в данном случае связана с тем, что трафик может просто не дойти до оборудования фильтрации – есть вероятность, что DDoS-атака “парализует” каналы связи жертвы или её провайдера задолго до достижения средств защиты.

Защита от DDoS-атак на хостинге

К кому в первую очередь обращаются жертвы DDoS-атак? Первое, что приходит на ум – попросить защиты у своего хостинга. В случае наличия у хостинг-провайдера специализированных систем нейтрализации DDoS-атак защита сети может быть эффективна. Однако с серьезной атакой провайдер не всегда может справиться самостоятельно: cети хостинг-провайдеров не проектируются под экстремальные дополнительные нагрузки и не могут противостоять массированным атакам на отказ в обслуживании.

Владелец сайта в таком случае может получить следующее сообщение: “Зафиксирована DDoS-атака, направленная на домен XXX.ru, размещенный на Вашем аккаунте. Работа домена была приостановлена, так как атака создавала аварийную ситуацию на сервере, где размещается сайт с указанным доменом, и стабилизировать работу сервера без прекращения работы домена не представлялось возможным”. Такое письмо получила атакуемая компания, которая впоследствии стала нашим клиентом.

Защищает сеть фильтрации Qrator Labs

Сеть Qrator спроектирована и построена в расчете на работу под постоянным воздействием большого числа DDoS-атак. Узлы фильтрации Qrator Labs подключены к каналам крупнейших магистральных интернет-провайдеров США, России, Западной и Восточной Европы, Юго-Восточной Азии. Таким образом, в отличие от сетей операторов хостинга (особенно, виртуального) наша сеть спроектирована в расчете на экстремальные нагрузки, и атака на ресурс одного из наших клиентов никак не влияет на работоспособность сайтов других клиентов.

Технически клиенты подключаются следующим образом:

Клиенты вносят изменения в записи DNS, направляющие пользовательский трафик на узлы фильтрации Qrator. Эти узлы используют технологию BGP anycast для анонсирования своих адресов. В случае необходимости защиты подсетей клиента к BGP anycast могут быть добавлены и соответствующие клиентские префиксы.

После подключения трафик наших клиентов постоянно, вне зависимости от наличия DDoS-атаки, поступает в сеть Qrator и анализируется. “Чистый” трафик перенаправляется на защищаемый сайт. Такая схема работы позволяет узлам фильтрации “понимать”, какой профиль трафика является нормой для каждого сайта в отдельности, и в случае любых отклонений молниеносно реагировать на это.

Все узлы сети Qrator работают независимо, и в случае выхода из строя одного из них трафик защищаемого сайта не потеряется, а автоматически будет перемаршрутизирован на другой ближайший узел фильтрации.

Схема работы узла Qrator Labs

Характеристики сети Qrator Labs

Сеть Qrator обладает следующими основными характеристиками:

  • Около 3000 Гбит/с полосы пропускания, предназначенной для фильтрации DDoS-атак;
  • <5% ложных срабатываний в процессе нейтрализации DDoS-атаки;
  • Время обучения сети с момента подключения нового клиента – менее 2-х часов;
  • Время реакции сети Qrator на DDoS-атак – от 30 секунд до 3 минут;
  • Добавленное время задержки при проксировании трафика – от 0 до 100 мс. В случае проксирования HTTP-трафика в силу использования persistent HTTP-соединений с защищаемым сервисом возможно снижение сетевых задержек для защищаемого сервиса;
  • Количество защищаемых ЦОД и сервисов  –  не ограничено.