Защита от DDoS-атак - Защита от DDoS для корпоративной сети
ОГЛАВЛЕНИЕ
Защита от DDoS для корпоративной сети
Если ваш провайдер не предлагает услугу по блокировании DDoS атак, то у вас есть вариант попросить кого-то еще это сделать, но не меняя провайдера. Такую услугу мы разберем на примере компании Prolexic (www.prolexic.com). Даже, если на вас в настоящий момент идет атака, то вы можете достаточно быстро блокировать ее при помощи сервиса Prolexic одним из следующих вариантов.
Перенаправление DNS и использование прокси
Вы можете прописать в DNS IP адреса сети компании Prolexic. Допустим прописать, что ваш WEB сервер стоит на IP адресах Prolexic. В итоге атака будет направляться в их сеть, трафик DDoS будет отрезаться, а нужный трафик с вашего WEB сайта при помощи обратного прокси доставляться всем клиентам. Этот вариант очень подходит Интернет банкам, Интернет магазинам, онлайн-казино или электронным журналам. Вдобавок прокси позволяет кешировать данные.
BGP маршруты и GRE туннели
Prolexic может, используя протокол маршрутизации BGP сказать всему Интернету, что ваша сеть находится в сети Prolexic и весь трафик будет перенаправляться к ним, где и будет очищаться от злонамеренного содержимого. Чистый трафик вам будет перенаправляться при помощи протокола GRE, который переносит данные в вашу сеть так, как будто никакой DDoS атаки и не было. А вы из своей сети будете отвечать на пришедшие к вам пакеты в обычном режиме, поскольку ваш канал уже не будет перегружен.
Прямое подключение к Prolexic
Можно напрямую подключить свою сеть через Prolexic и всегда быть под их защитой, но по понятным причинам это не всегда возможно. Если ваша компания международная, то часть своих ресурсов вы можете подключить через компанию Prolexic или подобные компании. И на вас будет сложно совершить DDoS атаку.
Картинка с сайта www.prolexic.com
Как именно компания Prolexic отличает трафик зомбированных компьютеров от трафика обычных мне найти не удалось. В технической документации содержится информация о некой уникальной технологии использующей некоторые аппаратные и программные средства. Но самое главное в этой услуге, что есть к кому обратиться, если DDoS уже идет и есть возможность блокировать ее достаточно быстро.
| Пример 5. Чудес не бывает. |
| Чтобы подчеркнуть это, надо заметить, что были атаки и на сам Prolexic. В мае 2006 года появилось сообщение, что его DNS сервера перестали работать вместе с DNS серверами их клиентов. Подробнее тут www.secure64.com/ddos-news/prolexic-pharmamaster.html. Хотя потом оказалось, что атака была не на сами сети Prolexic, на защищенные технологией DNS Shield (www.ultradns.com/technology/dnsshield.html) DNS сервера компании UltraDNS, но пострадало 80% клиентов Prolexic. В общем история темная. |
Сервис от Akamai
Большие компании, такие как IBM, Microsoft, Apple, Sony, AMD, BMW, Toyota, FedEx, NASA, NBA, MTV защищают свои WEB сайты от DDoS атак при помощи сервиса Akamai (www.akamai.com). Однако защита от DDoS, это лишь одна из возможностей сервиса Akamai. Этот сервис позволяет компаниям иметь зеркало своих сайтов в тысячах различных точек по всему земному шару, гарантируя 100% доступность в любое время. Обычно на зеркалах лежат мультимедийные данные, такие как видео, аудио и графика. Akamai использует математические алгоритмы для решения проблем с перегрузками возникающими на WEB серверах в глобальном масштабе. Эти алгоритмы были разработаны в Массачусетском технологическом институте (MIT). И именно благодаря им Akamai обеспечивает быструю и надежную передачу контента пользователям Интернет. Есть в судьбе компании и печальный факт: один из основателей Akamai Даниель Левин был убит при попытке остановить террористов в одном из самолетов захваченных 11 сентября 2001 года в США.
| Пример 6. |
| Но даже Akamai однажды в 2004 году был выведен на час из строя. Говорят, что это была атака на DNS, но это тоже одна из темных историй. Подробнее тут www.washingtonpost.com/wp-dyn/articles/A44688-2004Jun15.html |