2. До запуска CDF
• Ежемесячно в Рунете «роняли» тысячу сайтов с
помощью DDoS-атак.
• Ни один организатор DDoS-атак ни разу в
истории России не был привлечен к
ответственности.
• Ценовая категория - развлечение. Сходить в
ресторан, заказать девушку или уронить сайт
конкурента на несколько дней? Хм…
• Превентивная защита стоит от $300 в месяц, а
отсутствие – не меньше (если атака случится).
3. До запуска CDF
Перешел кому-то дорогу?
Не хочешь отдавать за «крышу» в
Интернет «лишние» $300 в месяц?
Сотри свой сайт, забейся в угол и заплачь.
Ты бессилен.
4. «МЕЧТА!»
• Сервис превентивной защиты от DDoS без
абонентской платы.
• Время простоя сайта под атакой – считаные
минуты
• Абсолютно эластичен – способен отражать
атаку любой мощности
• Стоимость отражения атаки на порядки
дешевле стоимости самой атаки
5. Проект CDF
• Кластер в Amazon Elastic Cloud. Практически
неограниченная эластичность и устойчивость к атаке на
ширину канала, нулевая себестоимость входящего
трафика (флуда).
• Два режима – ожидание и фильтрация. В режиме
ожидания трафик идет напрямую, мощности и трафик
EC не потребляются – абонентской платы нет.
• Мгновенное переключение в режим фильтрации за счет
DNS с низким TTL.
• Тарификация в зависимости от потребленных ресурсов.
• Передовые технологии фильтрации трафика,
позволяющие значительно снизить себестоимость
решения, при этом отфильтровав 100% трафика.
6. В случае попытки атаки сайт будет быстро (и
даже автоматически, если хотите!)
переведен в режим фильтрации и как ни в
чем не бывало продолжит работу.
Атакующий осознает, что он просто зря
потратил деньги.
А ведь мог бы девушку вызвать или в ресторан сходить.
7. Вы уже поняли, что
«Cloud DDoS Filter» и «Мечта!» – это
одно и то же? Хорошо.
Если интересны технические подробности или просто хочется посмотреть
красивые картинки – это есть на остальных слайдах.
8. Фильтр HTTP-трафика
Трафик из интернетов
распределяется на Управление
VDSы, фильтруется ими и VDS масштабированием
отдается серверу клиента
VDS
DNS Load
Amazon WEB-сервер
balancer
EC2 dynamic клиента
cluster
VDS
Черный
Интернеты
список
9. Элемент кластера
Экземпляр VDS
FIREWALL
Smart
DNS
IDS HTTP
server
proxy
Черный Информация о
список нагрузке
10. Технология фильтрации HTTP
Чуть допиленное, но хорошо известное старое.
В зависимости от успешности атаки (умности ботов), подключаются все более
надежные методы отличить бота от человека. Стоит заметить, что подавляющее
большинство атак будут отфильтрованы даже первыми двумя-тремя пунктами.
1. Большая часть атак производится очень тупыми ботами, которые палятся частотой
и характером запросов (что будет обнаружено IDS и забанено на файрволе).
Безопасно.
2. Если бот просто мусорит GET-запросами, не обрабатывая ответ, то попадется на
301-редиректе и также будет зафильтрован через несколько попыток. Безопасно.
3. Чуть более умные боты не смогут притвориться браузером, правильно обработав
cookie, javascript-код и т.д. Несет некоторую опасность ложного срабатывания, но
это лучше, чем лежащий сайт.
4. Самые умные боты и невидимые окна браузеров будут зафильтрованы капчей (не
обязательно “введите xR0iQ”, а облегченной версией типа «найди медведя на
картине Шукшина»)