Назад | Перейти на главную страницу

Как именно строится защита от DDoS-атак

Говоря о защите от DDoS-атак, я понимаю, что она во многом зависит от емкости фильтра.

При построении собственной защиты от DDoS это зависит от объема трафика, который вы можете фильтровать, и если DDoS-атака превышает этот предел, другой возможности фильтровать другой трафик нет, и он достигнет серверной части и, следовательно, сделает серверную часть недоступной.

Но как увеличить эту фильтрующую способность? Если, например, я пойду и куплю Огневая мощь 9300 и подключить его к моей сети перед моим маршрутизатором и, следовательно, с серверной частью, или обменять мой маршрутизатор с этим межсетевым экраном, поскольку он говорит, что он имеет кластерную пропускную способность 1,2 Тбит / с, означает ли это, что я смогу потенциально фильтровать 1,2 Тбит / с трафика DDoS и блокировать размер DDoS-атаки до 1,2 Тбит / с? Или для фильтрации большего количества трафика мне нужно будет точно позвонить своему провайдеру и попросить увеличить пропускную способность моего восходящего интернет-соединения, и это будет максимальный трафик, который я могу обработать?

Чтобы отфильтровать 1,2 Тбит / с трафика, идущего по одному каналу, вам сначала потребуется пропускная способность для приема 1,2 Тбит / с трафика. То есть вам потребуется как огромная доступная пропускная способность, так и огромная аппаратная мощность для маршрутизации и фильтрации.

Для DDoS (распределен является ключевым словом) обычно имеет больше смысла фильтровать близко к каждому источнику, как, например, крупные поставщики CDN, чем ждать, пока весь трафик не будет перенаправлен в одно место и добавлен к чему-то, что, вполне возможно, неуправляемый.

поскольку [брандмауэр] говорит, что его кластерная пропускная способность составляет 1,2 Тбит / с, означает ли это, что я смогу отфильтровать 1,2 Тбит / с DDoS-атак

Нет. Вам необходимо провести серьезную оценку угроз и возможностей, чтобы понять, каковы ваши ограничения в борьбе с угрозой DDoS.

  • Для продолжения обслуживания законных запросов вам потребуется большая пропускная способность, чем атака.
  • Брандмауэры, вероятно, достигнут своего лимита пакетов в секунду задолго до пропускной способности. Один большой брандмауэр может обрабатывать однозначные миллионы пакетов в секунду, большие атаки превышают 100Mpps.
  • Максимальные значения для кластерной системы не ограничиваются одним узлом. Один узел - это гораздо меньшая емкость, иногда она уменьшается в зависимости от того, какие функции вы используете. Таким образом, вам нужно покупать участки для масштабирования.

Десятки интернет-соединений со скоростью 100 Гбит / с плюс столько же крупных межсетевых экранов обходятся дорого и могут затруднить транзит ваших провайдеров. Естественно, службы защиты от DDoS-атак будут использовать распределенную сеть в стиле CDN для распределения нагрузки.

Скорее всего, вы не столкнетесь с угрозой рекордного размера. Но эта шкала не теоретическая, GitHub выдержал атаку 1,3 Тбит / с.