Сервера с защитой от DDOS

При современной значимости вычислительных систем в любом бизнесе даже кратковременный простой серверов может привести к большим финансовым убыткам. К сожалению, практически любой доступный по сети сервер может быть подвергнут так называемой DDoS-атаке (Distributed Denial of Service, то есть атаке «отказ в обслуживании»). Именно по этой причине мы заказываем сервера на https://www.colobridge.net/products/dedicated.

Суть таких атак в забрасывании определенного целевого сервера огромным количеством запросов различного типа с любых предварительно зараженных компьютеров. Конечный итог достаточно длительной DDoS-атаки – это исчерпание ресурсов сервером (либо каналом связи, либо сетевым оборудованием) и недоступность его для нормальной работы пользователями системы.

По своей структуре DDoS-атака производится в несколько уровней – из одного центрального компьютера (консоли управления) осуществляется управление всей атакой и главными компьютерами, которые, получив сигнал о начале атаки, передают его на атакующие агенты – зараженные (ботнетами, руткитами, вирусами и т.д.) компьютеры, которые и осуществляют саму атаку. При такой трехуровневой организации отследить адрес, с которого осуществлялось управление атакой, практически невозможно. Вместе с тем, эффективность распределенных DoS-атак очень высока – с помощью огромного целенаправленного потока запросов возможно сделать недоступным на некоторое время любой сервер, любой ресурс – если на его стороне не будут приняты определенные меры.

Чаще всего используются такие виды DDoS-атак – SYN-флуд (направляются SYN-запросы на установку соединения по протоколу TCP, и сервер становится недоступным, как только у него заканчиваются свободные сокеты), UDP-флуд (направляется огромное количество различных UDP-пакетов, которые забивают сам канал связи к ресурсу), ICMP-флуд (то же – по протоколу ICMP, доступно простым выполнением пинга с атакующих агентов). Также существует немало вариантов DDoS-атак на прикладном уровне, обращающихся уже непосредственно к ресурсам атакуемого сервера (его веб-сайту, базе данных, и пр.).

Как же получить сервер с защитой от ddos? Абсолютной защиты на самом деле не существует – если кто-то всерьез задастся целью (например, из-за конкуренции, или с целью мошенничества) обрушить на время какой-то ресурс, он это сделает – но затраты на проведение DDoS-атаки на хорошо защищенный сервер будут несоизмеримо велики.

Существует много вариантов своевременного выявления DDoS-атак и защиты от них. В первую очередь, это защита на сетевом уровне – файерволы с фильтрацией трафика, возможностью количественного и качественного анализа трафика, выявления тех же SYN-атак и немедленной блокировки адресов, с которых она осуществляется (например, подобными возможностями обладают Cisco ASA). Атаки на прикладном уровне можно сделать минимально возможными наращивая ресурсы серверов, устраняя уязвимости сайтов и предлагаемых сервисов, используя специальное аппаратное и программное обеспечение для отражения DoS-атак. Но для сетевого флуда уязвимость по сути одна – это конечность атакуемой системы, наличие у нее определенного доменного имени, IP-адреса.

Впрочем, и с сетевыми атаками можно бороться не только с использованием дорогостоящих аппаратных решений (обычно такие устанавливаются у самих провайдеров) – например, используя распределенные (облачные) вычислительные системы с горячим резервированием можно в некоторой степени обезопасить себя. Наибольшую защиту от DDoS-атак дает постоянный мониторинг доступности сервера, подробный анализ трафика, специализированный защищенный хостинг.

Комментарии закрыты.