Главная страница / Ресурсы / Технологии

Технологии защиты от DDoS атак StormWall

О DDoS-атаках можно услышать не часто, ведь известность получают только инциденты, связанные с крупными сайтами. Может показаться, что подобные атаки в наше время - редкость. Но это совсем не так. По данным прошедшего года, каждая шестая компания подвергалась DDoS-атакам.
Компания StormWall имеет собственную систему защиты. В первую очередь, атака моментально обнаруживается с помощью специализированного DDoS-сенсора. В случае атаки происходит перенаправление трафика, и в информационную систему он попадает уже очищенным. После отражения атаки система продолжает работать в обычном режиме. Клиент получает автоматические уведомления о начале и конце атаки. Предусмотрена дополнительная проверка от ложных срабатываний.

Triple Filter: тройная очистка трафика

Весь трафик, идущий к серверу, очищается в 3 местах:
Пограничные маршрутизаторы
Более 100 пограничных маршрутизаторов, разбросанных по всему миру, настроены так, чтобы отсекать тот трафик, который не должен к Вам попадать по определению. Именно этот уровень фильтрации позволяет нашим клиентам не бояться атак в несколько сотен гигабит в секунду, т.к. здесь блокируется вся TCP- и UDP-амплификация.
Аппаратные фильтры
На этом уровне блокируется основная часть TCP/UDP флуда. Благодаря использованию аппаратных фильтров удается добиться огромной скорости обработки пакетов. Сеть фильтрации, в свою очередь, построена таким образом, чтобы равномерно распределять нагрузку на несколько аппаратных фильтров.
Stateful-фильтры
Это уровень тонкой фильтрации, на котором блокируются самые изощренные атаки, в том числе атаки ботами. Если речь идет о защите сайта, дальше идет уровень HTTP-фильтрации с системой очистки BanHammer.

Система FlowSense

Система FlowSense
Система FlowSense постоянно просматривает все потоки данных, идущие к серверу, отслеживает аномалии и автоматически определяет тип атаки, которая идет.
По результатам происходит динамическая подстройка параметров защиты с использованием BGP FlowSpec (RFC 5575) и API нашей систем.

BanHammer: фильтр HTTP-флуда

BanHammer - это система фильтрации HTTP-флуда, отточенная на десятках тысяч реальных атак на сайты наших клиентов. Несмотря на название (так уж исторически повелось), никаких "банов" нет - мы отказались от них в пользу интеллектуальных методов фильтрации, основанных на поведенческом и сигнатурном анализе.
Это позволило снизить процент ложных срабатываний до минимальных величин, в то же время максимизировать процент отфильтрованных запросов.

Технология Global Session

Наша инфраструктура построена так, что даже глобальный катаклизм, ведущий за собой выход из строя одной географической точки фильтрации, не приведет к разрыву соединения. Как это достигается?
Благодаря использованию технологии Global Session фильтрующие узлы по всему миру "знают" о том, что клиент подключился к Вашему серверу и в случае недоступности одного из узлов трафик автоматически направляется на другой, ближайший к клиенту, узел.

Технология ZeroNAT Tunnels

Технология NAT была придумана в 1990-х годах, чтобы сократить использование публичных IP-адресов в сети Интернет. В настоящее время она используется для разных целей, в том числе для организации тоннелей во многих сервисах Anti-DDoS. У нас же нет никакого NAT-а в туннелях (и вообще, где бы то ни было в сети).
Когда Вы подключаете защиту туннелированием, то получаете реальный IP прямо на своем сервере. Это повышает производительность (NAT потребляет огромное число ресурсов), снижает время отклика и позволяет избежать проблем, связанных с NAT. Кроме того, нет лимита по числу портов!

SpeedRoute: трафик без задержек

Трафик от клиентов до Вашего сервера через сеть Интернет почти всегда идет по наиболее дешевым каналам, которые не всегда обеспечивают требуемый уровень скорости и задержки. Когда Вы подключаете защиту StormWall, трафик от ближайшей к клиенту точки фильтрации до сервера направляется по нашим собственным арендованным каналам связи между дата-центрами, которые обеспечивают минимальный пинг, минимальное колебание задержки и не имеют никакого шейпинга.
Например, если Ваш сервер в Европе, а клиенты - в России, в среднем пинг для них уменьшится на 3-8мс. Мы не экономим на Вашем трафике!

HyperCache: высокая скорость загрузки

С нашей защитой сайт будет работать еще быстрее, ведь крупные файлы автоматически кэшируются в оперативной памяти наших кэширующих серверов и доставляются Вашим клиентам мгновенно! Оперативная память работает в десятки раз быстрее SSD-дисков, поэтому таким образом можно ускорить практически любой сайт.
Также в результате работы HyperCache снимается значительная часть нагрузки с Вашего сервера, позволяя ему заниматься только "полезной работой", а самому сайту - быстрее реагировать на запросы HyperCache абсолютно прозрачен для посетителей сайта, не кэширует ничего "лишнего" и поддается тонкой настройке под Ваши потребности. Даже если сервер находится на другом конце планеты, пользователи из России будут загружать картинки с российского сервера на высокой скорости!
Под атакой?
Технологии защиты от DDoS атак StormWall
О DDoS-атаках можно услышать не часто, ведь известность получают только инциденты, связанные с крупными сайтами. Может показаться, что подобные атаки в наше время - редкость. Но это совсем не так. По данным прошедшего года, каждая шестая компания подвергалась DDoS-атакам.
Компания StormWall имеет собственную систему защиты. В первую очередь, атака моментально обнаруживается с помощью специализированного DDoS-сенсора. В случае атаки происходит перенаправление трафика, и в информационную систему он попадает уже очищенным. После отражения атаки система продолжает работать в обычном режиме. Клиент получает автоматические уведомления о начале и конце атаки. Предусмотрена дополнительная проверка от ложных срабатываний.
Triple Filter: тройная очистка трафика
Весь трафик, идущий к серверу, очищается в 3 местах:
Пограничные маршрутизаторы
Более 100 пограничных маршрутизаторов, разбросанных по всему миру, настроены так, чтобы отсекать тот трафик, который не должен к Вам попадать по определению. Именно этот уровень фильтрации позволяет нашим клиентам не бояться атак в несколько сотен гигабит в секунду, т.к. здесь блокируется вся TCP- и UDP-амплификация.
Аппаратные фильтры
На этом уровне блокируется основная часть TCP/UDP флуда. Благодаря использованию аппаратных фильтров удается добиться огромной скорости обработки пакетов. Сеть фильтрации, в свою очередь, построена таким образом, чтобы равномерно распределять нагрузку на несколько аппаратных фильтров.
Stateful-фильтры
Это уровень тонкой фильтрации, на котором блокируются самые изощренные атаки, в том числе атаки ботами. Если речь идет о защите сайта, дальше идет уровень HTTP-фильтрации с системой очистки BanHammer.
Система FlowSense
Система FlowSense постоянно просматривает все потоки данных, идущие к серверу, отслеживает аномалии и автоматически определяет тип атаки, которая идет.
По результатам происходит динамическая подстройка параметров защиты с использованием BGP FlowSpec (RFC 5575) и API нашей систем.
BanHammer: фильтр HTTP-флуда
BanHammer - это система фильтрации HTTP-флуда, отточенная на десятках тысяч реальных атак на сайты наших клиентов. Несмотря на название (так уж исторически повелось), никаких "банов" нет - мы отказались от них в пользу интеллектуальных методов фильтрации, основанных на поведенческом и сигнатурном анализе.
Это позволило снизить процент ложных срабатываний до минимальных величин, в то же время максимизировать процент отфильтрованных запросов.
Технология Global Session
Наша инфраструктура построена так, что даже глобальный катаклизм, ведущий за собой выход из строя одной географической точки фильтрации, не приведет к разрыву соединения. Как это достигается?
Благодаря использованию технологии Global Session фильтрующие узлы по всему миру "знают" о том, что клиент подключился к Вашему серверу и в случае недоступности одного из узлов трафик автоматически направляется на другой, ближайший к клиенту, узел.
Технология ZeroNAT Tunnels
Технология NAT была придумана в 1990-х годах, чтобы сократить использование публичных IP-адресов в сети Интернет. В настоящее время она используется для разных целей, в том числе для организации тоннелей во многих сервисах Anti-DDoS. У нас же нет никакого NAT-а в туннелях (и вообще, где бы то ни было в сети).
Когда Вы подключаете защиту туннелированием, то получаете реальный IP прямо на своем сервере. Это повышает производительность (NAT потребляет огромное число ресурсов), снижает время отклика и позволяет избежать проблем, связанных с NAT. Кроме того, нет лимита по числу портов!
SpeedRoute: трафик без задержек
Трафик от клиентов до Вашего сервера через сеть Интернет почти всегда идет по наиболее дешевым каналам, которые не всегда обеспечивают требуемый уровень скорости и задержки. Когда Вы подключаете защиту StormWall, трафик от ближайшей к клиенту точки фильтрации до сервера направляется по нашим собственным арендованным каналам связи между дата-центрами, которые обеспечивают минимальный пинг, минимальное колебание задержки и не имеют никакого шейпинга.
Например, если Ваш сервер в Европе, а клиенты - в России, в среднем пинг для них уменьшится на 3-8мс. Мы не экономим на Вашем трафике!
HyperCache: высокая скорость загрузки
С нашей защитой сайт будет работать еще быстрее, ведь крупные файлы автоматически кэшируются в оперативной памяти наших кэширующих серверов и доставляются Вашим клиентам мгновенно! Оперативная память работает в десятки раз быстрее SSD-дисков, поэтому таким образом можно ускорить практически любой сайт.
Также в результате работы HyperCache снимается значительная часть нагрузки с Вашего сервера, позволяя ему заниматься только "полезной работой", а самому сайту - быстрее реагировать на запросы HyperCache абсолютно прозрачен для посетителей сайта, не кэширует ничего "лишнего" и поддается тонкой настройке под Ваши потребности. Даже если сервер находится на другом конце планеты, пользователи из России будут загружать картинки с российского сервера на высокой скорости!