Apa itu perlindungan DDoS?

• Volumetrik (flood L3/L4). Saturasi bandwidth mentah: flood UDP, amplifikasi DNS/NTP, klasik botnet bergaya Mirai. Diukur dalam gigabit — serangan modern secara rutin melebihi 100 Gbps, jauh melampaui uplink server tunggal mana pun. Hanya kapasitas scrubbing upstream yang bisa menjawab ini.
• Serangan protokol. Menguras status koneksi alih-alih bandwidth: flood SYN, trik paket terfragmentasi, kelelahan tabel koneksi. Lebih kecil dalam volume, lebih mematikan per paket; difilter oleh inspeksi stateful di edge.
• Layer aplikasi (L7). Flood permintaan HTTP yang terlihat sah yang ditujukan ke endpoint mahal — halaman pencarian, formulir login, panggilan API. Paling sulit difilter secara generik karena setiap permintaan menyerupai pengguna nyata; dimitigasi oleh rate-limiting, tantangan, dan caching di edge aplikasi.

Stack perlindungan yang nyata menangani ketiganya; “dilindungi DDoS” yang hanya berarti ACL router tidak menangani satu pun dari itu.

Pipeline-nya adalah deteksi → pengalihan → scrubbing → re-injeksi. Telemetri aliran (NetFlow/sFlow) memantau setiap IP pelanggan untuk anomali — baseline lalu lintas yang tiba-tiba berlipat ganda, campuran protokol yang cocok dengan tanda tangan serangan yang diketahui. Dalam hitungan detik, prefix target dialihkan ke kapasitas scrubbing: hardware filtering yang menjatuhkan sumber yang dipalsukan, membatasi aliran, memvalidasi perilaku protokol, dan meneruskan sisanya. Lalu lintas bersih kembali masuk ke jaringan menuju server Anda, yang sebagian besar tidak menyadari apa pun. Dua angka yang penting adalah time-to-mitigate (detik vs menit menentukan apakah pemain/pengguna pernah menyadari) dan headroom scrubbing (scrubber 10 Gbps yang menghadapi flood 400 Gbps hanyalah dekorasi). “Always-on” berarti lalu lintas dianalisis secara inline secara permanen daripada dialihkan hanya setelah kerusakan; untuk workload yang rentan serangan, perbedaan itu adalah produknya.

Perlindungan yang disertakan (termasuk milik kami) mencakup layer jaringan: penyerapan volumetrik dan filtering protokol hingga skala multi-ratus-gigabit, always-on, tanpa biaya tambahan, di setiap lokasi. Apa yang tidak bisa dicakup sepenuhnya oleh filter tingkat jaringan adalah efisiensi aplikasi Anda sendiri: jika satu permintaan HTTP murah membuat aplikasi Anda menjalankan kueri database lima detik, penyerang hanya membutuhkan beberapa ratus permintaan per detik — tidak dapat dibedakan dari pengguna — untuk menyakiti Anda. Ketahanan L7 adalah pekerjaan bersama: host memfilter flood; Anda melakukan cache secara agresif, membatasi endpoint mahal, dan (jika Anda menginginkan halaman tantangan) menempatkan CDN di depan. Host yang jujur mengatakan ini; waspadalah terhadap yang menjanjikan “tidak bisa diretas”.

Ada pola buruk dalam hosting mainstream: diserang, ditangguhkan. Kebijakan DDoS nyata dari banyak provider anggaran adalah null-route korban — IP Anda menjadi gelap hingga serangan berhenti, yang berarti penyerang menang secara instan dan berulang. Jaringan dengan mitigasi serius dan budaya tidak menghukum korban secara tidak proporsional ditemukan di sudut pasar offshore/toleran-DDoS — Rumania terkenal untuk hal ini. Kebijakan kami adalah yang masuk akal: diserang bukan pelanggaran, mitigasi berlaku secara otomatis, dan tidak ada yang di-null-route karena menjadi korban. (Meluncurkan serangan, tentu saja, berada di sisi lain AUP.)