Anti-DDoS (защита от Distributed Denial of Service) — набор технологий для поглощения и фильтрации паразитного трафика, направленного на перегрузку сервера или сети. Атаки работают на разных уровнях: L3 (volumetric — флуд пакетами), L4 (SYN flood), L7 (HTTP flood — имитация легитимных запросов).
Как работает
При обнаружении аномалии (резкий рост трафика, нетипичные паттерны запросов) трафик перенаправляется в scrubbing-центр через BGP anycast или GRE-туннель. Scrubbing-центр фильтрует паразитный трафик и возвращает только чистый на исходный сервер.
Технологии фильтрации: rate limiting по IP и User-Agent, CAPTCHA/JS-challenge для HTTP-запросов, проверка TCP handshake (SYN cookie), BGP blackhole для блокировки /32 источников, IP reputation базы данных.
Cloudflare обрабатывает атаки мощностью до 321 Тбит/с (2023). Крупнейшая зафиксированная атака — 3,47 Тбит/с на Microsoft Azure в ноябре 2021 года.
История
Первые крупные DDoS-атаки зафиксированы в 1999-2000 годах (атаки на Yahoo, Amazon, eBay). Коммерческие Anti-DDoS-сервисы появились в 2000-2004 годах: Arbor Networks (2001), Prolexic (2003). В 2012 году Cloudflare вывел DDoS-защиту на массовый рынок, включив базовую защиту в бесплатный тариф.
Уровни защиты
- L3/L4 (volumetric): фильтрация на уровне провайдера, BGP blackhole, scrubbing.
- L7 (application): WAF, rate limiting, JS/CAPTCHA challenge, анализ заголовков.
- On-premise: оборудование Radware, ARBOR перед сервером в стойке.
- Cloud-based: Cloudflare, Akamai, AWS Shield — без оборудования клиента.
Связь с хостингом
Большинство провайдеров VPS и выделенных серверов включают базовую L3/L4-защиту в тариф. Защита L7 — отдельная опция или сторонний сервис (Cloudflare). При атаке мощностью >10 Гбит/с хостер применяет null route (blackhole) для атакованного IP, полностью отключая его доступность.
Ключевые отличия от похожих терминов
DoS (Denial of Service) — атака с одного источника. DDoS — с тысяч источников одновременно (ботнет). WAF фильтрует запросы на уровне приложения, но не поглощает volumetric-атаки. Anti-DDoS охватывает оба уровня.
Уровни защиты от DDoS
L3/L4 (сетевой/транспортный): фильтрация по IP, UDP/TCP flood. Обеспечивается провайдером и операторами scrubbing-центров. L7 (прикладной): HTTP-flood, slowloris, CC-атаки. Требует анализа содержимого запросов. Комплексная защита нужна на обоих уровнях.
Провайдеры Anti-DDoS
Cloudflare: пропускная способность 81 Тбит/с. Qrator (Россия): специализируется на очистке трафика, BGP-анонсирование. DDOS-Guard (Россия): до 3 Тбит/с очистки. StormWall. Для хостинг-провайдеров: Voxility, Path.net. Стоимость: от $20/мес (Cloudflare Pro) до корпоративных тарифов.
Настройка Anti-DDoS на уровне сервера
Fail2ban — блокировка IP по логам. CSF — комплексный фаервол с rate limiting. Nginx: limit_req_zone ограничивает RPS по IP. HAProxy — rate limiting и circuit breaker. Эти меры снижают нагрузку от мелких атак, но не заменяют upstream-защиту.
DDoS Mitigation на уровне приложения
Nginx rate limiting: limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s. Fail2ban анализирует access.log. Cloudflare Bot Management — ML-классификация трафика. captcha/challenge при подозрительных паттернах. Custom rules по User-Agent, referer, request rate.