DDoS-атака (от англ. Distributed Denial of Service) – это распределённая атака типа «отказ в обслуживании». Её целью является создание условий, при которых реальные пользователи не могут получить доступ к сайту или серверу из-за его перегрузки.
Чаще всего атака организуется при помощи ботнетов – множества заражённых или уязвимых компьютеров в сети, владельцы которых чаще всего не подозревают, что участвуют в атаках.
Практически всегда целью DDoS-атаки является отключение того или иного конкурирующего или просто, вызывающего личную неприязнь, сервиса. Однако, отказ атакуемой системы может быть и частью атаки, целью которой является завладение системой, в том случае если она в нештатной ситуации выдаёт какую-либо критическую информацию, например, версию или часть программного кода. Также DDoS-атака может служить для отвлечения внимания во время взлома других систем.
Стоимость услуги защиты от DDoS зависит от только объёма «белого» (легитимного/отфильтрованного) входящего трафика, который потребляет Ваш сервер. Вы никогда не платите за атакующий трафик, вне зависимости от силы атаки он будет отброшен.
Более 96% наших клиентов укладываются в объём средней нагрузки входящей полосы 1 Мбит/с, стоимостью всего 800 руб. в месяц. Цифра лимита полосы не является ограничением по скорости доступного Вам интернет-канала. Он всегда остаётся на уровне 250 Мбит/с. Лимит – это предоплаченный объём (не скорость) входящего трафика в месяц.
Если Вы не уверены, какой объём требуется Вам, просто выберите минимальный и в случае необходимости всегда сможете его расширить.
К сожалению, нет.
Самый распространённый и дешёвый способ атак – это переполнение интернет-канала сервера. При таком типе атаки Вы просто ничего не можете сделать – весь трафик уже у вас на порту, фаервол (брандмауэр) на сервере не помогает, так как он стоит после сетевого адаптера, который принимает весь атакующий трафик. Полоса переполняется очень быстро и любой незащищённый сервер перестаёт быть доступным в течение нескольких секунд.
Это крайне сложный процесс, который имеет очень низкую вероятность успеха. Атакующий трафик практически всегда отправляется с заражённых компьютеров, команды которым могут также давать заражённые компьютеры или же арендуемые по подложным данным серверы.
Поиском злоумышленников занимаются единицы компаний в России и это довольно дорогостоящая услуга.
Если у Вас подключена услуга защиты от DDoS, то Вы просто ничего не заметите, сервер продолжит работать, как и работал до начала атаки.
Однако если же защиты нет, система автоматического мониторинга отключит IP-адрес Вашего сервера в течение 1 минуты после начала атаки. Повторное включение возможно только в течение 72 часов при условии, что атака была не сильной (до 3 Гбит/с). Если же была атака высокой силы, то возобновление обслуживания сервера производится только после подключения услуги защиты от DDoS-атак.
Блокировка незащищённого IP-адреса производится с целью предотвращения негативного влияния атаки на сервера других клиентов.
В случае если Ваш сервер подвергся DDoS-атаке и был в связи с этим заблокирован, то на указанный Вами в личных данных адрес email придёт уведомление.
KVM (Kernel-based Virtual Machine) - технология аппаратной виртуализации. На хост-машине создается полный виртуальный аналог физического сервера. Сервер на KVM полностью изолирован от «соседей» и имеет собственное ядро ОС. Каждому такому серверу выделяется своя область в оперативной памяти и пространство на жестком диске, собственная сетевая карта, что повышает общую надежность работы такого сервера и гарантирует выделение заявленных ресурсов.
Возможна установка любой операционной системы на выбор (Debian, CentOS, Ubuntu, FreeBSD, Windows Server), либо установка собственного дистрибутива (напишите в поддержку через личный кабинет и предоставьте ссылку на ISO-образ).
Серверы на KVM подходят для установки игровых серверов, настройки VPN, голосового сервера и других программ.
Для защиты от DDoS-атак используем геораспределенную сеть фильтров , подключенных к интернет-каналу с большой пропускной способностью. Весь входящий трафик анализируется, выявляются аномалии и нестандартная сетевая активность. Вредоносный трафик блокируется , а рабочий - пропускается. Наша защита эффективно подавляет атаки на 2, 3, 4 и 7-м уровне модели OSI. Это и низкоуровневые сетевые атаки, и атаки на уровне сайта - с эмуляцией действий настоящих пользователей.
У клиента есть виртуальный лицевой счет, на котором хранится остаток денежных средств. Со счета ежедневно снимаются средства для оплаты виртуального сервера. Пополнить счет можно через раздел Финансы → Платежи.
Например, вы используете VDS Форсаж за 839 рублей в месяц. В феврале (28 дней) со счёта будет списываться сумма 839 / 28 = 29,96 рублей ежедневно.
Таким образом тарифицируются виртуальные серверы и дополнительные услуги: панель управления, дополнительные IP-адреса, дополнительные ресурсы сервера, лицензии Windows Server, диск для бэкапов.
Пока на счёте имеются деньги - сервер и остальные услуги работают.
Посмотреть список всех расходов можно в личном кабинете в разделе Финансы → Расходы.
Да, мы даём одни сутки бесплатного использования сервера на тарифе VDS Форсаж. За это время вы можете оценить условия работы: развернуть проект, протестировать скорость, проверить работу службы поддержки.
Для предоставления тестового периода обратитесь в отдел продаж:
8 800 775 38 37
, добавочный 1.
Looking glass поможет проверить прохождение трафика из нашей сети до указанного вами IP-адреса. Вы сможете узнать скорость загрузки/скачивания, а также размер пинга до сервера.
20 марта 2014 в 17:35Недавно REG.RU совместно с компанией DDoS Guard представил бесплатную автоматическую защиту от DDoS-атак. Защита срабатывает автоматически и способна выдержать атаку со скоростью более 100 Гбит/с, что позволяет избежать отключения серверов и сайтов, а, следовательно, потери клиентов и прибыли.
Проблема борьбы с DDoS-атаками встает перед всеми хостинг-провайдерами без исключения. Классические методы борьбы предполагают временную недоступность атакованного сайта, однако REG.RU и DDoS Guard смогли найти пути решения этой проблемы. Но обо всем по порядку.
Первый подход – использование вендорского оборудования (Arbor, Cisco, Juniper и других). Этот подход, как правило, используется в случае, когда у компании нет возможности отдать эти задачи на аутсорсинг из-за повышенного уровня защиты информации.
В данном случае речь идет об использовании готовых аппаратных решений для фильтрации трафика. На входе в сеть устанавливается такой аппаратный firewall, который фильтрует входящий трафик. Он использует определенное количество базовых правил, по которым определяет, пропускать ли трафик дальше.
Главное преимущество данного подхода в том, что оборудование имеет официальную сертификацию и гарантированно справится с определенными видами атак. В спецификации к аппаратному решению указывается максимальный объем атаки и, если мощность атаки не превышает заявленных значений, все интернет-ресурсы будут функционировать в нормальном режиме.
Минусы этого подхода:
Доступна только одна точка присутствия;
Потолок защиты по полосе ограничен каналом, приходящим от аплинков оборудования;
Относительно низкая мощность при работе с атаками на исчерпание ресурсов, в связи с чем, сложно или невозможно динамично конфигурировать маршруты и распределять нагрузку;
Цена профессиональных решений начинается с пятизначных сумм (за защиту в 10 Гбит/с).
Второй подход – использование распределенной фильтрующей сети. Этот подход используется лидерами отрасли и выглядит наиболее перспективным.
Суть этого метода состоит в том, чтобы принять атаку как можно ближе к тому месту, где она генерируется. Это позволяет оптимально использовать сетевую инфраструктуру и не доставлять вредоносный трафик из одной точки в другую, а сразу его блокировать. В случае распределенной DDoS-атаки, когда трафик генерируется в нескольких странах, он будет перенаправлен по оптимальным маршрутам до ближайших точек присутствия (POP), подвергнется фильтрации и к адресату дойдет только легитимный, полезный трафик.
Важнейшим преимуществом подобной организации защиты является невероятная гибкость. Благодаря этому, можно сбалансировать трафик между точками присутствия и работать с фильтрами в режиме реального времени, настраивая их под защиту от актуальных техник DDoS-атак, которые постоянно видоизменяются и модернизируются. В последнее время злоумышленники стали очень изобретательны – зачастую легитимный трафик отличить от атакующего можно, только обладая специфическим опытом в сфере защиты.
Основные узлы сети: 
- Амстердам, Нидерланды;
- Франкфурт, Германия;
- Киев, Украина;
- Москва, Россия.
Существующая топология позволяет уверенно принимать большие объемы трафика, не создавая избыточной нагрузки на промежуточных операторов, обрабатывать локальный трафик России и Украины и имеет значительные резервы для расширения доступной входящей полосы. Следуя концепции постоянного роста, уже сейчас компания проектирует дополнительные точки присутствия и узлы очистки трафика в Северной Америке и Юго-Восточной Азии.
Архитектура сети проектируется с учетом возможных угроз и рисков, связанных с DDoS-атаками в три независимо-резервируемых слоя:
- Слой маршрутизации:
Основная задача - надежная маршрутизация больших объемов трафика, обеспечение связности с максимальным числом внешних сетей.
На этом уровне используются надежные и производительные маршрутизаторы. Максимальная проектная емкость каждого узла обработки трафика - 1400 Гбит/с, возможности быстрого расширения без перехода на порты 100GbE и изменения существующей топологии связности с внешними сетями - 440 Гбит/с.
- Резервированный кластер пакетной обработки (слой пакетной обработки):
Основная задача - распределенная проверка трафика на уровнях 3-4 модели OSI в условиях сверхвысоких пакетных нагрузок и суммарных объемов входящего потока в 100-200 Гбит/с на каждой точке присутствия.
Данный слой состоит из нескольких (2-5, в зависимости от точки присутствия) взаимно-резервированных устройств, производящих проверку пакетного трафика методами DPI. Используемые алгоритмы разработаны непосредственно инженерами компании DDoS Guard.
Необходимо обратить особое внимание на то, что проверка трафика и маршрутизация его конечному потребителю происходит непосредственно в точке приема, что сокращает задержки до минимума и создает дополнительные возможности резервирования.
- Резервированный кластер обработки запросов уровня приложения (слой приложений):
Основная задача - реализация методов проверки запросов уровней 5+ модели OSI - HTTP, HTTPs, DNS, SMTP и так далее. Здесь же происходит расшифровка, проверка и шифрование HTTPs-трафика.
Слой резервируется независимо от пакетной обработки и маршрутизации и не теряет работоспособности вплоть до полного выхода из строя всех узлов.
Примеры успешно отраженных атак в виде графиков загрузки каналов:
Сейчас, в рамках партнерства REG.RU и DDoS Guard, поддерживается защита от атак типа
ICMP flood, TCP SYN flood, TCP-malformed, UDP flood, DNS query flood. В ближайшее время планируется поддержка защиты от атак HTTP/HTTPS flood.
Защищенные VDS используют кластер серверов под управлением OpenStack. Благодаря динамическому распределению ресурсов между физическими серверами обеспечивается корректная работа сервиса даже при возникновении проблем на отдельных машинах. Для данных используется сеть хранения на SSD-дисках под управлением ceph, позволяющая исключить потерю информации при выходе из строя отдельных носителей или серверов. Непосредственно виртуализация обеспечивается гипервизором KVM. За счет использования высокопроизводительных серверов, большой пропускной способности интерфейсов, а также системы фильтрации, достигается максимальный аптайм
Весь трафик, направленный на VDS, обрабатывается системой защиты на 3-4 уровнях модели OSI, что обеспечивает защиту от DDoS-атак, направленных на переполнение канала и исчерпание ресурсов.
При использовании VDS для размещения веб-сайтов клиент так же может подключить защиту HTTP / HTTPS трафика, которая обеспечит анализ и обработку аномальных запросов к веб-серверу, а также весь комплекс сервисов по оптимизации и доставке веб-трафика.
Технологические возможности услуги:
Постоянная защита от всех известных видов DDoS-атак
Персональный IP-адрес
Управление питанием VDS
Возможность изменения операционной системы
Широкий выбор операционных систем для установки
Доступ к терминалу сервера напрямую из личного кабинета
Использование SSD накопителей для всех VDS
10 Гбит/с канал с неограниченным трафиком
Возможность изменения аппаратной конфигурации сервера без потери данных
Подключение услуги в течение трех минут
Возможности обработки, оптимизации и доставки веб-трафика:
Анализ и обработка веб-трафика HTTP / HTTPS
Кэширование и доставка статического контента (CDN)
Web Application Firewall (WAF)
Предоставление бесплатного сертификата от Let’s Encrypt
Управление белыми и черными списками для доменов
Защита поддоменов
Поддержка HTTP/2 и TLS 1.3
Просмотр аналитики запросов в реальном времени
Размещение записей на защищенных DNS-серверах
Управление услугой через личный кабинет и API
Защищенный VDS от DDoS-GUARD идеально подойдет растущим проектам, которым уже недостаточно ресурсов, предоставляемых на хостинге. В таких ситуациях мы рекомендуем переезд на VDS с уже установленной панелью управления сайтом. А при дальнейшем росте проекта наши клиенты смогут заказывать увеличение вычислительных ресурсов VDS по мере необходимости — без переноса или потери данных.
VDS от DDoS-GUARD могут быть использованы для любых сервисов, требующих расположения в защищенной отказоустойчивой инфраструктуре. Клиент получает полную свободу в конфигурации программного обеспечения сервера и возможность точной настройки сервера в соответствии с его требованиями. Данная услуга идеальна для специалистов, которые желают получить максимальный контроль над операционной системой для выполнения нестандартных задач.
Возможность выбора операционной системы и установки любого ПО
Возможность выбора панели управления сервером
Быстрое изменение характеристик VDS без потери данных
Огромный выбор бесплатных опций для ускорения доступа к размещенным на VDS веб-сайтам
Все необходимые инструменты для управления, защиты и ускорения сайта в личном кабинете
Онлайн аналитика посещений и запросов в личном кабинете
Отсутствие затрат на обслуживание инфраструктуры, используемой проектом
Отсутствие ограничений по трафику
Заказать услугу можно напрямую на сайте или из личного кабинета с помощью пункта "Добавить услугу". После заказа в течение нескольких минут предоставляется доступ к полностью готовому VDS по SSH или RDP в зависимости от операционной системы.
VDS предоставляется с предустановленной операционной системой по выбору и одним публичным IP-адресом. Клиент может воспользоваться автоматической установкой панели управления сервером. При необходимости установки дополнительного ПО, выделения IP-адресов или смены существующего адреса, а так же при возникновению вопросов Вы можете обратиться к специалистам нашей службы поддержки.
Для наших клиентов доступны две линейки тарифов для VDS: Light и Prime.
VDS Light подходят для размещения небольших проектов, размещение которых не требует существенных ресурсов.
VDS Prime подходят для требовательных к ресурсам проектам и позволяет достичь максимальной производительности, а так же защитить неограниченное количество доменов.
При возникновении вопросов при выборе тарифного плана, оформления заказа или настройки услуги, клиент может обратиться к специалистам нашей службы поддержки с помощью раздела "Поддержка", доступного в личном кабинете.
