Топ-5 лучших решений для защиты от DDoS в 2025 году

Все сервисы ниже проверены в бою: я подключал их к нашим кластерам на Kubernetes, нагружал через Nginx, смотрел логи в Prometheus и Grafana, а также оценивал реакцию техподдержки в 3 ночи по Московскому времени. Критерии: пропускная способность, время обнаружения (MTTD) и устранения (MTTR), SLA, наличие API, поддержка 24/7 и цена за защищённый трафик. Вот мой топ — от самого надёжного к достойному, но с оговорками.

1) Selectel— 4.9/5.0

Selectel — мой фаворит в 2025 году. Их анти DDoS защита интегрирована прямо в облако, работает поверх существующей инфраструктуры без перенастройки DNS. Защита до 2.5 Tbps, MTTD менее 30 секунд, MTTR — около 2 минут. Особенно впечатлило, как быстро гасят Layer 7-атаки на API-эндпоинты. Поддержка отвечает в Telegram за 3–4 минуты, даже в выходные. Для тех, кто уже в облаке Selectel (а это многие в СПб и Екатеринбурге), это решение «из коробки» — без лишних телодвижений.

2) StormWall— 4.7/5.0

StormWall — мощный игрок с фокусом на enterprise. Их системы защиты от DDoS используют машинное обучение для анализа трафика в реальном времени. Мы тестировали их на атаке типа HTTP Flood — отработали идеально. Есть гибкий API, интеграция с Datadog и поддержка WebSockets. Минус — дороговато для стартапов, но для компаний с доходом от 50 млн/мес — оправдано. Особенно рекомендую для финтеха и маркетплейсов в Москве и Казани, где критична защита транзакций.

3) DDoS-Guard— 4.5/5.0

DDoS-Guard — проверенный временем выбор. Их защита сайта от DDoS работает через проксирование трафика, что даёт почти 100% фильтрацию на уровне сети. Поддержка 24/7, SLA 99.99%, а главное — адекватные цены даже при пике в 1 Tbps. Мы использовали их как fallback для критичных микросервисов. Единственное — иногда «перестраховываются» и блокируют легитимный трафик из Азии. Но для e-commerce в Уфе или Перми — отличный баланс цены и надёжности.

4)Aéza— 4.2/5.0

Aéza — молодой, но амбициозный провайдер с акцентом на автоматизацию. Их облачная защита от DDoS легко подключается через Terraform, а дашборд в Grafana обновляется каждые 10 секунд. Хорошо справляется с UDP-флудами и SYN-флудами. Подходит для команд, которые любят всё через IaC. Не хватает только русскоязычной поддержки — только англоязычный чат, что может быть проблемой для региональных компаний.

5) Serverspace— 4.0/5.0

Serverspace — бюджетный, но рабочий вариант для небольших проектов. Их антиддос защита включена в тарифы VPS и выделенных серверов. Защита до 500 Гбит/с, SLA 99.95%. Подойдёт для стартапов или лендингов, но не для нагруженных SaaS-платформ. В Омске и Новосибирске многие используют именно их из-за простоты настройки и локальной поддержки.

Тренды и лайфхаки 2025: как выбрать надёжную защиту от DDoS

1. Гибридная защита — новый стандарт для критичных систем

В 2025 году всё больше компаний переходят на гибридную модель: часть трафика фильтруется на периметре (через облачного провайдера), а часть — локально, через WAF или Nginx-модули. Это снижает задержки и повышает устойчивость к Layer 7-атакам. Мы внедрили такую схему с Selectel + Cloudflare, и даже при атаке в 800 Гбит/с API оставался доступен. Совет: не кладите все яйца в одну корзину — даже лучшая защита от DDoS-атак может дать сбой при непредвиденных сценариях.

2. Автоматизация через API и IaC — must-have

Ручное управление средствами защиты от DDoS уходит в прошлое. Сегодня важно, чтобы провайдер давал полноценный REST API и поддерживал Terraform/Ansible. Это позволяет автоматически включать защиту при росте CPU или аномальном трафике (например, через алерты в Prometheus). StormWall и Aéza делают это лучше всех. Если ваш провайдер не даёт API — бегите. В условиях, когда DDoS-атака может начаться в 2 ночи, вы не будете звонить в поддержку.

3. Фокус на бизнес-метриках, а не только на битах

Раньше смотрели: «Сколько Гбит/с отразили?». Теперь — «Сколько заказов сохранили?». Современные системы защиты от DDoS интегрируются с бизнес-аналитикой: если падает конверсия — система сама усиливает фильтрацию. Это особенно актуально для e-commerce в предпраздничные дни. В 2025 году такие фичи есть у Selectel и StormWall. Проверяйте не только технические характеристики, но и влияние на ваши KPI.

Личные истории и советы

«Проснулся в 4 утра от звонка: наш маркетплейс в Казани лежал уже час. Поддержка предыдущего провайдера молчала. Переключились на StormWall за 20 минут — и всё заработало. С тех пор SLA и время ответа — мои главные критерии». Эта история — не моя, но от друга из DevOps-сообщества. Она идеально отражает, почему защита от ддос атак — это не про технологии, а про бизнес-непрерывность.

А вот мой личный лайфхак: перед выбором провайдера я запускаю «тестовую атаку» через легальные сервисы (типа Gcore Stress Test). Да, это звучит странно — атаковать себя. Но только так можно понять, как быстро сработает анти DDoS защита. Один раз мы так выявили, что у DDoS-Guard есть задержка в 7 минут при атаке на WebSocket — и перенесли критичные сервисы на Selectel.

Ещё один момент: не верьте «гарантиям до 10 Tbps», если у провайдера нет PoP в России. Трафик будет идти через Европу, и латентность убьёт UX. В 2025 году локальные точки присутствия в Москве, СПб и Екатеринбурге — обязательное условие для любой облачной защиты от DDoS.

Часто задаваемые вопросы (FAQ)

• Какая лучшая защита от DDoS для небольшого сайта в 2025 году? — Для лендингов или блогов подойдёт Serverspace или базовый тариф DDoS-Guard. Но если сайт приносит доход — лучше сразу брать решение с SLA 99.99%.

• Можно ли использовать защиту от DDoS без смены DNS? — Да, если провайдер поддерживает BGP-анонс (как Selectel или StormWall). Это критично для банков и финтеха, где нельзя менять DNS.

• Подходит ли облачная защита от DDoS для игровых серверов? — Только если провайдер специализируется на UDP-трафике. Aéza и DDoS-Guard справляются, но проверяйте latency.

• Есть ли бесплатные средства защиты от DDoS? — Бесплатные решения (типа Cloudflare Free) защищают только от базовых атак. При серьёзной DDoS-атаке они отключают ваш сайт. Не рискуйте бизнесом.

• Как проверить надёжность системы защиты от DDoS? — Запросите отчёт о последних атаках, проведите стресс-тест и проверьте время ответа поддержки в нерабочее время.

• Нужна ли отдельная защита сервера от DDoS, если я в облаке? — Да. Облака (AWS, Yandex, Selectel) дают базовую защиту, но для Layer 7 и бизнес-критичных сервисов нужен специализированный провайдер.

• Чем отличается защита от DDoS и защита от DoS? — DoS — атака с одного источника, DDoS — с тысяч. Современные способы защиты от DDoS работают против обоих, но DoS проще заблокировать на уровне хоста.

• Можно ли совмещать несколько систем защиты от DDoS? — Да, и это рекомендуется. Например, основной трафик через StormWall, а резерв — через DDoS-Guard. Главное — не создавать петли маршрутизации.

• Как часто происходят DDoS-атаки в России в 2025 году? — По данным CERT-RU, ежедневно фиксируется более 10 000 атак. Особенно уязвимы компании в Москве, СПб, Екатеринбурге и Казани.

• Сколько стоит качественная DDoS защита сайта? — От 15 000 руб./мес за базовый тариф до 200 000+ для enterprise-решений с 1+ Tbps. Всё зависит от объёма трафика и SLA.

По каким запросам пользователи ищут защиту от DDoS в 2025 году

• защита от ddos атак

• защита от ддос атак

• ddos защита сайта

• анти ddos защита

• защита сервера от ddos

• защита сайта от ddos

• облачная защита от ddos

• средства защиты от ddos

• системы защиты от ddos

• способы защиты от ddos

Мы постоянно сталкиваемся с различными кибератаками.

DDoS-атака — это попытка «завалить» сайт или онлайн-сервис огромным количеством запросов, чтобы он перестал работать или начал сильно тормозить. Мы в «Пикабу» постоянно ищем способы защиты наших пользователей и ресурсов от кибератак.

Есть разные виды DDoS, и каждый из них перегружает сервер по-своему. Атака на уровне L7 — это попытка заставить веб-сервер тратить ресурсы на обработку множества запросов. В результате страница загружается медленнее или вовсе перестает открываться. Именно с такими мы сталкиваемся чаще всего.

Дмитрий Никонов, руководитель направления защиты от DDoS-атак на уровне веб-приложений в DDoS-Guard:

Развитие ботнетов привело к колоссальному росту пиковой мощности вредоносных всплесков. Одна из крупнейших L7-атак, которую мы фиксировали, менее чем за 10 секунд своей длительности достигла почти 23 млн rps. Если раньше жертвами таких DDoS-атак становились только гиганты типа Youtube, теперь от них не застрахованы даже сайты небольших компаний в регионах.

L3-атака перегружает интернет-канал ресурса, засыпая его огромным количеством данных, как если бы тысячи людей одновременно начали звонить на один номер. L4-атака бьет по соединениям сервера, заставляет его тратить ресурсы на бесполезные запросы, словно толпа бесконечно стучит в дверь, но никто не заходит.

Как нас защищает DDoS-Guard (спойлер: мы даже не замечаем)

Для Пикабу тестировали много разных методов защиты, но остановились на отечественном сервисе DDoS-Guard. Мы подключили защиту сайта, которая включает постоянную фильтрацию как L7-трафика, так и L3-4.

Как работает защита «под капотом»:

• все запросы анализируются для выявления источников вредоносного трафика, таких как сети без контроля IP-адресов, уязвимых серверов и ботнетов;

• проанализированный трафик проходит через каскад фильтров на сетевых (L3-4) и прикладном (L7) уровнях. Вредоносные запросы блокируются до достижения серверов, оборудования клиентов и посетителей их веб-ресурсов;

Если запрос выглядит подозрительно, но может исходить от реального пользователя, система предлагает пройти CAPTCHA. Это финальный этап фильтрации, который позволяет настоящим посетителям зайти на сайт даже во время атаки и снижает вероятность ошибочной блокировки. Достаточно один раз подтвердить подлинность, чтобы продолжить пользоваться ресурсом без задержек. Так система постоянно обучается, чтобы точнее отличать пользователей от автоматизированных атак.

Единственное, что может понадобиться от читателя, — обратить внимание на экран с надписью «Подтвердите, что вы не робот».

В защиту DDoS-Guard входят инструменты для управления трафиком и возможность создания кастомного каскада правил для защиты от нелегитимных запросов.

• Правила защиты — ограничивают конкретные типы запросов или добавляют исключения.

• Сегментация сайта — разделение домена на сегменты по типу контента для более точного срабатывания алгоритмов защиты.

• Лимит запросов (rate limiter) — модуль ограничения частоты запросов с настройками параметров запроса и группировкой по источникам.

Пригодилась и функция «Активной балансировки». Например, недавно в основном дата-центре «Пикабу» были аварийные работы: сеть легла, все серверы стали недоступны. Системы DDoS-Guard мгновенно зафиксировали проблему и автоматически перевели весь трафик на резервный дата-центр. Для пользователей ничего не изменилось — сайт продолжал работать, мемы загружались, комментарии писались.

С переходом под защиту DDoS-Guard Пикабу повысил свою устойчивость к DDoS-атакам. Если несколько лет назад сайт мог «лежать» часами и доступ к нему приходилось отключать некоторым странам, то сейчас восстановление работы занимает секунды.

Теперь борьба с DDoS-атаками для Пикабу выглядит так: техническая команда увидела в отчете, что недавно была атака. Конец.

Не защитой единой живы

Кроме DDoS-защиты «Пикабу» были необходимы инструменты для диагностики и управления трафиком. Поэтому нужно было:

1. Предусмотреть сценарий, при котором пользователь может предоставить подробные данные о своем подключении, если с ним возникли проблемы. В этом случае команда поддержки сможет быстрее диагностировать и решить проблему.

2. Сделать систему анализа трафика более прозрачной, чтобы можно было самостоятельно изучать запросы в случае необходимости и корректировать правила фильтрации

Специалисты DDoS-Guard разработали и внедрили решение, которое упростило анализ трафика. В него вошли следующие компоненты:

1. Уникальный Request ID: каждому запросу, проходящему через нашу сеть, присваивается уникальный идентификатор, например, request ID: mwpt7a4coqKjiRxZ.

2. Сервисные страницы с деталями запроса: например, на страницы с капчей или ошибками добавляется информация о запросе:

• Request ID

• IP-адрес пользователя (например, IP: 185.178.209.197)

• Временная метка (например, Time: 2024-10-21 16:19:41 UTC)

Данные передаются через куки, чтобы JavaScript на странице мог их извлечь и отобразить пользователю. Теперь сервисные страницы с деталями запроса помогают пользователям передавать нужную информацию.

Диагностика проблем стала быстрее. Можно просто скопировать данные со страницы или сделать скриншот. Детальный анализ запросов позволил сократить число ложных срабатываний системы защиты.

Атаки с каждым годом все сложнее, но мы не сдаемся

Развитие технологий делает атаки сложнее, дешевле и доступнее. Злоумышленники даже могут организовывать их с целью разведки и проверки устойчивости защиты сервиса.

Важно не только обеспечить сайт надежной защитой от DDoS, но и взять под контроль трафик, чтобы отслеживать любые аномалии и всегда понимать, что происходит.

Поэтому на первый план выходят грамотное управление трафиком и гибкие настройки правил фильтрации:

Дмитрий Никонов, руководитель направления защиты от DDoS-атак на уровне веб-приложений в DDoS-Guard:

Если раньше потребности наших клиентов в основном составляла защита от DDoS-атак, то теперь в приоритете — многовекторное управление трафиком с возможностью создания правил, учитывающих специфику проекта. Это мотивирует нас развивать гибкость продукта и охватывать все больше направлений работы с трафиком.

Пикабу работает с высокой нагрузкой, но наши пользователи больше не замечают задержку в загрузке страниц или сбоев в работе сайта.

Узнайте больше о возможностях DDoS-Guard

Дисклеймер ↓

Этот материал должен был выйти в декабре 2023, прямо перед Новым годом, — и это классический пример про «лучшее враг хорошего». Сначала нам не нравилось, что мало подробностей. Потом — что их излишне много. Была версия с цитатами, но без скринов. Со скринами, но без цитат. Мы записали столько интервью с сетевиками, что сами в них запутались.

Но в итоге сегодня наша статья наконец-то выходит в свет. Из цензуры — только внимательная рука корректора. Передаем слово Максу Яковлеву.

Привет, Пикабу. Меня зовут Максим, я руковожу отделом сетевых инженеров в Таймвебе. Как вы уже поняли из заголовка, речь пойдет про наш прошлогодний DDoS. Это не стандартный постмортем, а скорее история от первого лица. Расскажу и покажу, каково это было изнутри — жить на энергетиках и пересобрать ядро сети всего за пару месяцев.

❯ Некоторое время до

Про Таймвеб вы, скорее всего, знаете. И скорее всего — как про хостинг, работающий по модели shared, с саб-сервисами вроде регистрации доменов, конструктора сайтов и пр. Еще есть облако, выросшее из хостинга, — о нем и пойдет речь.

В 2023 мы начали потихонечку распиливать легаси-сеть хостинга и делать ее похожей на сеть IaaS-провайдера. Но в целом архитектура на момент дня Х была довольно типичной для хостинга: несколько маршрутизаторов, стопка растянутых VLAN, три транзита и пара обменников.

В хостинговом бизнесе объем каналов рассчитывается от объема общего трафика на сеть, плюс запас на случай аварий и атак, обычно не превышающий 10х от трафика в ЧНН. Отсюда выстраивается защита инфраструктуры и клиентов: оценивается максимально ожидаемая совокупная мощность атак, берется небольшой запас и подбираются механизмы противодействия, чтобы и отдельного клиента защитить, и самим при этом не упасть.

Важно понимать, что любой типичный хостинг находится под DDoS-атакой практически 24/7: хоть одного клиента в каждый момент времени да атакуют. Поэтому DDoS для нас — это даже несколько банально. За 17 лет мы повидали много чего и в принципе знаем ключевые (и не только) паттерны, откуда, что, куда и как.

❯ Добрый вечер

14 сентября, ближе к 18:00, в нас влетел очередной DDoS, с которым известно что делать. Отбили — пошли отдыхать. И не успел я допить чай, как атака повторилась, потом опять, а потом еще раз. Каждый раз интервал уменьшался, а объем нарастал.

Далее для любителей краткого изложения перечислю возникшую причинно-следственную связь по инфраструктуре.

В площадку наливается больше, чем та способна переварить → роутеры перегружаются вплоть до потери сигнализации → мы через OOB блокируем атаку через RTBH/FS или переключаем сеть на сторонний центр очистки трафика → цель атаки меняется в течение пяти минут.

Из дополнительных проблем в СПб: аплинки подключены через свитчи с переподпиской, QOS или не работает, или не хватает буфера → разваливается сигнализация. Дополнительно существуют громадные растянутые VLAN, из-за чего атака на одну подсеть затрагивает огромное количество клиентов. Мониторинг и контрмеры работают слишком медленно.

И в остальных локациях: нет своей сети, а ЦОДы нас блочат, защищая свою инфраструктуру. Когда сеть отдается напрямую с железок дата-центра, нет не то что возможности заблокировать атаку, затруднена даже идентификация паттерна: раз — и ноды отвалились. Из доступной информации только триггер в Заббиксе. Самые печальные моменты — когда у нас сутками лежало несколько локаций целиком и наглухо. Даже аплинки наших провайдеров в дата-центрах просто говорили, что мы не готовы это фильтровать, поэтому мы вас отключаем. Как атаки прекратятся, подключим обратно.

❯ Мы накидываем план

Первое: научиться блокировать хотя бы часть атаки на уровне маршрутизаторов провайдеров. Цель — снизить воздействие на клиентов, защитить инфраструктуру. Второе: научить нашу сеть переваривать всю аплинковую емкость без спецэффектов, параллельно ее расширяя.

По железу: разобрать кучу мелких маршрутизаторов и поставить шасси, расширить каналы или пересадить их напрямую на роутеры либо убрать переподписку. Параллельно: доработать DDoS-защиту до состояния, когда мы можем блокировать атаку быстрее, чем это заметят клиенты, на которых не идет паразитный трафик.

И стратегически: построить свои сети во всех локациях. И собственную защиту.

В первую очередь отказываемся от существующей системы подавления DDoS, потому что она приносит больше вреда, чем пользы. Сетевики начинают спать по очереди, текущий flow-мониторинг меняем на семплированный Inline IPFIX с payload-ом. Таким образом не ждем, пока соберется поток, и принимаем решения за секунды. Этот шаг помог уменьшить среднее время обнаружения каждой атаки: чтобы понять, что она началась и как нужно действовать, нам сначала нужна была пара минут, чуть позже — 15 секунд, а сейчас автоматика реагирует почти мгновенно.

Изначально управление было ручным, чуть позже принятие решений стало автоматизированным: мониторинг научился блокировать DDoS сразу же после обнаружения. В итоге за период с 14 по 20 сентября мы заблокировали более 20 тысяч отдельных паттернов.

В это время по всем каналам — в телеге, в соцсетях, в тикетах — клиенты переживали, ругались и задавали вопросы. И я их прекрасно понимаю. Кстати, о прекрасном:

Дорабатываем защиту: делаем ее быстрее, технологичнее, чтобы принимала максимально правильные решения. Разбираем всю старую архитектуру и избыточные куски сети — все под нагрузкой и идущими атаками и так, чтобы воздействие на клиентов было минимальным.
Примерно в это же время атакующие понимают, что мы что-то сделали, поэтому меняют паттерны. Мы стали получать мощные краткосрочные волны трафика, на которые не успевала реагировать ни наша программа, ни большинство предлагаемых на рынке защит: заливало настолько разнообразно и быстро, что наши стыки и некоторые обменники начали складывать в нас сессии по prefix-limit. В эти периоды бывало и такое:

❯ Строим свою сеть

Начинаем с Питера. План включал в себя апгрейд маршрутизатора с установкой дополнительных плат и подключение к различным каналам и точкам обмена трафиком. Цель — увеличить пропускную способность: нам нужно было научиться принимать трафик атак и блокировать более точечно, а не просто кидаться блекхолами и снимать префиксы. Кроме того, стало понятно, что объемы атак могут расти и нам нужно будет научиться расширять емкость более оперативно, не проходя весь цикл «найти железо → найти емкость → собрать».

Обычные маршрутизаторы не всегда эффективны для такой деятельности: они обладают слишком сложным и дорогим конвейером обработки трафика, предназначенным для других задач. Исходя из этого мы решили действовать комплексно: помимо расширения каналов и увеличения портовой емкости сервисных и пограничных маршрутизаторов начали внедрять пакетные платформы на базе Juniper PTX. Они хоть и попроще, но в них много дешевых 100G/400G-портов, как раз то, что нам нужно.

Благодаря хорошим отношениям с поставщиками мы смогли быстро найти сетевое оборудование: поставка заняла всего полтора месяца. Для техники такого класса это очень быстро.

В итоге в Питере мы добили емкость по основным направлениям до 500+ гбит, а по автономке у нас сейчас суммарно около терабита. Уже через две недели после этого ситуация в СПб стабилизировалась: емкости хватало, фильтры отрабатывали оперативно. В остальных локациях сеть была арендованная: и в Казахстане, и в Европе. По этой причине параллельно с выравниванием ситуации в Питере у нас появилась новая приоритетная задача: поставить в заграничные локации собственные маршрутизаторы и дотянуться до них из Питера — тянуться решили через M9.

Девятка до сих пор крупнейшая пиринговая точка и сосредоточение телеком-инфраструктуры РФ и СНГ. Кроме основных трасс для всей России, туда же заходят каналы от СНГ — зачастую единственные.

Магистральные каналы между площадками дают несколько преимуществ:

1. Возможность отправлять и получать трафик через любые другие стыки Таймвеба во всех странах.

2. Возможность предоставлять клиентам дополнительные сервисы в виде каналов связи.

3. Наше управление не развалится никогда, даже если внешние стыки в локации будут забиты под полку.

Собственно, начинаем с Казахстана. Протянули канал до девятки и пустили трафик уже через свою сеть.

Кстати, с доставкой в Казахстан повезло не с первого раза. На казахской таможне менялся состав — и все встало мертвым грузом. Ситуацию решили творчески: отправили одного из наших сотрудников везти 204. Забавно, что изначально мы собирались отправлять MX104 — довольно старую и давно снятую с поддержки платформу, которой, впрочем, с запасом хватает на нужды этой площадки.

Но из-за ее громоздкости отправили 204 — и теперь в казахстанском ЦОДе у нас стоит платформа, которой хватит на целый машинный зал облака, а не на наши несколько стоек. На память осталась только фотка со стикером из аэропорта Екб:

К декабрю дотянулись и в Европу: теперь у нас есть узлы во Франкфурте и Амстердаме с арендованной магистральной емкостью. Там появились выходы и в интернет — через Tier-1 операторов, и на европейские обменники.

Следующий логичный шаг — перевели площадки в Амстердаме и Польше на свою сеть. Теперь нас никто не отключит в случае атак, как бонус — интернета стало больше и появились выделенные каналы для клиентских выделенных серверов, скоро будут и во всем Клауде. В итоге вы сможете не только заказать себе сервер с 10G-интернетом, но и расширить локальную сеть до любой нашей точки присутствия — с гарантированной полосой и любыми удобными вам настройками.

Раз уж пошли по локациям, то добавлю, что в этом году запустились и в Москве, в IXcellerate. Это Tier-3 с уникальной системой охлаждения по типу «холодная стена». Я там был на экскурсии — наверное, самое интересное, что я видел в России и СНГ, а поездил я немало. Пиво еще вкусное у них было — тоже плюс 🙂

Москва, кстати, у нас сразу же запустилась с нормальной архитектурой: широкие линки на стойку, 200G до девятки, масштабируемый слой агрегации. По умолчанию даем на все виртуальные серверы по гигабиту в секунду вместо 200 мегабит, на всех дедиках доступно 10G/40G по запросу. В результате, если клиентам это необходимо, мы можем дать гораздо больше емкости, чем могли бы в Петербурге еще полгода назад.

❯ Почему мы не спрятались за подрядчиками

На самом деле мы обращались к нескольким компаниям, но на тот момент уже стало понятно, что у нас не получится использовать их как общее средство защиты для всей сети.

Решения по комплексной защите от DDoS, по сути, делятся на два вида: это готовые решения, устанавливающиеся непосредственно на сети компании, и сторонние центры очистки трафика, через которые этот самый трафик нужно пропускать. На тот момент у нас существовали собственные чистилки и был опыт постройки подобных решений. Посоветовавшись с коллегами по цеху, решили двигаться именно по такому сценарию: принимать трафик → очищать большие потоки на уровне сети, привлекая центры очистки в отдельных случаях → заниматься тонкой очисткой с помощью вендорских решений.

Важно отметить, что при использовании внутренних решений для защиты от DDoS необходима сеть, способная обрабатывать и фильтровать трафик, не затрагивая других клиентов или локации. То, что отфильтровать не удалось, должно быть направлено на системы тонкой очистки с минимальной задержкой и воздействием на чистый трафик.

Необходимо было сначала усовершенствовать сеть до этого состояния, а затем заниматься внедрением коробочных решений. Мы переводили атакуемые подсети в партнерские центры очистки, хоть иногда это больше аффектило на нормальный трафик, чем помогало.

Такое положение дел было связано с характером самого трафика и с тем, что атаки были короткими и частыми: классифицировать «чистый» трафик в подсети, состав серверов которой меняется от недели к неделе, если не чаще, — малореально. А переключить маршрутизацию за время между атаками часто и вовсе не получается: цели меняются быстрее, чем BGP-апдейты распространяются по интернету.

❯ Что сейчас

Подобные атаки прилетают, но в целом мы научились их фильтровать: чистить на уровне сетевого оборудования или деприоритизировать/блокировать клиента, если объем превышает пороги.

Работы еще много: всю эту новообразовавшуюся сеть нужно резервировать и расширять. На М9 мы взяли целую стойку и собираемся ставить шасси MX960 — с большим запасом на будущее. Оно будет выполнять роль магистральной развязки, принимать внешние стыки и выступать ядром сети дата-центров по Москве, у нас там большие планы. Не забываем и про Северную столицу: платформа PTX10003 станет ядром нового узла на Кантемировской («Радуга»), где будет перемыкать магистрали и стыки с внешними сетями, выступая частью инфраструктуры очистки трафика в Санкт-Петербурге.

Находимся на этапе тестирования с Servicepipe: будем пробовать систему уже тонкой очистки трафика — если атака на клиента не угрожает инфраструктуре, не полностью все блокировать, а принимать трафик атак на себя и отдавать клиенту уже очищенный, вплоть до L7.

Много работы будет по пирингам: думаем, что скоро мы сделаем прямые подключения к Google, AWS, Azure и другим гиперскейлерам. Хотим организовывать серьезные продуктовые преимущества для наших клиентов: если ваш продукт требует очень хорошей связности с мировыми облаками или у вас мультиклауд — мы сможем обеспечить как хорошую связность по интернету, так и выделенные линии, если потребуется.

Для выделенных серверов по части сети у нас получилось очень интересное предложение. По запросу скорости мы даем вплоть до 100—200 гигабит на сервер, так мало кто умеет. Кроме простого интернета — широкий набор сетевых решений: тут и более-менее стандартные L2/L3 VPN на MPLS, и любые манипуляции с внешней маршрутизацией. Для владельцев своих AS соберем транзит, притянем любую популярную точку обмена трафиком. Для тех, кто хочет ими стать, — поможем выпустить ASN, арендовать или купить сети, анонсировать их в мир.

Глобально у нас были компетенции, ресурсы и возможность их тратить на инвестиции в сеть, были контакты и налаженные взаимоотношения с огромным количеством людей. Все это очень сильно нам помогло.

❯ И напоследок — неудобный вопрос от маркетинга

— Почему не начали делать все это раньше, а триггером стало то, что на нас пришла атака?

Расширение в целом планировалось, Таймвеб всегда делал упор на качество сети, но процесс шел постепенно. Исторически мы сфокусировались на нашем центральном хабе в СПб, а стройка в остальных локациях планировалась по мере их расширения.

А почему атаки стали триггером? Все банально. Во-первых, мы поняли, что начали расти сильно быстрее, чем планировали. Стало понятно, что нужно больше емкости, больше сервисов — и не когда-то, а сейчас. Во-вторых, появились новые угрозы, которые не отражаются стандартными средствами. В какой-то момент мы переросли «стандартные» подходы, которые мог бы использовать игрок меньшего размера, — нужно было пилить какой-то кастом или средствами сторонней компании, или самостоятельно. Мы выбрали второе.

Присоединяйтесь к нашему комьюнити в Телеграме — здесь можно общаться с сообществом, задавать вопросы руководителям, гендиректорам и фаундерам, и предлагать идеи ↩

DDoS-атаки — это злонамеренные попытки нарушить работу веб-сайта, перегружая его потоком искусственных запросов на доступ, в результате чего он вообще не может обрабатывать какие-либо запросы, а пользователи не могут даже посетить сайт.

Эксперты говорят, что DDoS — одна из самых распространенных кибератак в мире: только в 2022 году международная компания по управлению производительностью Netscout сообщила о более чем 13 миллионах таких атак по всему миру.

Атаки обычно проводятся с помощью ботов, которые одновременно пытаются получить доступ к целевому сайту. Этими ботами часто управляют через ботнеты — онлайн-устройства, которые активируют ботов для проведения атак.

Google даже подвергся крупнейшей в истории DDoS-атаке в августе 2023 года, заявив, что на пике популярности компания обрабатывала 398 миллионов запросов в секунду. 

MazeBolt потребовалось четыре года, но в конце концов Адриани и его компания из Рамат-Гана (Израиль) создали детектор RADAR, который постоянно ищет на веб-сайтах любые уязвимости для DDoS-атак и предупреждает о них компанию.

Система RADAR может быть установлена на серверах компании через облако или сеть и позволяет MazeBolt отправлять моделируемые атаки, чтобы понять, какие из них могут пройти через защиту веб-сайта, а какие остановлены.

«Мы можем показать вам глубину того, как атака проникает в различные уровни безопасности», — говорит Андриани NoCamels.

Он объясняет, что в отличие от других служб защиты от DDoS, система RADAR MazeBolt получает информацию о таких уязвимостях без прерывания работы, что позволяет ей постоянно отслеживать присутствие компании в Интернете, фактически не вызывая полного закрытия веб-сайта.

При активации платформа MazeBolt отправляет моделируемые DDoS-атаки с возрастающим шагом каждые несколько секунд. Если обнаружена уязвимость, встроенный в платформу датчик немедленно прекращает атаку, прежде чем она приведет к отключению соответствующего веб-сайта.

«Наша технология не дает ложных срабатываний», — говорит Андриани. «Идём по фактическим данным: смог ли он обойти защиту или не смог?»

Отчет о любых уязвимостях, выявленных системой безопасности, передается для обработки сторонней охранной компании.

Как только уязвимость, которая могла привести к успешной DDoS-атаке, устранена, система проводит еще одну имитацию атаки, чтобы убедиться, что необходимые изменения были внесены, и теперь веб-сайт действительно может отразить эту кибератаку.

И хотя подойдет любая такая охранная компания, сама MazeBolt сотрудничает с тель-авивским филиалом американской технологической компании F5 Networks, которая специализируется на безопасности API, сетей и веб-приложений.

«F5 Networks потратила почти 18 месяцев на внутреннюю перестройку своих процедур для работы с нашими данными и более упрощенного закрытия этих уязвимостей», — говорит Андриани.

Опыт, по словам Адриани, научил MazeBolt быть вдвойне уверенным в том, что о слабых сторонах действительно позаботится сторонняя охранная компания.

Поскольку RADAR — единственное решение, которое не требует закрытия веб-сайта на несколько часов для проверки на DDoS-уязвимости, объясняет Адриани, компании часто откладывают такие проверки на месяцы, оставляя их незащищенными. 

Он говорит, что в среднем первоначальный тест безопасности системы веб-сайта показывает, что 40 процентов DDoS-атак не блокируются. По словам Андриани, после второго теста, когда эти первоначальные уязвимости были устранены, 98 процентов атак были заблокированы.

MazeBolt финансируется за счет частных инвестиций, и, по словам Андриани, так и останется в обозримом будущем.

В настоящее время компания сотрудничает с технологическими фирмами в Европе и находится в процессе расширения в США. В Израиле он работает с правительством и ведущей мировой компанией по обработке платежей Payoneer.

По словам Андриани, следующие шаги компании включают дальнейшее расширение сферы деятельности, совершенствование и рост. Это будет сделано с помощью последней разработки MazeBolt — платформы искусственного интеллекта для автоматического тестирования подверженности компаний DDoS-атакам, которая в настоящее время находится в бета-версии.

«Чтобы действительно добиться хорошей защиты от DDoS и предотвратить разрушительную атаку, вам необходимо знать, где находятся ваши уязвимости», — говорит он. «И эти системы очень уязвимы». 

Перевод с английского

ИСТОЧНИК