Что такое DDoS-атаки – сегодня знают, кажется, даже весьма далёкие от IT-сферы люди. На случай, если на Хабр вдруг попал человек, ничего об этом не слышавший, всё же скажем пару слов о базовом. Итак, DDoS – это Distributed Denial of Service, «распределенный отказ в обслуживании»: большое количество машин, заражённых вредоносным ПО, одновременно начинает отправлять на сервер запросы.
В итоге сервер, разумеется, «падает». Техника атаки достаточно проста, и весьма эффективна – так что пользуются ею все, от простых «киберхулиганов», которым по каким-то причинам не нравится атакуемый сайт, до правительств государств с серьёзными политическими целями. А уж в России, где борьба с киберпреступностью ведётся весьма вяло, практика и вовсе широко распространена.
Заказать подобную атаку на конкурента – проще простого, вы легко можете убедиться в этом сами. По запросу «заказать DDoS» любой поисковик выдаст сотни ссылок – и среди них будет полно самых настоящих киберпреступников, которые действительно оказывают подобную услугу.
К чему же мы обо всём этом говорим?
Дата-центры также под угрозой
К тому, что хорошая защита от DDoS-атак в наше время – значимый критерий при выборе ЦОД. Этому есть две причины.
Во-первых, при достаточно мощной, хорошо организованной DDoS-атаке, сервер может получить нагрузку в несколько сотен Гбит/с (зафиксированы атаки в 300 Гбит/с и выше) – далеко не всякий дата-центр выдержит подобное. Во-вторых, всё чаще атакуют не отдельные сайты, а именно целые ЦОДы. Примерно 2/3 дата-центров подвергаются атакам с целью «забивания» их каналов связи.
А для крупных крупных ЦОД отражение попыток их «заddosить» уже превратилось в рутину – и, при этом, далеко не все центры научились с ними бороться. Примерно пятая часть случаев отключения ЦОД – это именно последствия DDoS, причём «поднять» центр после этого – сложнее, чем при каком-то ином сбое.
Скорее всего, количество подобных происшествий будет только увеличиваться. Далеко не все компании скрывают информацию о том, в каких дата-центрах распложены их серверы, а атаковать целый ЦОД технически не сложнее, чем конкретный ресурс.
Словом, даже если вы не ожидаете никакой атаки именно на ваш сервер (что, как мы уже выяснили, довольно самонадеянно), то всё равно можете стать жертвой DDoS. Но уже вместе с тысячами людей и организаций, которые пользуются услугами вашего дата-центра. Просто потому, что кто-то из «соседей» кому-то насолил.
Так что очень важно, насколько дата-центр защищён от DDoS-атак. Мы, в ЦОД «Контел», это отлично понимаем – и стараемся принимать все меры к предотвращению проблем (устранять которые после возникновения уже много тяжелее).
Как же сегодня защищают дата-центры?
Как мы защищаемся от DDoS?
Как водится, средства защиты от DDoS в тех ЦОДах, что хорошо о ней позаботились (вроде нашего), используются и программные, и аппаратные. Мы, конечно, говорим не только о банальных вещах, вроде той защиты, что реализована Microsoft в IIS.
Прекрасные комплексные решения для защиты как отдельных серверов, так и целых ЦОД от DDoS создаёт компания Cisco. Тут речь идёт о именно о программно-аппаратном комплексе. В первую очередь, работает Cisco Traffic Anomaly Detector – идёт пассивный мониторинг трафика, не вредящий производительности. Но зато позволяющий вовремя распознать начинающуюся атаку, и передать на Cisco Guard «сигнал тревоги».
Cisco Guard работает не «внешнем периметре» — устройство ставится на вышестоящем отрезке того пути, что проходит трафик. Кстати, сигнал от атаке необязательно должен поступать именно от Anomaly Detector – какой-то детектор вторжений, или даже обычный межсетевой экран тоже могут передать эту информацию. Поскольку Cisco Guard использует отдельный сетевой интерфейс, то его работа по «фильтрации» трафика во время DDoS не мешает остальным системам.
Cisco Guard на MVP-архитектуре, кстати, успешно масштабируются – так что это именно тот случай, когда можно создать оборону, явно превосходящую возможности атакующих. При этом, как выражается сама компания, защита осуществляется «с хирургической точностью» — то есть, Cisco подвергает тщательному анализу и фильтрации именно подозрительный трафик, а «нормальный» при этом продолжает совершенно свободное движение.
Но, конечно же, Cisco не является монополистом в сфере программно-аппаратной защиты ЦОД от DDoS-атак. Такие системы разрабатываются и в России (где, как мы уже отмечали выше, проблема DDoS стоит достаточно остро). Хороший пример тут – система «Периметр», но углубляться в её сравнение с продуктами Cisco мы не станем.
А что посоветовать пользователю?
Ну, помимо очевидного «положитесь на надёжность наших услуг»?.. К примеру, может посоветовать отказаться от Windows Server и Apache. Сетевой экран «винды», мягко говоря, не очень хорошо справляется с подобными нагрузками. А что до Apache, то на уровне самой архитектуры кода он имеет ряд уязвимостей, которые успешно эксплуатируются годами – несмотря на любые патчи.
Ну, а главное – не бояться. Рано или поздно, с DDoS столкнётся практически каждый. Важно подготовиться к данной неприятности – практически неизбежной, чтобы свести возможные потери к минимуму. Мы поступаем именно так, и всем советуем.
Ну и как всегда немного вкусных дедиков с уже включенной защитой от DDOS
Заказать сервер с защитой от 3200 руб
