sense of innovation
Под атакой? 8 800 700 55 39 En

Защита от DDoS без блокировки по ip-адресам

Проблема:
При использовании традиционных методов защиты блокируются IP адреса, с которых пришла атака.
При этом могут отсекаться значительные сегменты сети, например публичные сети Wi-Fi, бизнес-центры, районы и даже небольшие города.
Показателем работы некоторых компаний является количество заблокированных IP, за которыми могут стоять и ваши клиенты, которых вы потеряли.
Решение:
Блокируем только вредоносные автоматические запросы. Легитимные пользователи с IP-адреса «злоумышленника» не блокируются.
Бизнес-процессы действуют непрерывно даже во время DDoS-атаки, и клиент сохраняет посетителей.
Пользователи не замечают дискомфорта при работе с функционалом онлайн-сервисов.

Защита от низкочастотных атак (L7)

Проблема:
Единичные низкочастотные бот-запросы сложны для распознавания.
Низкочастотные DDoS-атаки не требует больших ресурсов злоумышленника, не искажают статистики и остаются незамеченными.
Лавинообразный рост атак на уровне приложений парализует работу интернет-ресурсов.
Эффективной защиты на рынке нет.
Решение:
Выявляем одиночные бот-запросы и определяем низкочастотные атаки, в том числе на уровне L7 (Application Level).
Стопроцентно отсекаем все автоматизированные вредоносные запросы.
Организуем защиту в постоянном режиме незаметно для пользователей.
Гарантируем работоспособность интернет-ресурсов во время низкочастотных атак на уровне приложений.

Защита без задержки с первого запроса

Проблема:
Принцип действия защиты от автоматизированных бот-запросов основан на сборе статистической информации о входящем трафике.
Отсечение вредоносных запросов происходит после того, как система проанализирует атаку и задействует защитный фильтр.
Для включения защиты требуется в среднем 5–10 минут.
Решение:
Защищаем с первого запроса и без сбора предварительной статистики.
Фильтруем входящий трафик в режиме реального времени.
Отсекаем ботов с первого запроса.

Защита от автоматического скачивания данных

Проблема:
Автоматическое скачивание данных, или парсинг контента, выполняется специальными программами через большое количество бот-запросов.
Несанкционированное автоматическое копирование информации на интернет-ресурсах приводит к утере уникального контента.
Юридические методы противодействия лимитированы, человеческий ресурс дорогостоящий, технологических альтернатив нет.
Решение:
Выявляем автоматизированные запросы с первого раза и моментально отсекаем нелегитимных ботов.
Защищаем контент от автоматического сканирования и парсинга.
Делаем невозможным или экономически нецелесообразным автоматическое скачивание данных.
Альтернативных технических решений на рынке нет.

Фильтрация зашифрованного трафика (HTTPS)

Проблема:
Защита зашифрованного трафика без раскрытия данных осуществляется с блокировкой IP-адресов и с задержкой срабатывания по времени.
Блокировка единичных запросов невозможна. Сервисы конкурентов требуют дополнительной интеграции, что усложняет защиту ресурса. Доступность клиентских сайтов зависит от надежности используемого решения.
Решение:
Фильтруем зашифрованный HTTPS-трафик без раскрытия чувствительных данных и без блокировки по IP-адресам.
Защищаем личные кабинеты банков, платежных систем и других веб-ресурсов, чувствительных к раскрытию информации.

Проблемы построения систем защиты и технология Active Bot Protection

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределенных бот-сетей.

Интернет ресурсы пытаются обезопасить себя от таких атак, создавая различные средства защиты на своих серверах или требуя защиты у своего провайдера. К сожалению, такая защита бесполезна, так как атаки мощностью в десятки GBit/s, которые стали на сегодня обыденными, просто «забьют» канал от провайдера до атакуемого сервера или, что скорее, заблокируют канал, через который сам провайдер имеет доступ в сеть Интернет.

Так, при атаке в 100GBit/s типичный канал между сетью Интернет и провайдером (например, оператором хостинга) 2-10GBit/s будет забит паразитным трафиком полностью, при этом пострадает не только атакуемый, но и другие клиенты этого провайдера. Обычно в таких случаях провайдеры прописывают в договоры обслуживания пункт, об отключении атакуемого клиента в случае атаки, что приводит к недоступности интернет-сервиса клиента, а значит к финансовым и репутационным потерям.

Таким образом, защита непосредственно интернет-сервиса или провайдера на его площадке или в его периметре в большинстве случаев становится бесполезной. Необходимо защищать атакуемый интернет-сервис, перехватывая трафик до того, как он достиг «бутылочного горлышка» — канала между провайдером и сетью магистрального оператора Интернет.

Для этого применяются облачные технологии, когда система, осуществляющая защиту, находится как можно ближе к магистральным операторам, имеет множественное подключение к интернету по высокоскоростным каналам к нескольким магистральным операторам, в идеальном случае распределена географически по разным регионам планеты.

В таком случае с помощью сетевых технологий, таких как изменение DNS или динамическая маршрутизация BGP anycast, можно «обмануть» атакующих, терменировав трафик на системе защиты, где паразитный трафик очищается специальными высокопроизводительными серверами очистки, а «хороший», очищенный трафик передается защищаемому ресурсу.

В отличие от средств защиты интернет-сервиса или сети провайдера, система защиты Active bot protection работает именно таким образом, защищая клиентов через высокопроизводительный облачный сервис, расположенный максимально близко к магистральным операторам и подключенный на максимальных скоростях.

Общие принципы организации облачной системы защиты Variti и способы подключения к сервису

Архитектурно наша система защиты выглядит как несколько узлов очистки трафика, географически расположенных в России и Европе. Каждый узел представляет собой кластер серверов и сетевого оборудования, позволяющего очищать до 2 000 GBit/s трафика.

Возможны три способа подключения к сервису:

  • Клиент подключен к сервису постоянно, IP адрес клиента анонсируется через сеть Variti. Трафик для интернет-сервисов клиентов постоянно, вне зависимости от наличия или отсутствия атаки терминируется на серверах Variti в режиме «reverse proxy», где проходит проверку на наличие атак. При таком подключении технология Active Bot Protection помимо защиты от DDoS L3 позволяет реализовывать ряд дополнительных услуг, таких как: защита от DDoS L7, активное противодействие ботам, защита от других типов хакерских атак (взломов), оптимизация скорости работы интернет-ресурсов клиентов, анализ контента, блокировка по ссылкам или контенту и т.д. Соответственно, при возникновении атаки происходит очистка трафика, и очищенный трафик переправляется к клиенту, а паразитный трафик или уничтожается, или сохраняется для последующего анализа в специальном хранилище.
  • Клиент подключается к сервису динамически. В случае, если клиент сам обнаружил атаку, он с помощью системы управления (личного кабинета или звонка в службу поддержки) сообщает об этом серверу Variti, после чего в автоматическом или в ручном режиме проводятся действия для переключения трафика на систему очистки за счет анонса через DNS или через технологию маршрутизации BGP. Трафик на время атаки переправляется на систему очистки Variti. Паразитный трафик уничтожается или копируется для последующего анализа, а очищенный трафик передается клиенту.
  • Специальная интеграция. Мы понимаем, что специфичные условия функционирования порой требуют адаптированных решений, поэтому, помимо стандартных способов интеграции, мы умеем предоставлять API или ставить специальные микроузлы очистки на стороне клиентов

Первый вариант подключения позволяет мгновенно реагировать на атаки. Он более ресурсоемок, а значит более дорогой для клиента. Второй менее дорогой, но может вызывать отсутствие доступности сервиса клиента на некоторое неопределенное время, пока выполняется переключение.

Важно отметить, что сервис Variti поддерживает работу и по протоколу SSL как с открытием SSL сертификата, так и без открытия.

Так как узлы сервиса Variti являются независимыми и управляются с помощью единой системы управления, в случае с проблемами на одном из узлов, его клиенты будут автоматически перемещены для обслуживания на другой узел, прозрачно для клиента.

Проблемы построения систем защиты и технология Active Bot Protection

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределенных бот-сетей.

Интернет ресурсы пытаются обезопасить себя от таких атак, создавая различные средства защиты на своих серверах или требуя защиты у своего провайдера. К сожалению, такая защита бесполезна, так как атаки мощностью в десятки GBit/s, которые стали на сегодня обыденными, просто «забьют» канал от провайдера до атакуемого сервера или, что скорее, заблокируют канал, через который сам провайдер имеет доступ в сеть Интернет.

Так, при атаке в 100GBit/s типичный канал между сетью Интернет и провайдером (например, оператором хостинга) 2-10GBit/s будет забит паразитным трафиком полностью, при этом пострадает не только атакуемый, но и другие клиенты этого провайдера. Обычно в таких случаях провайдеры прописывают в договоры обслуживания пункт, об отключении атакуемого клиента в случае атаки, что приводит к недоступности интернет-сервиса клиента, а значит к финансовым и репутационным потерям.

Таким образом, защита непосредственно интернет-сервиса или провайдера на его площадке или в его периметре в большинстве случаев становится бесполезной. Необходимо защищать атакуемый интернет-сервис, перехватывая трафик до того, как он достиг «бутылочного горлышка» — канала между провайдером и сетью магистрального оператора Интернет.

Для этого применяются облачные технологии, когда система, осуществляющая защиту, находится как можно ближе к магистральным операторам, имеет множественное подключение к интернету по высокоскоростным каналам к нескольким магистральным операторам, в идеальном случае распределена географически по разным регионам планеты.

В таком случае с помощью сетевых технологий, таких как изменение DNS или динамическая маршрутизация BGP anycast, можно «обмануть» атакующих, терменировав трафик на системе защиты, где паразитный трафик очищается специальными высокопроизводительными серверами очистки, а «хороший», очищенный трафик передается защищаемому ресурсу.

В отличие от средств защиты интернет-сервиса или сети провайдера, система защиты Active bot protection работает именно таким образом, защищая клиентов через высокопроизводительный облачный сервис, расположенный максимально близко к магистральным операторам и подключенный на максимальных скоростях.

Общие принципы организации облачной системы защиты Variti и способы подключения к сервису

Архитектурно наша система защиты выглядит как несколько узлов очистки трафика, географически расположенных в России и Европе. Каждый узел представляет собой кластер серверов и сетевого оборудования, позволяющего очищать до 2 000 GBit/s трафика.

Возможны три способа подключения к сервису:

  • Клиент подключен к сервису постоянно, IP адрес клиента анонсируется через сеть Variti. Трафик для интернет-сервисов клиентов постоянно, вне зависимости от наличия или отсутствия атаки терминируется на серверах Variti в режиме «reverse proxy», где проходит проверку на наличие атак. При таком подключении технология Active Bot Protection помимо защиты от DDoS L3 позволяет реализовывать ряд дополнительных услуг, таких как: защита от DDoS L7, активное противодействие ботам, защита от других типов хакерских атак (взломов), оптимизация скорости работы интернет-ресурсов клиентов, анализ контента, блокировка по ссылкам или контенту и т.д. Соответственно, при возникновении атаки происходит очистка трафика, и очищенный трафик переправляется к клиенту, а паразитный трафик или уничтожается, или сохраняется для последующего анализа в специальном хранилище.
  • Клиент подключается к сервису динамически. В случае, если клиент сам обнаружил атаку, он с помощью системы управления (личного кабинета или звонка в службу поддержки) сообщает об этом серверу Variti, после чего в автоматическом или в ручном режиме проводятся действия для переключения трафика на систему очистки за счет анонса через DNS или через технологию маршрутизации BGP. Трафик на время атаки переправляется на систему очистки Variti. Паразитный трафик уничтожается или копируется для последующего анализа, а очищенный трафик передается клиенту.
  • Специальная интеграция. Мы понимаем, что специфичные условия функционирования порой требуют адаптированных решений, поэтому, помимо стандартных способов интеграции, мы умеем предоставлять API или ставить специальные микроузлы очистки на стороне клиентов

Первый вариант подключения позволяет мгновенно реагировать на атаки. Он более ресурсоемок, а значит более дорогой для клиента. Второй менее дорогой, но может вызывать отсутствие доступности сервиса клиента на некоторое неопределенное время, пока выполняется переключение.

Важно отметить, что сервис Variti поддерживает работу и по протоколу SSL как с открытием SSL сертификата, так и без открытия.

Так как узлы сервиса Variti являются независимыми и управляются с помощью единой системы управления, в случае с проблемами на одном из узлов, его клиенты будут автоматически перемещены для обслуживания на другой узел, прозрачно для клиента.

Проблемы построения систем защиты и технология Active Bot Protection

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределенных бот-сетей.

Интернет ресурсы пытаются обезопасить себя от таких атак, создавая различные средства защиты на своих серверах или требуя защиты у своего провайдера. К сожалению, такая защита бесполезна, так как атаки мощностью в десятки GBit/s, которые стали на сегодня обыденными, просто «забьют» канал от провайдера до атакуемого сервера или, что скорее, заблокируют канал, через который сам провайдер имеет доступ в сеть Интернет.

Так, при атаке в 100GBit/s типичный канал между сетью Интернет и провайдером (например, оператором хостинга) 2-10GBit/s будет забит паразитным трафиком полностью, при этом пострадает не только атакуемый, но и другие клиенты этого провайдера. Обычно в таких случаях провайдеры прописывают в договоры обслуживания пункт, об отключении атакуемого клиента в случае атаки, что приводит к недоступности интернет-сервиса клиента, а значит к финансовым и репутационным потерям.

Таким образом, защита непосредственно интернет-сервиса или провайдера на его площадке или в его периметре в большинстве случаев становится бесполезной. Необходимо защищать атакуемый интернет-сервис, перехватывая трафик до того, как он достиг «бутылочного горлышка» — канала между провайдером и сетью магистрального оператора Интернет.

Для этого применяются облачные технологии, когда система, осуществляющая защиту, находится как можно ближе к магистральным операторам, имеет множественное подключение к интернету по высокоскоростным каналам к нескольким магистральным операторам, в идеальном случае распределена географически по разным регионам планеты.

В таком случае с помощью сетевых технологий, таких как изменение DNS или динамическая маршрутизация BGP anycast, можно «обмануть» атакующих, терменировав трафик на системе защиты, где паразитный трафик очищается специальными высокопроизводительными серверами очистки, а «хороший», очищенный трафик передается защищаемому ресурсу.

В отличие от средств защиты интернет-сервиса или сети провайдера, система защиты Active bot protection работает именно таким образом, защищая клиентов через высокопроизводительный облачный сервис, расположенный максимально близко к магистральным операторам и подключенный на максимальных скоростях.

Общие принципы организации облачной системы защиты Variti и способы подключения к сервису

Архитектурно наша система защиты выглядит как несколько узлов очистки трафика, географически расположенных в России и Европе. Каждый узел представляет собой кластер серверов и сетевого оборудования, позволяющего очищать до 2 000 GBit/s трафика.

Возможны три способа подключения к сервису:

  • Клиент подключен к сервису постоянно, IP адрес клиента анонсируется через сеть Variti. Трафик для интернет-сервисов клиентов постоянно, вне зависимости от наличия или отсутствия атаки терминируется на серверах Variti в режиме «reverse proxy», где проходит проверку на наличие атак. При таком подключении технология Active Bot Protection помимо защиты от DDoS L3 позволяет реализовывать ряд дополнительных услуг, таких как: защита от DDoS L7, активное противодействие ботам, защита от других типов хакерских атак (взломов), оптимизация скорости работы интернет-ресурсов клиентов, анализ контента, блокировка по ссылкам или контенту и т.д. Соответственно, при возникновении атаки происходит очистка трафика, и очищенный трафик переправляется к клиенту, а паразитный трафик или уничтожается, или сохраняется для последующего анализа в специальном хранилище.
  • Клиент подключается к сервису динамически. В случае, если клиент сам обнаружил атаку, он с помощью системы управления (личного кабинета или звонка в службу поддержки) сообщает об этом серверу Variti, после чего в автоматическом или в ручном режиме проводятся действия для переключения трафика на систему очистки за счет анонса через DNS или через технологию маршрутизации BGP. Трафик на время атаки переправляется на систему очистки Variti. Паразитный трафик уничтожается или копируется для последующего анализа, а очищенный трафик передается клиенту.
  • Специальная интеграция. Мы понимаем, что специфичные условия функционирования порой требуют адаптированных решений, поэтому, помимо стандартных способов интеграции, мы умеем предоставлять API или ставить специальные микроузлы очистки на стороне клиентов

Первый вариант подключения позволяет мгновенно реагировать на атаки. Он более ресурсоемок, а значит более дорогой для клиента. Второй менее дорогой, но может вызывать отсутствие доступности сервиса клиента на некоторое неопределенное время, пока выполняется переключение.

Важно отметить, что сервис Variti поддерживает работу и по протоколу SSL как с открытием SSL сертификата, так и без открытия.

Так как узлы сервиса Variti являются независимыми и управляются с помощью единой системы управления, в случае с проблемами на одном из узлов, его клиенты будут автоматически перемещены для обслуживания на другой узел, прозрачно для клиента.

Проблемы построения систем защиты и технология Active Bot Protection

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределенных бот-сетей.

Интернет ресурсы пытаются обезопасить себя от таких атак, создавая различные средства защиты на своих серверах или требуя защиты у своего провайдера. К сожалению, такая защита бесполезна, так как атаки мощностью в десятки GBit/s, которые стали на сегодня обыденными, просто «забьют» канал от провайдера до атакуемого сервера или, что скорее, заблокируют канал, через который сам провайдер имеет доступ в сеть Интернет.

Так, при атаке в 100GBit/s типичный канал между сетью Интернет и провайдером (например, оператором хостинга) 2-10GBit/s будет забит паразитным трафиком полностью, при этом пострадает не только атакуемый, но и другие клиенты этого провайдера. Обычно в таких случаях провайдеры прописывают в договоры обслуживания пункт, об отключении атакуемого клиента в случае атаки, что приводит к недоступности интернет-сервиса клиента, а значит к финансовым и репутационным потерям.

Таким образом, защита непосредственно интернет-сервиса или провайдера на его площадке или в его периметре в большинстве случаев становится бесполезной. Необходимо защищать атакуемый интернет-сервис, перехватывая трафик до того, как он достиг «бутылочного горлышка» — канала между провайдером и сетью магистрального оператора Интернет.

Для этого применяются облачные технологии, когда система, осуществляющая защиту, находится как можно ближе к магистральным операторам, имеет множественное подключение к интернету по высокоскоростным каналам к нескольким магистральным операторам, в идеальном случае распределена географически по разным регионам планеты.

В таком случае с помощью сетевых технологий, таких как изменение DNS или динамическая маршрутизация BGP anycast, можно «обмануть» атакующих, терменировав трафик на системе защиты, где паразитный трафик очищается специальными высокопроизводительными серверами очистки, а «хороший», очищенный трафик передается защищаемому ресурсу.

В отличие от средств защиты интернет-сервиса или сети провайдера, система защиты Active bot protection работает именно таким образом, защищая клиентов через высокопроизводительный облачный сервис, расположенный максимально близко к магистральным операторам и подключенный на максимальных скоростях.

Общие принципы организации облачной системы защиты Variti и способы подключения к сервису

Архитектурно наша система защиты выглядит как несколько узлов очистки трафика, географически расположенных в России и Европе. Каждый узел представляет собой кластер серверов и сетевого оборудования, позволяющего очищать до 2 000 GBit/s трафика.

Возможны три способа подключения к сервису:

  • Клиент подключен к сервису постоянно, IP адрес клиента анонсируется через сеть Variti. Трафик для интернет-сервисов клиентов постоянно, вне зависимости от наличия или отсутствия атаки терминируется на серверах Variti в режиме «reverse proxy», где проходит проверку на наличие атак. При таком подключении технология Active Bot Protection помимо защиты от DDoS L3 позволяет реализовывать ряд дополнительных услуг, таких как: защита от DDoS L7, активное противодействие ботам, защита от других типов хакерских атак (взломов), оптимизация скорости работы интернет-ресурсов клиентов, анализ контента, блокировка по ссылкам или контенту и т.д. Соответственно, при возникновении атаки происходит очистка трафика, и очищенный трафик переправляется к клиенту, а паразитный трафик или уничтожается, или сохраняется для последующего анализа в специальном хранилище.
  • Клиент подключается к сервису динамически. В случае, если клиент сам обнаружил атаку, он с помощью системы управления (личного кабинета или звонка в службу поддержки) сообщает об этом серверу Variti, после чего в автоматическом или в ручном режиме проводятся действия для переключения трафика на систему очистки за счет анонса через DNS или через технологию маршрутизации BGP. Трафик на время атаки переправляется на систему очистки Variti. Паразитный трафик уничтожается или копируется для последующего анализа, а очищенный трафик передается клиенту.
  • Специальная интеграция. Мы понимаем, что специфичные условия функционирования порой требуют адаптированных решений, поэтому, помимо стандартных способов интеграции, мы умеем предоставлять API или ставить специальные микроузлы очистки на стороне клиентов

Первый вариант подключения позволяет мгновенно реагировать на атаки. Он более ресурсоемок, а значит более дорогой для клиента. Второй менее дорогой, но может вызывать отсутствие доступности сервиса клиента на некоторое неопределенное время, пока выполняется переключение.

Важно отметить, что сервис Variti поддерживает работу и по протоколу SSL как с открытием SSL сертификата, так и без открытия.

Так как узлы сервиса Variti являются независимыми и управляются с помощью единой системы управления, в случае с проблемами на одном из узлов, его клиенты будут автоматически перемещены для обслуживания на другой узел, прозрачно для клиента.

Проблемы построения систем защиты и технология Active Bot Protection

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределенных бот-сетей.

Интернет ресурсы пытаются обезопасить себя от таких атак, создавая различные средства защиты на своих серверах или требуя защиты у своего провайдера. К сожалению, такая защита бесполезна, так как атаки мощностью в десятки GBit/s, которые стали на сегодня обыденными, просто «забьют» канал от провайдера до атакуемого сервера или, что скорее, заблокируют канал, через который сам провайдер имеет доступ в сеть Интернет.

Так, при атаке в 100GBit/s типичный канал между сетью Интернет и провайдером (например, оператором хостинга) 2-10GBit/s будет забит паразитным трафиком полностью, при этом пострадает не только атакуемый, но и другие клиенты этого провайдера. Обычно в таких случаях провайдеры прописывают в договоры обслуживания пункт, об отключении атакуемого клиента в случае атаки, что приводит к недоступности интернет-сервиса клиента, а значит к финансовым и репутационным потерям.

Таким образом, защита непосредственно интернет-сервиса или провайдера на его площадке или в его периметре в большинстве случаев становится бесполезной. Необходимо защищать атакуемый интернет-сервис, перехватывая трафик до того, как он достиг «бутылочного горлышка» — канала между провайдером и сетью магистрального оператора Интернет.

Для этого применяются облачные технологии, когда система, осуществляющая защиту, находится как можно ближе к магистральным операторам, имеет множественное подключение к интернету по высокоскоростным каналам к нескольким магистральным операторам, в идеальном случае распределена географически по разным регионам планеты.

В таком случае с помощью сетевых технологий, таких как изменение DNS или динамическая маршрутизация BGP anycast, можно «обмануть» атакующих, терменировав трафик на системе защиты, где паразитный трафик очищается специальными высокопроизводительными серверами очистки, а «хороший», очищенный трафик передается защищаемому ресурсу.

В отличие от средств защиты интернет-сервиса или сети провайдера, система защиты Active bot protection работает именно таким образом, защищая клиентов через высокопроизводительный облачный сервис, расположенный максимально близко к магистральным операторам и подключенный на максимальных скоростях.

Общие принципы организации облачной системы защиты Variti и способы подключения к сервису

Архитектурно наша система защиты выглядит как несколько узлов очистки трафика, географически расположенных в России и Европе. Каждый узел представляет собой кластер серверов и сетевого оборудования, позволяющего очищать до 2 000 GBit/s трафика.

Возможны три способа подключения к сервису:

  • Клиент подключен к сервису постоянно, IP адрес клиента анонсируется через сеть Variti. Трафик для интернет-сервисов клиентов постоянно, вне зависимости от наличия или отсутствия атаки терминируется на серверах Variti в режиме «reverse proxy», где проходит проверку на наличие атак. При таком подключении технология Active Bot Protection помимо защиты от DDoS L3 позволяет реализовывать ряд дополнительных услуг, таких как: защита от DDoS L7, активное противодействие ботам, защита от других типов хакерских атак (взломов), оптимизация скорости работы интернет-ресурсов клиентов, анализ контента, блокировка по ссылкам или контенту и т.д. Соответственно, при возникновении атаки происходит очистка трафика, и очищенный трафик переправляется к клиенту, а паразитный трафик или уничтожается, или сохраняется для последующего анализа в специальном хранилище.
  • Клиент подключается к сервису динамически. В случае, если клиент сам обнаружил атаку, он с помощью системы управления (личного кабинета или звонка в службу поддержки) сообщает об этом серверу Variti, после чего в автоматическом или в ручном режиме проводятся действия для переключения трафика на систему очистки за счет анонса через DNS или через технологию маршрутизации BGP. Трафик на время атаки переправляется на систему очистки Variti. Паразитный трафик уничтожается или копируется для последующего анализа, а очищенный трафик передается клиенту.
  • Специальная интеграция. Мы понимаем, что специфичные условия функционирования порой требуют адаптированных решений, поэтому, помимо стандартных способов интеграции, мы умеем предоставлять API или ставить специальные микроузлы очистки на стороне клиентов

Первый вариант подключения позволяет мгновенно реагировать на атаки. Он более ресурсоемок, а значит более дорогой для клиента. Второй менее дорогой, но может вызывать отсутствие доступности сервиса клиента на некоторое неопределенное время, пока выполняется переключение.

Важно отметить, что сервис Variti поддерживает работу и по протоколу SSL как с открытием SSL сертификата, так и без открытия.

Так как узлы сервиса Variti являются независимыми и управляются с помощью единой системы управления, в случае с проблемами на одном из узлов, его клиенты будут автоматически перемещены для обслуживания на другой узел, прозрачно для клиента.

Заявка на подключение

Мы знаем: вы не робот. Технология аctive bot protection
позволяет избавиться от CAPTCHA.