Защита от DDoS

DDoS означает Distributed Denial of Service — распределённая атака на отказ в обслуживании. DDoS-атакой называется нарушение функционирования атакуемой машины путём отправки на неё запросов с многочисленных хостов.

Благодаря нашим коллегам из Selectel нашим клиентам доступна услуга  по защите от DDoS-атак.

Система защиты от DDoS

Используемая система защиты от DDoS включает не один, а несколько программно-аппаратных комплексов, в том числе Arbor Pravail и F5. Очистка и анализ трафика осуществляются непосредственно в сети при помощи специализированных программных инструментов.

Эта система обеспечивает защиту от следующих видов атак:

  • TCP-флуд;
  • SYN-флуд;
  • нелигитимные комбинации TCP-флагов;
  • атаки на TCP-сессии типа TCP Idle, Slow TCP и другие;
  • атаки на HTTP-сессии (Slowloris, Pyloris и т.п.);
  • HTTP-флуд;
  • DNS-флуд;
  • DNS Cache Poisoning;
  • UDP-флуд;
  • ICMP-флуд;
  • атаки IP-, TCP и UDP-фрагментами;
  • атаки на VoIP и SIP.

В случае обнаружения атак могут быть использованы следующие противомеры:

  • Invalid packet List — фильтрация пакетов, не соответствующих RFC;
  • создание чёрных и белых список IPv4- и IPv6-адресов;
  • GeoIP Filter Lists — фильтрация трафика по странам (блокирует трафик из стран, откуда приходит наибольшее число DDoS-атак).
    GeoIP Policing — полисинг трафика по странам (мониторинг входящего трафика и ограничение трафика из стран, откуда приходит наибольшее количество DDoS-атак);
  • Flexible Zombie Detection — выявление зомби и создание профилей легитимного трафика;
  • TCP SYN Authentication — противодействие TCP-флудам посредством аутентификации клиента;
  • DNS Authentication — противодействие DNS-флудам посредством аутентификации клиента;
  • DNS Scoping — валидация DNS-запросов с помощью регулярных выражений;
  • DNS Malformed — проверка DNS-запросов на соответствие RFC;
  • DNS Rate Limiting — ограничение количества DNS-запросов с одного IP-адреса (подойдёт лишь для ресурсов с небольшой посещаемостью: в нашей стране провайдерами очень часто используется NAT. Вполне типичным является случай, когда «серая» подсеть /16 выходит в Интернет через один IP, и все DNS-запросы идут с одного адреса);
  • DNS NXDomain Rate Limiting — валидация DNS-ответов. Эта противомера предназначена для атак, при которых кэш DNS-серверов переполняется невалидными записями; она направлена на отслеживание запросов с несуществующим DNS-именем;
  • DNS Regular Expression — фильтрация DNS-запросов по регулярным выражениям;
  • TCP Connection Reset — предотвращение слишком долгих TCP-соединений;
  • Payload Regular Expression — фильтрация трафика посредством регулярного выражения применительно к Payload- пакетам;
  • HTTP Malformed — блокирование HTTP-трафика, не соответствующего RFC;
  • HTTP Rate Limiting — ограничение количества HTTP-запросов с одного IP-адреса;
  • HTTP Scoping — валидация HTTP-запросов с помощью регулярных выражений;
  • SSL Negotiation — блокирование SSL-трафика, не соответствующего RFC;
  • AIF and HTTP/URL Regular Expression — наложение сигнатур AIF на исследуемый трафик;
  • SIP Malformed — блокирование SIP-трафика, не соответствующего RFC;
  • SIP Request Limiting — ограничение количества SIP-запросов с одного IP-адреса.

На виртуальном хостинге услуга подключена автоматически, для клиентов VDS и выделенных серверов услуга заказывается дополнительно

Преимущества при размещении ваших сайтов у нас

CloudLinux

Надежная операционная система с изоляцией пользователей

Версии PHP для сайта

5.2, 5.3, 5.4, 5.5, 5.6 и 7.0

SSD диски

Высокая скорость работы сайтов достигается благодаря дискам SSD

Почта без спама

Антивирусная и антиспам защита почты

ISPmanager 5 Business

Удобная панель управления хостингом

Перенос сайтов

Бесплатно перенесем ваши сайты на наш хостинг

Бэкап

Бесплатное ежедневное резервное копирование

Круглосуточная поддержка

Квалифицированный персонал

Программа лояльности

Чем дольше вы являетесь нашим клиентом, тем меньше стоимость услуг