Что такое защита от DDoS?

• Объёмные (флуды L3/L4). Чистое насыщение полосы пропускания: UDP-флуды, усиление через DNS/NTP, классика ботнетов типа Mirai. Измеряются в гигабитах — современные атаки регулярно превышают 100 Гбит/с, что далеко за пределами возможностей аплинка любого одиночного сервера. На это отвечает только мощность очистки выше по сети.
• Протокольные атаки. Исчерпание состояния соединений вместо пропускной способности: SYN-флуды, трюки с фрагментированными пакетами, исчерпание таблицы соединений. Меньше по объёму, смертоноснее на пакет; фильтруются с помощью stateful-инспекции на границе сети.
• Прикладной уровень (L7). Флуды легитимно выглядящих HTTP-запросов, направленных на дорогостоящие эндпоинты — страницы поиска, формы входа, API-вызовы. Сложнее всего фильтровать универсально, поскольку каждый запрос напоминает настоящего пользователя; смягчаются ограничением скорости, проверками и кешированием на прикладной границе.

Настоящий стек защиты охватывает все три уровня; «защита от DDoS», означающая только ACL на роутере, не охватывает ни одного.

Конвейер: обнаружение → перенаправление → очистка → обратная инъекция. Телеметрия потоков (NetFlow/sFlow) отслеживает каждый IP клиента на аномалии — базовый уровень трафика внезапно умножается, смесь протоколов соответствует известной сигнатуре атаки. В течение секунд целевой префикс перенаправляется в мощность очистки: фильтрующее оборудование, отбрасывающее поддельные источники, ограничивающее скорость потоков, проверяющее поведение протокола и пропускающее то, что осталось. Чистый трафик повторно поступает в сеть к вашему серверу, который по большей части ничего не замечает. Два показателя, которые важны: время до митигации (секунды против минут определяют, заметят ли игроки/пользователи что-либо) и запас мощности очистки (скруббер 10 Гбит/с перед флудом 400 Гбит/с — это декорация). «Always-on» означает, что трафик анализируется постоянно в потоке, а не перенаправляется только после ущерба; для подверженных атакам задач это различие и есть весь продукт.

Включённая защита (включая нашу) охватывает сетевые уровни: поглощение объёмных атак и протокольная фильтрация до нескольких сотен гигабит, always-on, без доплаты, в каждой локации. Чего никакой сетевой фильтр не может полностью покрыть — эффективность вашего собственного приложения: если один дешёвый HTTP-запрос заставляет ваше приложение выполнять пятисекундный запрос к базе данных, атакующему достаточно нескольких сотен запросов в секунду — неотличимых от пользовательских, — чтобы причинить вред. Устойчивость L7 — это совместная работа: хост фильтрует флуды; вы агрессивно кешируете, ограничиваете скорость на дорогих эндпоинтах и (если хотите страницы с проверками) выставляете CDN спереди. Честные хосты это говорят; остерегайтесь тех, кто обещает «невзламываемость».

В мейнстримном хостинге есть неприглядная практика: получил атаку — получил блокировку. Реальная политика DDoS многих бюджетных провайдеров — null-route жертвы: ваш IP уходит в темноту до окончания атаки, то есть атакующий мгновенно и повторно побеждает. Сети с серьёзной митигацией и культурой, не наказывающей жертв, непропорционально сконцентрированы в офшорно-DDoS-устойчивом сегменте рынка — Румыния знаменита именно этим. Наша политика — здравая: быть атакованным не является нарушением, митигация включается автоматически, и никто не блокируется за то, что является жертвой. (Запуск атак, разумеется, находится на другой стороне политики AUP.)