База знаний

Инструкции и ответы на вопросы о хостинге, работе сайтов и приложений

Защита от DDoS-атак

DDoS-атака (Distributed Denial of Service) — распределенная атака на сайт. Жертвами чаще всего становятся коммерческие и информационные проекты. Хакеры атакуют их с целью вымогательства или устранения конкурентов.

Атака называется распределенной, потому что ведется с большого количества компьютеров — ботнета. Его образуют и мощные серверы, и обычные домашние ПК, зараженные вирусом. Регулярно проверяйте ваше устройство антивирусом с последними вирусными базами, чтобы не стать невольным участником DDoS.

Типы DDoS-атак

Цель DDoS-атаки — вывести ресурс из строя, перегрузив сервер, где он расположен. Для этого хакеры используют свойства основных протоколов передачи данных.

UDP-флуд — простейшая атака с использованием UDP протокола. Такой протокол передает данные сразу, не устанавливая защищенное соединение между серверами. С помощью UDP хакеры отправляют большое количество поддельных пакетов, которые заполняют весь доступный объем канала. 

SYN-флуд предупредить сложнее. Атака основана на особенностях работы TCP протокола, который перед обменом данными устанавливает соединение между серверами «тройным рукопожатием». Сервер не получает ответ на приветствие, и соединение остается открытым некоторое время. В этот момент поступает большое количество подобных запросов, очередь полуоткрытых соединений быстро заполняется, и сервер выходит из строя.

HTTP-флуд — самый распространенный вид атаки. С разных IP-адресов запрашиваются ресурсоемкие страницы сайта, что приводит к перегрузке веб-сервера и его недоступности.

Хостинг-провайдеры имеют собственную систему защиты от DDoS, чтобы обезопасить большинство клиентов. Мы постоянно совершенствуем сетевую инфраструктуру и систему фильтрации, поэтому большинство атак наши клиенты даже не замечают. Но если быстро отразить DDoS не получается, мы блокируем атакуемый сайт, чтобы сохранить доступность остальных ресурсов на сервере.

Как хостинг защищается от DDoS?

Мы защищаем от атак площадку в целом, добиваясь того, чтобы атака на один сайт не повлияла на доступность всех остальных сайтов на хостинге.

К разным атакам применяем разные меры. От UDP-флуда мы защищаемся непринужденно — блокируя весь лишний UDP-трафик. Маленькие атаки других видов, цель которых неизвестна, мы легко можем отразить. Если сервер попал под крупную атаку, мы вычисляем цель — и блокируем её. В зависимости от типа атаки мы можем заблокировать сайт, аккаунт целиком, поменять адресные записи домена. Данные остаются в сохранности, и сайт может продолжить работу, когда окажется под защитой.

Как защитить сайт от DDoS?

DDoS-атаку проще и выгоднее предупредить, чем отразить. Если подключить защиту заранее, атака останется незамеченной и не прервет работу вашего сайта ни на секунду.

Включить защиту можно в разделе «Сайты» → «Защита от DDoS». Удалить услугу можно на следующий день после подключения.
Её есть несколько видов — для разных типов и масштабов атак. 

HTTP-флуд

Атаке этого типа часто подвергаются небольшие сайты, и защита от нее доступна на тарифах основной линейки, а также на специализированных серверах для сайтов на 1С-Битрикс.

Когда вы включаете такую защиту, внутренние системы сервера мобилизуются, готовые к защите любого из ваших сайтов. Когда начинается атака, подозрительные запросы от ботов блокируются, а запросы обычных посетителей и поисковых роботов спокойно проходят к сайту. Пока на сайт атаки нет — защита не работает, все запросы обрабатываются как обычно.

Защищенный сервер

Чтобы полноценно защитить проект от всех видов атак, подумайте о переносе аккаунта на защищенный сервер. Все запросы к этому серверу проходят активную фильтрацию трафика сервисом DDoS-Guard.

Услуга доступна основной линейке виртуального хостинга и специальным тарифам для 1С-Битрикс. Сервер сконфигурирован аналогично вашему — только IP-адрес у его будет другой, защищенный.

При переходе на защищенный сервер от аккаунта будут отключены все дополнительные адреса, включая IPv6, останется только защищенный IPv4-адрес. Домены на наших NS-серверах мы настроим сами, для доменов на сторонних NS-серверах вам нужно будет поменять A-записи и удалить наши AAAA-записи.

Подключить услугу можно в разделе «Сайты» → «Защита от DDoS». Панель управления предложит выбрать время и перенесет аккаунт.

Индивидуальная защита

Ваши сайты уже выросли из виртуального хостинга и размещаются на премиум-сервере? Или вы арендуете целый сервер для своего проекта?

Стоит задуматься о соответствующем уровне защиты. В неё входит отдельный IP-адрес со всеми уровнями фильтрации.

Подключить услугу можно в разделе «Сайты» → «Защита от DDoS». Выберите ширину сетевого канала к IP-адресу, исходя из потребностей вашего сайта: если вы размещаете на сайте видео или вашим пользователям нужно загружать или скачивать большие файлы — возьмите канал пошире.

Подключение занимает несколько секунд. За это время Панель управления выделит аккаунту персональный IP-адрес и настроит домены на наших NS-серверах. Доменами на сторонних NS-серверах нужно будет заняться вам — удалите все AAAA-записи, поменяйте значения всех A-записей на ваш защищённый IP. Единственная запись, которую нужно оставить как есть, ничего не меняя, это SPF — TXT-запись, начинающаяся с "v=spf1".

Когда домены будут настроены — защита заработает, отражая от сайтов все виды атак.

Была ли эта статья полезной?