Как протокол BGP связан с защитой от DDoS-атак  

Протокол динамической маршрутизации BGP (Border Gateway Protocol) — «дорожная карта» для данных в Сети. Он помогает проложить лучший маршрут, чтобы информация быстро и надёжно добиралась до пункта назначения. Звучит просто, но на деле всё сложнее.

Как работает BGP? И какую роль он играет в защите компаний от DDoS-атак? Поговорим об этом далее.  

Немного истории и фактов

Один из самых востребованных протоколов маршрутизации интернет-данных появился в далёком 1989 году. Его основателями принято считать двух программистов, которые на тот момент трудились в IBM и Cisco. Что именно они придумали? 

Представьте, что интернет — это гигантский мегаполис с множеством дорог. Протокол BGP в нём — диспетчер, который управляет движением всего транспорта. Он знает все маршруты и определяет, какой из них оптимален в данный момент. 

В этом мегаполисе есть «районы» — системы взаимосвязанных IP-сетей. Их называют автономными системами (AS), и они управляются специализированными операторами в соответствии с едиными правилами интернета. 

Протокол BGP связывает автономные системы своими «магистралями», запрашивая и анализируя информацию о ситуации в каждом «районе». Например, если маршрут в конкретной IP-сети перегружен, протокол выбирает альтернативный, чтобы избежать «пробки» и доставить ваши данные как можно быстрее. 

В разделе «Термины» можно прочитать подробнее о том, как работает протокол BGP.

Как BGP используется в защите от DDoS-атак

Как известно, DDoS-атаки (Distributed Denial of Service) направлены на то, чтобы перегрузить ресурсы жертвы огромным количеством запросов и вывести их из строя. Таким образом злоумышленники могут обрушить бизнес, лишить клиентов и сотрудников доступа к важным сервисам, нанести репутационный и финансовый ущерб бренду. 

BGP в этом случае — один из самых популярных способов решить проблему. Используя данный протокол, можно перенаправить вредоносный трафик в другое «место». Например, в «чёрную дыру» (blackhole) — проще говоря, в никуда или в пустоту. 

Однако такой подход уже давно считается сомнительным и даже опасным. Метод blackhole routing (отправка в чёрную дыру) напоминает историю с антибиотиком. С одной стороны, жертва выздоравливает. С другой — вместе с вредоносными микроорганизмами она теряет полезные бактерии. К тому же, восстановление может проходить долго и мучительно для всех систем.  

Правильнее и логичнее перенаправлять трафик на провайдера защиты от DDoS-атак. Используя тот же протокол BGP, он сможет настроить очистку данных от флуда до того, как они поступят на сервер жертвы. 

Обработка входящего трафика проходит в специализированных центрах фильтрации, которые принадлежат провайдеру и могут находиться в разных точках мира. Чем их больше и чем ближе они находятся к источнику DDoS-атаки, тем быстрее будет очищаться трафик. 

BGP в реальном бою. Пример из нашей практики 

В 2020 году оператор мобильной связи Africell подвергся серии DDoS-атак. На тот момент компания предоставляла услуги 12 млн пользователей. Постоянное увеличение легитимного и вредоносного трафика ставило под угрозу качество обслуживания клиентов и безопасность сети. Оценив масштабы угрозы, Africell обратилась за помощью к специалистам StormWall. 

Мы предложили клиенту комплексное решение для защиты сети от DDoS-атак средствами BGP, которое включает автоматическое обнаружение и блокировку вредоносного трафика без влияния на работу оператора. В итоге Africell смогла противостоять DDoS-атакам и обеспечить безотказность сети даже в условиях максимально высокой нагрузки. Репутация клиента была спасена. 

Наш пример наглядно демонстрирует, как протокол BGP может стать ключевым инструментом в обеспечении безопасности компании. И даже больше — правильное применение этого метода защиты гарантирует успешное развитие бизнеса в будущем.