Защита от DDoS-атак
Геораспределенная система фильтрации
Платная защита для услуг в России
Услуга предоставляется на базе геораспределенной системы фильтрации трафика DDoS-GUARD.Гарантируется защита от атак нижеперечисленных классов (но не ограничиваясь перечисленными):
- IP malformed- ICMP flood
- TCP SYN flood
- TCP malformed
- ICMP smurf
- SlowLoris
- NTP amplification
- DNS amplification
Емкость 500 Гбит/с.
Бесплатная защита для услуг в Франции и Канаде
Услуга предоставляется на базе геораспределенной системы фильтрации трафика OVH.Гарантируется защита от атак нижеперечисленных классов (но не ограничиваясь перечисленными):
- IP Fragment- IP NULL
- IP Private
- TCP NULL
- TCP RST
- TCP SYN
- TCP ACK
- CMP
- UDP
- DNS
Емкость 480 Гбит/с.
Предотвращение атаки с помощью VAC
Для защиты наших серверов и сервисов от атак, компания БитВеб предлагает решение на основе технологии VAC – эксклюзивное сочетание методов для: • Высокоскоростного анализа всех пакетов в режиме реального времени• Отсеивания входящего трафика вашего сервера
• Смягчения негативных последствий, то есть выделения всех нелегитимных IP-пакетов и пропускания легитимных
Предотвращение начинается в течение нескольких секунд. Входящий трафик сервера очищается при помощи нашего решения VAC. Аппаратное обеспечение VAC имеет общую пропускную способность 4 ТБит/с. Затем атака блокируется без каких-либо ограничений по объему или продолжительности, независимо от того, какую технику она использует. Легитимный трафик не блокируется и достигает сервера. Этот процесс также называется автоматическим предотвращением и полностью управляется OVH.
Очистка — одна из главных особенностей, делающая OVH выдающимся решением по предотвращению DDoS-атак. Для разнесения каналов DDoS-атаки требуется высокая пропускная способность. Благодаря пропускной способности 15 ТБит/с, во время DDoS-атак инфраструктура OVH способна поглощать очень большой объем трафика. Еще одна особенность OVH VAC заключается в том, что она повторяется в 10 центрах обработки данных на трех континентах. VAC активируется одновременно во всех этих центрах обработки данных, поэтому все регионы могут объединять свои мощности и поглощать трафик. Они обладают суммарной мощностью более 4 ТБит/с.
Цели и виды атак
Существует три способа сделать Ваш сайт, сервер или инфраструктуру недоступной:1. Перенасытить пропускную способность сети сервера, сделав его недоступным.
2. Исчерпать системные ресурсы машины, сделав невозможным ответ на легитимные запросы.
3. Использовать уязвимость программного обеспечения, так называемый «эксплоит», для захвата машины или ограничения доступа к ней.
| Название атаки | OSI | Тип атаки | Принцип атаки |
|---|---|---|---|
| Флуд ICMP-сообщений (эхо-запросов) | L3 | Ресурс | Так называемый ping-флуд - это массовая отправка пакетов влекущая за собой ответ атакуемого сервера с тем же контентом что и в исходном пакете. |
| Атака фрагментами IP-пакета | L3 | Ресурс | Отправка IP-пакетов со ссылкой на другие пакеты, которые никогда не будут отсылаться, что переполняет память атакуемого сервера. |
| SMURF-атака | L3 | Пропускная способность | Атака пропускной способности ICMP с захватом исходного адреса для перенаправления большого количества ответов атакуемому серверу. |
| Флуд IGMP | L3 | Ресурс | Массовая отправка IGMP-пакетов (протокол управления многоадресной передачей). |
| Ping of Death | L3 | Эксплоит | Отправка ICMP-пакетов, которые используют дефекты в реализации определенных операционных систем. |
| Флуд TCP SYN | L4 | Ресурс | Массовая отправка запросов на подключение по протоколу TCP. |
| Флуд TCP с поддельной SYN | L4 | Ресурс | Массовая отправка запросов на подключение по протоколу TCP для захвата исходного адреса. |
| Флуд TCP SYN ACK | L4 | Пропускная способность | Массовая отправка запросов на подключение по протоколу TCP большому количеству компьютеров для захвата исходного адреса атакуемого сервера. Пропускная способность атакуемого сервера будет заполнена ответами на данные запросы. |
| Флуд TCP ACK | L4 | Ресурс | Массовая отправка уведомлений о доставке по протоколу TCP. |
| Атака фрагментами протокола TCP | L4 | Ресурс | Отправка фрагментов TCP-протокола со ссылкой на другие пакеты, которые никогда не будут отсылаться, что переполняет память атакуемого сервера. |
| Флуд UDP | L4 | Пропускная способность | Массовая отправка UDP-пакетов (не требует ранее установленного соединения). |
| Флуд фрагментами UDP | L4 | Ресурс | Отправка UDP-дейтаграмм со ссылкой на другие пакеты, которые никогда не будут отсылаться, что переполняет память атакуемого сервера. |
| DNS-атака с лавинообразным умножением данных | L7 | Пропускная способность | Массовая отправка DNS-запросов большому количеству законных серверов для захвата исходного адреса атакуемого сервера. Так как ответ имеет больший объем данных происходит лавинообразная атака. |
| Флуд DNS | L7 | Ресурс | Атака DNS-сервера большим количеством запросов. |
| Флуд HTTP(S) GET/POST | L7 | Ресурс | Атака веб-сервера большим количеством запросов. |
| DDoS DNS | L7 | Ресурс | Атака DNS-сервера большим количеством запросов от большого количества компьютеров, находящихся под контролем злоумышленника. |