DDoS protection là gì?

• Volumetric (lũ lụt L3/L4). Bão hòa băng thông thô: lũ lụt UDP, khuếch đại DNS/NTP, các mẫu botnet kiểu Mirai cổ điển. Đo bằng gigabit — các cuộc tấn công hiện đại thường vượt quá 100 Gbps, vượt xa uplink của bất kỳ máy chủ đơn lẻ nào. Chỉ có năng lực scrubbing upstream mới giải quyết được điều này.
• Tấn công giao thức. Làm kiệt sức trạng thái kết nối thay vì băng thông: lũ lụt SYN, các thủ thuật gói bị phân mảnh, kiệt sức bảng kết nối. Nhỏ hơn về khối lượng, chết chóc hơn trên mỗi gói; được lọc bởi kiểm tra có trạng thái tại cạnh.
• Lớp ứng dụng (L7). Lũ lụt các yêu cầu HTTP trông hợp pháp nhắm vào các endpoint tốn kém — trang tìm kiếm, biểu mẫu đăng nhập, API calls. Khó lọc chung nhất vì mỗi yêu cầu giống người dùng thực; được giảm thiểu bằng cách giới hạn tốc độ, thách thức và caching tại cạnh ứng dụng.

Stack bảo vệ thực sự giải quyết cả ba; “DDoS protected” chỉ có nghĩa là ACL router không giải quyết cái nào trong số chúng.

Đường ống là phát hiện → chuyển hướng → scrubbing → tiêm lại. Telemetry luồng (NetFlow/sFlow) theo dõi mỗi IP khách hàng để phát hiện bất thường — đường cơ sở lưu lượng đột ngột tăng lên, hỗn hợp giao thức khớp với chữ ký tấn công đã biết. Trong vài giây, tiền tố mục tiêu được chuyển hướng vào năng lực scrubbing: phần cứng lọc loại bỏ các nguồn giả mạo, giới hạn tốc độ luồng, xác nhận hành vi giao thức và chuyển tiếp những gì còn lại. Lưu lượng sạch đi vào lại mạng về phía máy chủ của bạn, máy chủ hầu như không nhận thấy gì. Hai con số quan trọng là thời gian giảm thiểu (giây vs phút quyết định liệu người chơi/người dùng có nhận thấy không) và khoảng trống scrubbing (bộ scrubber 10 Gbps đối mặt với lũ lụt 400 Gbps chỉ là trang trí). “Always-on” có nghĩa là lưu lượng được phân tích liên tục inline thay vì chỉ chuyển hướng sau thiệt hại; đối với các khối lượng công việc dễ bị tấn công, sự khác biệt đó chính là sản phẩm.

Bảo vệ được bao gồm (kể cả của chúng tôi) bao gồm các lớp mạng: hấp thụ volumetric và lọc giao thức ở quy mô hàng trăm gigabit, always-on, không tính phí thêm, ở mọi vị trí. Điều mà không bộ lọc cấp mạng nào có thể bao gồm đầy đủ là hiệu quả của chính ứng dụng của bạn: nếu một yêu cầu HTTP rẻ khiến ứng dụng của bạn chạy truy vấn cơ sở dữ liệu năm giây, kẻ tấn công chỉ cần vài trăm yêu cầu mỗi giây — không thể phân biệt với người dùng — để làm hại bạn. Khả năng phục hồi L7 là công việc chia sẻ: nhà cung cấp lọc lũ lụt; bạn cache mạnh mẽ, giới hạn tốc độ các endpoint tốn kém, và (nếu bạn muốn trang thách thức) đặt CDN phía trước. Các nhà cung cấp trung thực nói điều này; hãy cảnh giác với bất kỳ ai hứa “không thể bị hack”.

Có một mẫu xấu xí trong hosting lớn: bị tấn công, bị đình chỉ. Chính sách DDoS thực sự của nhiều nhà cung cấp ngân sách là null-route nạn nhân — IP của bạn tắt cho đến khi cuộc tấn công dừng lại, có nghĩa là kẻ tấn công thắng ngay lập tức và có thể lặp lại. Các mạng có khả năng giảm thiểu nghiêm túc và văn hóa không trừng phạt nạn nhân được tìm thấy không tương xứng trong góc offshore/chịu DDoS của thị trường — Romania nổi tiếng chính xác vì điều này. Chính sách của chúng tôi là hợp lý: bị tấn công không phải là vi phạm, giảm thiểu tự động kích hoạt, và không ai bị null-route vì là nạn nhân. (Tất nhiên, việc khởi động các cuộc tấn công nằm ở phía bên kia của AUP.)