Обзор DDoS-GUARD
Обзор посвящен сервису DDoS-GUARD от одноименной компании. Компания DDoS-GUARD — лицензированный российский провайдер защиты от DDoS-атак, предоставляющий услуги защиты по модели SaaS. В обзоре подробно рассмотрены возможности DDoS-GUARD, варианты подключения и работа с сервисом. Мы провели боевое тестирование сервиса на собственном сайте и выявили достоинства и недостатки DDoS-GUARD в борьбе с DDoS-атаками.
Сертификат AM Test Lab
Номер сертификата: 187
Дата выдачи: 25.04.2017
Срок действия: 25.04.2022
Введение
DDoS-атакам подвержены любые организации — государственные учреждения, СМИ, банки, интернет-магазины и многие другие.
Цель DDoS-атаки — сделать веб-сайт или IT-инфраструктуру компании недоступными для использования. Нападение осуществляется отправкой большого количества запросов с зараженных устройств (ботов), действующих по команде злоумышленников. Инфраструктура жертвы зачастую не выдерживает нагрузки, превышающей норму на несколько порядков, и выходит из строя. DDoS-атака может привести к множеству негативных последствий для компании, основным из которых является недоступность основных сервисов для клиентов. Кроме того, DDoS-атаки могут использоваться как отвлекающий маневр для сокрытия других действий злоумышленников при осуществлении сложных целевых атак.
Количество, мощность и сложность DDoS-атак с каждым годом неуклонно растет. Согласно годовому отчету DDoS-GUARD за 2016 год, сервисом было зафиксировано 47933 DDoS-атак. Средняя мощность атак на серверы была 1,33 Гбит/с, при этом максимальная нагрузка достигала 293 Гбит/с. Россия в рейтинге «жертв» занимает второе место (25%) уступая первенство Китаю (39%). В мире больше всего страдает индустрия развлечений, профессиональные организации, сфера образования, ИТ и ритейл.
Справиться с DDoS-атаками своими силами очень сложно. Поэтому в данной области сформировался отдельный рынок решений и услуг, о котором мы уже рассказывали в статье «Защита от DDoS — обзор мирового и российского рынка». Защита от DDoS-атак может строиться одним из двух основных способов — собственными силами с использованием специализированных решений или путем заказа услуги по защите в специализированной компании по модели SaaS (Security as a Service). В данном обзоре мы расскажем о сервисе DDoS-GUARD от одноименной компании, предоставляющей услуги по защите от DDoS-атак.
Функциональные возможности DDoS-GUARD
DDoS-GUARD — российский провайдер защиты от DDoS-атак, обладающий лицензией в области связи, выданной Роскомнадзором. DDoS-GUARD присутствует на рынке с 2011 года и имеет обширную базу клиентов в России и по всему миру. Сервис DDoS-GUARD — система фильтрации трафика, состоящая из собственной высокопроизводительной распределенной физической сети фильтрующих узлов, подключенной к интернету посредством высокоскоростных каналов связи. Кластеры фильтрации расположены в России, Нидерландах, Германии, Японии, США и Китае.
Существующая топология позволяет:
Канальные мощности позволяют обрабатывать трафик огромных объемов. Общая канальная емкость сети, анонсируемая компанией, — более 1,5 Тб/с.
Трафик клиентов, подключивших защиту, перенаправляется на ближайшую точку фильтрации, где зловредный — блокируется, а легитимный отправляется на клиентский ресурс. Геораспределение в данном случае — очень важный момент, именно оно позволяет минимизировать задержки трафика. Все происходит автоматически, клиенту надо только изначально выставить правильные настройки межсетевого экрана. Благодаря современному оборудованию конечный пользователь не замечает никаких задержек в загрузке сайта. В качестве бесплатного, но достаточно важного дополнения предлагается сервис CDN, который подразумевает кэширование контента со всеми преимуществами.
DDoS-GUARD работает на фильтрах собственной разработки, что позволяет установить приемлемые цены, соответствующие рынку.
Сервис отражает множество классов атак, например: IP malformed, ICMP flood, UDP flood, TCP flood, SlowLoris, HTTP flood.
Варианты подключения сервиса DDoS-GUARD
Воспользоваться защитой можно без смены хостинга или с переносом на защищенный хостинг DDoS-GUARD, а также взять в аренду сервер в защищенной сети DDoS-GUARD или защитить свою сеть через услугу «Защищенный IP-транзит». Рассмотрим предлагаемые варианты подключения сервиса DDoS-GUARD подробнее.
Удаленная защита веб-сайтов
Удаленная защита веб-сайтов осуществляется по технологии Reverse Proxy. Клиент перенаправляет трафик (меняет А-записи DNS) на кластеры фильтрующих серверов DDoS-GUARD, и после обновления записей в корневых DNS-серверах трафик к клиенту начинает идти через систему очистки DDoS-GUARD.
Рисунок 1. Удаленная защита веб-сайтов по технологии Reverse Proxy
Перенос веб-сайта на безопасный хостинг DDoS-GUARD
Если кроме защиты от DDoS необходим надежный отказоустойчивый хостинг, то можно выбрать вариант перемещения ресурса на площадку DDoS-GUARD. Например, может возникнуть техническая проблема (не DDoS-атака) у стороннего хостинг-провайдера, где размещается защищаемый ресурс — он может оказаться недоступным.
Аренда виртуального выделенного сервера с защитой — подходящий вариант для тех, кто не хочет подвергать свой ресурс риску из-за атак на соседние ресурсы. Кроме того, есть возможность арендовать через DDoS-GUARD физический сервер.
Дополнительные опции DDoS-GUARD
CDN (сеть доставки контента) — позволяет оптимизировать доставку контента в интернете до конечных пользователей. Использование сети повышает скорость загрузки цифрового контента в зонах присутствия. CDN имеет точки в Нидерландах, Германии, США, России и Японии. Сервис доступен на всех тарифах.
Рисунок 2. Сеть доставки контента DDoS-GUARD
Фильтрация DNS — если DNS-сервер подвергается DDoS-атаке, его можно защитить путем размещения на защищенном DNS DDoS-GUARD, на защищенной VDS или выделенном сервере.
Кэширование данных — позволяет сохранять статический контент клиентского сайта на сервере DDoS-GUARD и передает его пользователю сам, без обращения к защищаемому серверу. Тем самым снижается нагрузка на целевой ресурс, что ускоряет скорость передачи данных. Статические данные клиентского сайта — это графика, аудио, архивы, форматы шрифтов и пр.
Рисунок 3. Кэширование данных на северах DDoS-GUARD
Корпоративным клиентам, обладающим собственной вычислительной инфраструктурой, предлагаются услуги по защите сети. Услуга защиты сети будет интересна владельцам мультисервисных сетей, т. е. сетей с разнородным трафиком. В рамках этой услуги в базовом варианте обеспечивается защита сети на 2-4 уровнях по модели OSI. В расширенном варианте доступна опция защиты от вредных HTTP-ботов (опция L7-фильтрации).
Способов подключения к DDoS-GUARD масса: от логических линков (виртуальных туннелей и VPN) до физических линий.
Рисунок 4. Подключение к DDoS-GUARD через виртуальный туннель
В большинстве случаев выделенный логический или физический канал предпочтительнее, чем виртуальный туннель через общедоступную сеть, поскольку на сетях промежуточных операторов туннельный трафик будет пропускаться с минимальным приоритетом. Для клиента это может означать негарантированную доступность и непредсказуемые параметры канала (среди которых задержки, потери, джиттер, фрагментация и др.), т. е. снижение качества услуги.
Рисунок 5. Подключение к DDoS-GUARD через логический канал
Будучи заинтересованными в предоставлении качественного сервиса своим клиентам, DDoS-GUARD предлагает организовать прямое подключение к сети фильтрации DDoS-GUARD в одной из точек присутствия или логический канал через сеть одного из операторов-партнеров.
Рисунок 6. Подключение к DDoS-GUARD через физический канал
Для доставки клиентского трафика можно использовать протокол динамической маршрутизации BGP или статическую маршрутизацию, если клиенту удобнее использовать IP-адреса DDoS-GUARD.
Для использования BGP обязательным условием является наличие у клиента собственной автономной системы (AS) или блока провайдеро-независимых адресов (PI-адреса). В случае организации защиты сети через BGP схема включения будет выглядеть следующим образом:
Рисунок 7. Схема организации защиты сети при наличии у клиента собственной AS
Если у клиента нет своей автономной системы, DDoS-GUARD может предоставить блок статических адресов в аренду. Тогда схема подключения будет выглядеть так:
Рисунок 8. Схема организации защиты сети при отсутствии у клиента собственной AS
В качестве бесплатной опции DDoS-GUARD предлагает своим клиентам и партнерам, сети которых присоединены к сети DDoS-GUARD, организовать пиринг — обмен трафиком между своими сетями по протоколу BGP. Дополнительным преимуществом пиринг-партнера DDoS-GUARD является возможность отдачи атакующего трафика, генерируемого в сети партнера, напрямую в сеть DDoS-GUARD, минуя аплинки и трафикообменные площадки. Это преимущество позволяет партнерам сокращать издержки на закупку каналов и минимизировать риски переполнения стыков с другими операторами, тем самым снижая вероятность потери легитимного трафика.
Рисунок 9. Организация пиринга
Тестирование сервиса DDoS-GUARD
Чтобы воспользоваться услугами DDoS-GUARD, необходимо пройти процедуру регистрации на сайте.
Рисунок 10. Регистрация в DDoS-GUARD
После регистрации становится доступен «Личный кабинет». Панель полностью русифицирована и имеет интуитивно понятный интерфейс, реализована англоязычная версия для иностранных клиентов.
Рисунок 11. «Личный кабинет» в DDoS-GUARD
Через «Личный кабинет» можно:
Отметим, что служба технической поддержки работает круглосуточно. Для получения ответов на возникшие вопросы предусмотрена форма обратной связи посредством тикетов и активного чата. Служба поддержки реагирует достаточно быстро, все вопросы решаются грамотно и оперативно.
Кроме того, сайт насыщен различной полезной информацией: например, есть подробные инструкции о том, как подключить услуги и сделать необходимые настройки, уникальная база знаний, где можно узнать обо всех существующих сегодня типах атак и способах борьбы, с простыми и понятными иллюстрирующими схемами.
Подобрать подходящий вариант защиты можно несколькими способами. Например, заполнить форму-анкету о ресурсе, чтобы система автоматически направила на страницу с наиболее подходящим тарифом, или обратиться к онлайн-консультанту в чат, или позвонить на горячую линию.
В «Личном кабинете» можно настроить профиль, изменить пароль, контактный телефон и другую персональную информацию. Панель полностью русифицирована и имеет интуитивно понятный интерфейс, реализована англоязычная версия для иностранных клиентов.
Для тестирования возможностей сервиса DDoS-GUARD мы выбрали услугу «Удаленная защита веб-сайтов» с тарифом Normal, который наиболее выгоден коммерческим сайтам, интернет-магазинам, малому бизнесу, игровым форумам. Отметим, что DDoS-GUARD предлагает бесплатный тестовый период, чтобы оценить защиту и определиться, какая полоса трафика необходима. При этом если в процессе работы легитимный трафик будет значительно превышать показания, заложенные в условиях тарифа, можно сменить его на более подходящий.
Рисунок 12. Выбор услуги и тарифа DDoS-GUARD
После выбора услуги и тарифа необходимо оформить заказ и заполнить информацию о защищаемом ресурсе (защищаемый домен, целевой IP, наличие SSL, защита поддоменов). Для теста мы выбрали один из наших веб-сайтов: www.datacenterexpert.ru.
Рисунок 13. Оформление заказа услуги в DDoS-GUARD
После оформления заказа для нашего сайта DDoS-GUARD выделил защищенный IP-адрес. Затем необходимо сменить A-записи домена в DNS. Смена осуществляется у регистратора доменов в редакторе DNS или же на специализированном сервисе поддержки DNS-записей доменов. Это нужно для того, чтобы трафик защищаемого сайта направлялся через систему фильтрации DDoS-GUARD. При использовании SSL-шифрования в личном кабинете в разделе «Управление Proxy» необходимо добавить файлы сертификатов и ключ. Также в разделе «Управление Proxy» можно создать черные и белые списки IP-адресов. На этом настройка заканчивается.
Рисунок 14. «Управление Proxy» в DDoS-GUARD
При переходе в раздел «Панель DDoS-GUARD» мы попадаем в дашборд, позволяющий в реальном времени видеть процесс обработки данных и самостоятельно оценить нагрузку на свой ресурс.
Первая диаграмма отображает количество запросов и количество заблокированных IP.
На втором графике отображается время запроса и время приема-передачи (RTT).
Третий — тепловая карта количества запросов.
Четвертый отображает ТОП городов/стран — источников трафика.
Рисунок 15. Просмотр статистики трафика защищаемого ресурса в панели DDoS-GUARD (дашборд)
Каждая атака, отражаемая системой защиты, визуализируется и может наблюдаться в режиме реального времени. Во время DDoS-атаки на наш сайт на графиках наблюдался аномальный рост показателей.
Рисунок 16. Начало DDoS-атаки на веб-сайт datacenterexpert.ru
В 12:51 (начало атаки) был зафиксирован пик нагрузки: выросло количество запросов, увеличилось время отклика сервера и число заблокированных IP. Далее значения снизились.
Рисунок 17. Визуализация статистики при осуществлении DDoS-атаки на веб-сайт datacenterexpert.ru
Атака на веб-сайт datacenterexpert.ru длилась 1,5 часа и успешно была отражена сервисом DDoS-GUARD.
Рисунок 18. Визуализация статистики при осуществлении DDoS-атаки
Выводы
Компания DDoS-GUARD — лицензированный российский провайдер защиты от DDoS-атак, предоставляющий услуги защиты по модели SaaS. Наличие у DDoS-GUARD собственной инфраструктуры фильтрующих станций с огромными канальными мощностями (емкостью более 1,5 Тб/с) от крупнейших магистральных операторов позволяет отражать мощные DDoS-атаки, а современное надежное оборудование и инновационное программное обеспечение гарантируют высокий уровень обслуживания.
DDoS-GUARD является одним из лидеров в борьбе с DDoS-атаками и крайне тщательно подходит к вопросам безопасности. Компания предлагает несколько вариантов подключения защиты. Можно воспользоваться услугами удаленной защиты с помощью проксирования (без смены хостинга), а если кроме защиты от DDoS-атак необходим надежный отказоустойчивый хостинг, то можно выбрать вариант перемещения ресурса на площадку DDoS-GUARD. Защиту можно подключить минимум на месяц, при этом возможно подключение защиты на сутки в режиме trial (бесплатного теста), чтобы оценить, какая полоса трафика необходима. Оперативное подключение услуги позволяет организовать защиту ресурса всего за 10 минут.
Отметим, что в схеме защиты без смены текущего хостинга есть ряд нюансов: атакующие могут заранее знать IP-адрес защищаемого ресурса или же вычислить его в DNS history по имени домена. Таким образом, сервер можно будет атаковать по IP-адресу. Смена IP-адреса у хостинг-провайдера тоже не всегда помогает: конечно, атакующие не смогут найти ресурс напрямую, но если сайт представляет большой интерес для злоумышленников, они могут «положить» хостинг вместе с защищаемым ресурсом целиком. В данном случае целесообразнее всего будет смена хостинга. В свою очередь DDoS-GUARD предлагает воспользоваться услугами защищенного хостинга, виртуального или выделенного сервера.
Преимущества:
Недостатки:
DDoS-Guard Россия
✓ Защита и ускорение сайтов
Показать полностью.
✓ Защита сетевой инфраструктуры
✓ Предоставление защищенных выделенных серверов, VDS и хостинга
✓ Разработка уникального ПО и сервисов, основанных на алгоритмах машинного обучения
По данным RIPE, DDoS-GUARD занимает первое место среди сервисов защиты от информационных атак в России.
Программное обеспечение собственной разработки «DDoS-GUARD Protection» официально зарегистрировано как средство обеспечения информационной безопасности в Едином реестре российских программ для электронных вычислительных машин и баз данных.
Среди клиентов компании DDoS-Guard –– ISPsystem, Selectel, Ucoz, Reg.ru, hh.ru, ТТК, Банк России, Аргументы и Факты, ТВ-холдинг НТВ и т.д.
DDoS-Guard Россия запись закреплена
Как защитить свой интернет-магазин в день всемирной распродажи?
Совсем скоро «11.11» – самая масштабная распродажа в году. В этот день посещаемость интернет-магазинов и маркетплейсов намного выше, чем обычно. Не все справляются с такой нагрузкой и теряют доход.
Показать полностью.
В разгар распродажи конкуренты не сидят без дела. Они заказывают DDoS-атаки и ботов, которые скликивают рекламу на вашем сайте и оформляют фейковые заказы, нагружая систему. В итоге, вместо огромной прибыли вы получите огромные убытки. Всего этого можно избежать при помощи 2-х отличных решений: «Защита и ускорение сайтов» + «Bot Mitigation».
DDoS-Guard Россия запись закреплена
DDoS-Guard Россия запись закреплена
Важной частью нашей компании является не только хорошая работа, но и хороший отдых!
На прошедших выходных наша дружная команда отмечала своё 11-летие. За это время мы помогли обеспечить защиту десяткам компаний и хостингов, большинство из которых по сей день являются нашими клиентами. Каждый день мы совершенствуем свой продукт и неотъемлемой частью слаженной работы является совместный отдых в неформальной обстановке.
У всех сотрудников разные интересы: кто-то любит активный отдых, а кто-то предпочитает живое общение и совместное решение задач. Чтобы никто не заскучал, у нас была насыщенная программа на открытом воздухе. Мы играли в квест «на выживание», разгадывали загадки, плавали на байдарках, готовили шашлыки, а вечером слушали концерт кавер-группы, которая исполняла рок-хиты. Завершением этого насыщенного дня стал запуск красивых салютов.
Программой остались довольные все. Как любители поплавать и по участвовать в квестах, так и те, кто обожает уютные посиделки в кругу интересных людей. Все сотрудники унесли с собой море впечатлений, которыми делились на протяжении всей недели. А теперь, мы снова погружаемся в рабочий процесс с приятными воспоминаниями о насыщенных выходных)
DDoS-GUARD: когда мировая слава не в радость
Информацию о том, что заблокированная Parler смогла частично восстановить свою работу с помощью российской компании, 19 января распространило агентство Рейтер со ссылкой на эксперта по IT-инфраструктуре Рональда Гилметта ( Ronald Guilmette), который заметил, что новый IP-адрес Parler принадлежит DDoS-GUARD.
Вслед за Рейтер новость подхватили и другие издания. Но внимание зарубежной прессы к DDoS-GUARD оказалось специфическим: ростовского провайдера заподозрили и в пособничестве трампистам, которые в ходе акций протеста в начале января ворвались в здание Капитолия и вступили в стычки с полицией; и в сотрудничестве с фишинговыми и связанными с киберпреступностью сайтами; и в поддержке ресурсов, продвигающих идеи расистского и правого толка, а также теории заговора, вроде QAnon. Ну и куда же без связей с властями: конечно DDoS-GUARD не преминули упрекнуть за то, что она якобы сливает данные клиентов российским госструктурам.
Перед тем, как углубляться в тему, приведем немного официальных данных о DDoS-GUARD или ООО ″ДДОС-ГВАРД″, как она зовётся в России. Компания основана в 2011 году Евгением Марченко и Дмитрием Сабитовым. Головной офис фирмы находится в Ростове-на-Дону. DDoS-GUARD предоставляет услуги фильтрации трафика для защиты от DDoS-атак розничным и корпоративным клиентам на базе собственной сети фильтрующих узлов, расположенных в Нидерландах, России, Казахстане, Китае и США. Также компания выступает в качестве провайдера услуг защищенного хостинга.
По данным RIPE, DDoS-GUARD входит в топ-15 провайдеров связи в России и занимает первое место среди специализированных сервисов защиты от информационных атак.
По поводу последних событий в DDoS-GUARD заявляют, что Parler действительно числится их клиентом, но отрицают, что предоставляют хостинг популярной у сторонников Трампа соцсети.
Также в сообщении отмечается, что Parler не нарушает правила использования DDoS-GUARD и действующее законодательство США, поэтому компания не намерена препятствовать оказанию услуг клиентам, пока те не нарушают нормы права стран, в которых юридически находятся.
На своей странице в Facebook компания разместила отдельное сообщение, в котором опровергает обвинения в передаче данных российским госструктурам.
″Это совершенно не так. Во-первых, политика конфиденциальности не позволяет нам передавать данные клиентов. Во-вторых, мы не храним никакую информацию о клиенте помимо личных данных, которые клиент вносит при регистрации на нашем сайте. В том числе это могут быть неактуальные данные. Например, вымышленное имя или номер телефона.
По запросу Nag.Ru в ростовской компании также поделились предысторией скандала в США, в центре которого DDoS-GUARD оказалась.
В DDoS-GUARD пошли на встречу CoreSite и прекратили предоставление услуг связанному с ″Хамас″ клиенту, несмотря на действующую в США статью 230 закона об этике в сфере коммуникаций. Согласно ей, ″ни один поставщик или пользователь интерактивной компьютерной услуги не должен рассматриваться в качестве издателя или носителя любой информации, предоставленной другим поставщиком информационного контента″.
На этом в DDoS-GUARD посчитали инцидент исчерпанным, но утром 7 января 2021 года на их электронную почту снова пришло письмо от CoreSite. В нем говорилось, что с 8 января питание для арендованной DDoS-GUARD стойки будет отключено, а оборудование демонтировано. При этом американцы обвинили своих российских партнеров в обслуживании других сайтов, близких к организации ″Хамас″. В попытке урегулировать ситуацию DDoS-GUARD отправила 6 писем с объяснениями, но ни на одно из них так и не получила ответ. В итоге компании пришлось закрыть узел фильтрации трафика в Лос-Анджелесе.
Спустя пару дней в компании начали понимать, почему в CoreSite не пошли на диалог, когда обнаружили в Сети статью известного американского исследователя киберпреступлений Брайана Кребса. В своем материале, опубликованном на сайте Krebsonsecurity, кибер-аналитик компрометирует DDoS-GUARD и называет ее ″изворотливой российской фирмой″, которая предоставляет услуги не только террористической группировке ″Хамас″, но и сайту сторонников конспирологической теории QAnon и скандальному имиджборду 8chan, на котором активно обсуждался захват Капитолия сторонниками Трампа.
В DDoS-GUARD видят за этой публикацией политические мотивы и стремление найти пресловутый ″русский след″.
Несмотря на нынешние трудности, DDoS-GUARD намерена остаться в США и собирается открыть узел фильтрации на восточном побережье Северной Америки, чтобы в полной мере обслуживать клиентов из стран Нового Света.
В своих пресс-релизах DDoS-GUARD неоднократно подчеркивает, что придерживается позиции сетевого нейтралитета, и что ни один провайдер не несет ответственность за контент клиента.
В DDoS-GUARD отметили, что в Соединенных Штатах есть официальный список террористических и запрещенных организаций, но названий 8chan и Qanon в нем нет, плюс, отсутствует перечень доменов, поддоменов и дочерних сайтов, которые подлежат блокировке или запрету на территории страны.
Кроме того, клиенты нередко переделывают сайты и их содержимое: изначально под защиту может встать онлайн-магазин мягких игрушек, а через месяц он уже продает алкоголь.
В компании называют сложившуюся ситуацию абсурдной.
″Мы не про политику. Мы – про защиту сайтов и про безопасный интернет. Мы не хотим делать выводы относительно предвзятого отношения к российской компании, однако, мы не можем игнорировать тот факт, что русский бизнес в Америке дискредитируют. Например, CoreSite попросил нас покинуть дата-центр якобы из-за поддержки организации Х., которую мы исключили еще в ноябре 2020-го. Но при этом наши коллеги из Sucuri (дочерняя компания американской GoDaddy) с ноября 2020 года предоставляют услуги той же организации Х. с тех пор, как мы перестали с ними сотрудничать. Но Брайан Кребс не упустил возможность сказать о том, что именно РОССИЙСКАЯ ″изворотливая″ компания нарушает баланс и стабильность демократического строя США″.
