Использование теста Тьюринга (страница CAPTCHA) для защиты от DDoS

• Этот компьютерный тест определяет, является ли пользователь системы человеком или компьютером.
• При превышении порогового значения, например, комфортного для сайта количества запросов в секунду, активируется защита, и пользователь должен ввести информацию из CAPTCHA для подтверждения своей непричастности к ботнету, только после этого доступ к сайту будет разрешен.
• После подтверждения пользователь заносится в "белый список" и больше не подлежит проверке.

Защита TCP SYN Flood от DoS

• SYN Flood вызывает повышенное потребление ресурсов целевой системы. Отказ в обслуживании происходит при SYN-flood 100 000 - 500 000 пакетов в секунду. При этом даже гигабитный канал позволит злоумышленнику отправлять на атакуемый сайт поток до 1,5 миллионов пакетов в секунду.
• Система обнаруживает атаку по превышению заданного порога неподтвержденных SYN-запросов клиента, отвечает на SYN-запросы вместо защищенного сайта и организует TCP-сессию с защищенным сайтом после подтверждения запроса клиентом.

Защита от DoS с помощью фрагментированного UDP Flood

• Данный тип атаки осуществляется фрагментированными udp-пакетами, обычно небольшого размера, на сборку и анализ которых атакуемой платформе приходится тратить много ресурсов.
• Защита осуществляется путем отбрасывания набора протоколов, неактуальных для защищаемой площадки, или жесткого ограничения их по пропускной способности.

Дополнительная защита от DDOS атак средствами BGP

BGP blackhole

• Blackhole позволяет управлять трафиком на уровне провайдера, до попадания в нашу AS. Он эффективен для борьбы с крупными атаками на пропускную способность канала (чаще всего DNS Amplification). В классической схеме метод предполагает выставление next-hop для анонсируемого маршрута на ip адрес из приватной сети.

BGP FlowSpec

• В качестве дополнительной меры защиты от атак реализован дополнительный протокол BGP FlowSpec (RFC5575). Он позволяет отсекать трафик тех протоколов и/или типов пакетов, которые не используются в сети клиента и которые используются в DDoS-атаке.
• Фильтрация трафика атак осуществляется на уровне каналов и аппаратных мощностей магистральной сети на всех наших магистральных маршрутизаторах. Указанный в правилах трафик пересылается через BGP FlowSpec, либо уничтожается, либо ограничивается по пропускной способности (rate-limit). Остальной трафик (не указанный в правилах BGP FlowSpec) проходит без изменений.

Основные параметры защиты от DoS- и DDoS-атак

• Производительность до 20 млн пакетов в секунду в зависимости от конфигурации
• Защита от TCP SYN Flood и fragmented UDP Flood
• Защита от DDoS (LOIC и т. п.) на основе теста Тьюринга (Human Detection)
• Динамическое управление полосой – общей и до отдельного IP
• Приоритизация по протоколам общей полосы и отдельного IP.