Защита сети от массированных DDoS-атак средствами BGP

DDoS-атака всего лишь на один из IP-адресов сети может привести к тому, что значительная часть Вашей инфраструктуры окажется недоступной для пользователей. Нивелировать этот риск поможет сервис защиты StormWall — он позволит обезопасить Ваш бизнес от неприятных сюрпризов и обеспечить стабильную работу Вашей сети и инфраструктуры при DDoS-атаках любой сложности. Ваши инфраструктура и приложения будут работать стабильно и надежно, как бы ни изощрялись инициаторы DDoS-атак!

Тарифы

Business
Enterprise
Арендованные IP-адреса, включено в стоимость11
Дополнительный арендованный IP00
Поддержка BGP, возможность анонса своих адресов (без ограничений)
Защита от атак на уровне L3-L5
Защита от атак на уровне L7 (HTTP/HTTPS)Возможна (свяжитесь с нами)Возможна (свяжитесь с нами)
Легитимная пропускная способность, включенная в подписку (возможно превышение) ?50 Mbps50 Mbps
Максимальное время реакции на запрос30 мин15 мин
Экспертная поддержка AntiDDoS
Гарантируемая доступность по SLA, не менее ?99,2%99,5%
ПредназначениеЭффективное решение для бизнес-приложенийРешение для бизнес-критичных приложений
Полное описание услуги
Подробнее
Максимальная полоса грубой очисткиБолее 2 Тбит/сБолее 2 Тбит/с
Максимальная полоса тонкой пакетной фильтрацииБолее 600 Гбит/сБолее 600 Гбит/с
Объем передаваемого трафикабез ограниченийбез ограничений
Режим работы тех. поддержкиКруглосуточноКруглосуточно
Время на подключение ?15 мин15 мин
Полное описание услуги
Меньше подробностей
Цена/мес400По запросу
ЗаказатьСвяжитесь с нами

Для кого предназначен сервис

Сервис «Защита сети от DDoS-атак с подключением по BGP» предназначен для интернет-провайдеров, дата-центров, хостинг-компаний, а также корпоративных клиентов с собственной автономной системой — услуга поможет обеспечить стабильную работу ИТ-инфраструктуры и сети, защитив их от DDoS-атак.

Интернет-провайдерам (ISP) эта услуга может быть также полезна как дополнительный сервис для их клиентов, предоставляемый за отдельную плату или в качестве привлекательного бонуса: ISP могут перепродавать этот сервис своим клиентам или использовать его для создания новых собственных сервисов.

Почему Вашей сети нужна защита от массированных DDoS-атак

Интенсивность и частота DDoS-атак год от года растут, причем невероятными темпами. Впечатляющая эффективность при минимальных издержках делают DDoS популярным средством ведения нечистоплотной конкурентной борьбы. Ущерб, вызванный DDoS-атаками, может составлять тысячи долларов, а если сайт используется для электронной коммерции или предоставления онлайн-сервисов, то величина урона может вырасти на порядки. Кроме того, даже не слишком мощная атака способна привести к потере сотен и тысяч клиентов.

Что получит Ваша компания

  • Надежную защиту от всех известных DDoS-атак на уровнях L3–L5 OSI в режиме 24x7x365
  • Анализ и фильтрацию всего трафика
  • Защиту DNS
  • Анализ состояния трафика в реальном времени
  • Рассылку оповещений о подозрительных активностях
  • Личный кабинет и API

Преимущества сервиса StormWall перед другими решениями

  • Решение без ограничений: Вы платите только за легитимный трафик и НЕ платите за количество атак, защищаемых IP-адресов, номеров AS и т. д.
  • Экспертная поддержка 24 x7 в Slack, время реакции 5–7 мин. Решаем как Ваши проблемы, так и проблемы Ваших клиентов.
  • Гибкая ценовая политика: пакет услуг от 50 Мбит/с (для небольших сетей), причем в любой момент полосу пропускания можно расширить.
  • Бесплатный DDoS-сенсор. Настройка и предоставление автоматизированного процесса защиты только в момент атаки.
  • Защита DNS-серверов: в отличие от других решений, наше позволяет эффективно защитить Ваши DNS-серверы.
  • Полноценная работа IP в условиях атаки: при атаке у клиента продолжат быстро открываться сайты, работать мессенджеры, онлайн-игры, звонки в WhatsApp, Viber, FaceTime и т. д.
  • Помощь в настройке: свяжитесь с нашими специалистами — они бесплатно подключатся к Вашему оборудованию удаленно и настроят подключение для Вас.
  • Тестовый период и бесплатный вебинар: ответим на все Ваши вопросы, покажем и расскажем, как работает и подключается защита.
  • Подробные отчеты о каждой атаке с графиками, статистикой, источниками, примерами атакующего трафика.

Как подключается сервис StormWall для защиты от DDoS-атак средствами BGP

Подключение защиты возможно с помощью IPIP/GRE-туннеля, через IX или путем физического подключения к сети StormWall на одной из наших площадок.

Порядок подключения следующий:

  1. Мы устанавливаем с Вами подключение.
  2. Поднимаем BGP-сессию, в которой Вы анонсируете нужные IP-префиксы.
  3. Принимаем Ваши анонсы, фильтруем весь трафик и направляем к Вам трафик, очищенный от атаки.
Как работает защита сети (BGP) StormWall

Варианты защиты от DDoS-атак с подключением по BGP

Вы можете воспользоваться услугой «Защита сети от DDoS-атак с подключением по BGP», применяя один из трех вариантов работы:

  1. Включить постоянную защиту (Always-ON) и пропускать весь входящий трафик через фильтры StormWall. В этом случае все Ваши сети окажутся под моментальной защитой (DDoS-атака никогда не застанет Вас врасплох), но при этом гибкость управления входящим трафиком будет ограничена.
  2. Подключить защиту, но анонсировать не все Ваши сети сразу, а лишь те из них, которые, по Вашему мнению, требуют защиты в определенный момент времени. Например, если Вы ожидаете начала атаки или атака уже началась, то вручную направляете анонс сети в StormWall (и убираете его с других провайдеров).
  3. Автоматизировать анонсирование защищаемых сетей при начале атаки, подключив бесплатный сенсор Anti-DDoS. Этот сенсор, устанавливаемый на стороне клиента, сразу после выявления начала атаки автоматически переключает атакуемую сеть в режим защиты и убирает эту сеть с незащищенных провайдеров, а после завершения атаки возвращает ее обратно.
    Сенсор развертывается на виртуальной машине, он может получать информацию о трафике с помощью NetFlow, sFlow или Mirror/SPAN и интегрируется с Вашим граничным маршрутизатором или группой маршрутизаторов с помощью BGP, отправляя сигналы о постановке на защиту с использованием BGP Community.

Что происходит во время атаки

[Если есть сенсор Anti-DDoS на стороне клиента]

  1. Сенсор определяет начало атаки на один или несколько IP-адресов.
  2. Затем сенсор запускает анонс атакуемой сети через StormWall.
  3. После этого сенсор снимает атакуемую сеть с незащищенных провайдеров

[Независимо от наличия сенсора на стороне клиента]

  1. Сенсор на стороне StormWall (система FlowSense) определяет, на какие IP-адреса идет атака, и перенаправляет трафик, идущий на эти адреса, на фильтрацию.
  2. Атака отсекается фильтрами StormWall.
  3. По завершении атаки трафик перестает направляться через фильтры и идет напрямую.

[Если есть сенсор на стороне клиента]

  1. Анонс сети возвращается на его провайдеров и снимается со StormWall.

Увеличится ли задержка

  • Через фильтры StormWall пропускается только входящий трафик, тогда как исходящий идет прежним путем. Задержка при этом может увеличиться, поскольку трафик будет идти через точки фильтрации, которые находятся в дата-центрах с множеством подключений к популярным сетям CDN.

Впрочем, для некоторых ресурсов задержка может даже уменьшиться, поскольку StormWall имеет прямые подключения к таким популярным ресурсам, как Google, Facebook, Microsoft, Akamai и др.

Как мы обеспечиваем высокое качество сервиса

Triple Filter: тройная очистка трафика

Весь трафик, идущий к серверу, очищается в 3 местах:

Пограничные маршрутизаторы. Более 100 пограничных маршрутизаторов, разбросанных по всему миру, настроены так, чтобы отсекать тот трафик, который точно не должен к Вам попадать. Именно этот уровень фильтрации позволяет нашим клиентам не бояться атак в несколько сотен гигабит в секунду, так как здесь блокируется вся TCP/UDP-амплификация.

Аппаратные фильтры. На этом уровне блокируется основная часть TCP/UDP-флуда. Благодаря использованию аппаратных фильтров удается добиться огромной скорости обработки пакетов. Сеть фильтрации построена таким образом, чтобы равномерно распределять нагрузку на несколько аппаратных фильтров.

Фильтры точной очистки. Это уровень тонкой фильтрации, на котором блокируются самые изощренные атаки, в том числе атаки с использованием ботов.

Triple Filter: тройная очистка трафика

Система FlowSense

Система защиты FlowSense

Система FlowSense постоянно просматривает все потоки данных, идущие к серверу, отслеживает аномалии и автоматически определяет тип идущей атаки. По результатам происходит динамическая подстройка параметров защиты с использованием BGP FlowSpec (RFC 5575) и API нашей системы.

Global Session

Наша инфраструктура построена так, что даже глобальный катаклизм, влекущий за собой выход из строя одной географической точки фильтрации, не приведет к разрыву соединения. Как это достигается? Благодаря использованию технологии Global Session фильтрующие узлы по всему миру «знают» о том, что клиент подключился к Вашему серверу, и в случае недоступности одного из узлов трафик автоматически направляется на другой ближайший к клиенту узел.

Технология защиты от DDoS трафика Global Session

Характеристики сети StormWall

Точки присутствия:

Точки обмена трафиком, доступные для подключения (IX):

- Более 2 Тбит/с полосы пропускания без проверки соединения (stateless): обработка IP-пакетов на уровне ACL/FlowSpec с блокировкой TCP/UDP-амплификации.

- Более 600 Гбит/с полосы пропускания с проверкой соединения (stateful): каждое входящее TCP-соединение обрабатывается и анализируется.

Как заказать сервис StormWall для защиты сети

Напишите онлайн-консультанту или позвоните нам! Наши эксперты доступны онлайн круглосуточно, они помогут Вам активировать защиту.

Способы оплаты

  • Карта (Visa/Mastercard/etc.)
  • PayPal
  • WebMoney
  • Яндекс.Деньги
  • Киви
  • Безналичный расчет
Сомневаетесь, остались вопросы?