Защита от ddos cloudflare – выгодные отличия

Наша компания на рынке защиты от ДДоС атак более 8-ми лет. Мы всегда акцентируем внимание наших клиентов что главным преимуществом работы с нами является индивидуальный подход к каждому. Мы не большая мультимиллионная корпорация. Мы небольшой коллектив профессионалов преданных своему делу. Каждый наш клиент это наш партнер и мы в первую очередь выстраиваем дружеские отношение. А с хорошим отношением и бизнес идет хорошо. У нас конечно же есть конкуренты. Некоторые из них просто самозванцы и реселлеры услуг других, некоторые действительно блестящие компании у которых стоит поучиться. Нередко у новых клиентов возникает вопрос о том что представляет из себя защита от ddos cloudflare и чем мы выгодно отличаемся от них. В этом метериале мы постараемся ответить на подобные вопросы.

Защита от ddos cloudflare

Как построена Защита от ddos cloudflare?

Фильтрующая система защиты от ддос cloudflare построена по принципу перенаправления трафика через собственную систему CDN (Content Delivery Network). Общий принцип работы подобной ddos защиты вы можете увидеть на рисунке:

Image result for cloudflare

Подобный принципы построения имеют наши пакеты удаленной защиты от ддос. Основным преимуществом подобной DDOS защиты является скорость предоставления услуги. Когда ваш сайт становится предметом хакерской атаки и вы не знаете что делать при ддос атаке, вы обращаетесь к нам, и мы в течении 15 минут обеспечиваем туннелирование трафика через наши точки присутствия. Все что требуется от клиента это изменить А-запись DNS сервера и указать выданный нами IP адрес. Ддос атаку примет наше оборудование, после полной очистки вредоносного трафика мы перенаправляем посетителей на ваш сервер. В отличие от защиты от ddos cloudflare данную операцию у нас выполняют люди. Мы визуально оцениваем ДДоС атаку по основным маркерам и принимаем решение о установке оптимальных фильтров.

Чего вы не получите у Cloudflare это человеческого внимания и оценки ситуации. Кроме того бесплатная защита от ддос у Cloudflare имеет один большой недостаток, ее практическое отсутствие. Вы рассчитываете получить бесплатную защиту от DDOS? Ну простите, не стоит вам рассказывать что бесплатно это не означает качественно и вообще возможно ли? Да, вы можете взять бесплатный пакет у Cloudflare и пустить через него свой трафик. Это даст небольшое преимущество в кешировании трафика через CDN. Но ни о какой защите от DDOS здесь речь не идет. Это за деньги, причем не малые, причем без каких либо гарантий. Потому что большинство операций по защите от DDOS у cloudflare выполняет автоматика. И она не обладаем нужными навыками для полной оценки ситуации.

Image result for cloudflare ip address disclosure

Мы предпочитаем постоянный диалог с нашими клиентами во время кризисных ситуаций. Согласитесь – Вам приятно быть в курсе происходящего, знать ситуацию и исходя из этого принимать правильные решения. Мы не отбираем это право у наших клиентов. К тому же кто как ни клиент знает всю специфику работы своего сайта и может подсказать где и в каком месте может возникнуть проблема.

Очень часто покупая защиту от DDOS Cloudflare у сайтов не работает часть функционала и владельцы вынуждены вступать в продолжительное общение с службой тех поддержки и в итоге менять провайдера DDoS защиты.

Известные проблемы защиты от ddos cloudflare.

Давайте рассмотрим типичную ситуацию. Вы владелец интернет бизнеса, вы купили защиту от ддос у Cloudflare и расслабились, так как думаете что ваш сайт как за каменной стеной. Спешим вас разочаровать. Это далеко не так.

Давайте рассмотрим, почему или как можно обойти защиту Cloudflare.

Действительно, при попытке получить ip-адрес сайта по имени домена мы получаем ip-адрес сервиса по защите:

Но нам никто не мешает посмотреть DNS history по данному имени. Заходим на любой сайт, предоставляющий подобную информацию. И что мы видим:

IP AddressLocationIP Address OwnerLast seen on this IP
149.126.xxx.xxxBinghamton — United StatesBlueHost Inc.2015
149.126.yyy.yyyBinghamton — United StatesBlueHost Inc.2015
zzz.zzz.zzz.zzzUnited StatesBlueHost LTD2014

В результате мы видим, что его предыдущий ip-адрес — zzz.zzz.zzz.zzz; более того, теперь мы знаем, что он находится на площадке BlueHost LTD в США (дальше будет понятно, почему это тоже важно). Остается только внимательно посмотреть на сервер, который имеет этот ip-адрес и мы уже точно знаем, что это искомый нами сервер заказчика. Все! Атакуем этот сервер по ip-адресу и заказчик лежит столько – сколько нам надо. На ветер потрачено большое количество денег, но затраты не окупились, защита Cloudflare не работает!

Как ни странно, но ни один из популярных — как на Западе, так и в СНГ сервисов по защите от DDoS — не дает никаких рекомендации по этому вопросу своим клиентам.

Что необходимо делать для надежной защиты сайта от DDoS атак?

Как только вы хоть раз засветили свой ip-адрес в сервисе DNS, вы больше никогда не сможете удалить эту информацию – она всегда будет доступна в DNS history. Более того, вы засветили местоположение своего хостинг провайдера. Хотите полностью обезопасить себя – уходите с этого места. Как только вы остались, ваш сервис будут атакован, если вы представляете хоть какую-нибудь ценность для атакующих.

Рассмотрим, как будут вести себя атакующие и попробуем понять, в зависимости от размера вашего проекта, что нужно делать в этой ситуации.

1) У вас небольшой сайт и вы изначально разместили его у hosting провайдера.

Правильные действия:
– настроить http-server таким образом, что бы он принимал запросы только от ip-адресов защищающего (так вы точно снимите возможность атаки DDoS Layer 7) и сменить ip-адрес (защита от DDoS Layer 3 и 4). В этом случае, нападающие не смогут найти ваш сайт напрямую, но это не значит, что вы в безопасности. Средний хостинг провайдер имеет каналы 1-5 Gb/s и если вы действительно интересны нападающим, то они предпримут атаку (DDoS Layer 3 и 4) на каналы хостинга и положат его и вас вместе с ним.

2) У вас есть выделенный Virtual Private Server и на нем располагается ваш проект.

Правильные действия:
— настроить http server таким образом, чтобы он принимал запросы только от ip-адресов защищающего (так вы точно снимите возможность атаки DDoS Layer 7);
— настроить firewall так, что бы все лишние порты были закрыты и/или принимали соединения только от известных вам ip-адресов. Если вы этого не сделали с самого начала при подключении к сервису защиты от DDoS, то, возможно, атакующие уже изучили ваш сервер и узнали, какие порты открыты, а какие нет (атакующие сделали fingerprint вашей системы). Это значит, что они знают, какую машину им надо искать в сети провайдера;
— сменить ip-адрес (защита от DDoS Layer 3 и 4).

Если вы остались на существующем облачном провайдере, вы все равно не в безопасности. Самая уязвимая часть облачного провайдера – консоль управления (даже у Amazon она не очень хорошо защищена). На каналы небольшого облачного провайдера атакующие могут провести атаку DDoS Layer 3 и 4 и положить все облако.

Оптимальный решением будет переезд вашего сайта на нашу площадку. Услуги по переносу данных и дальнейшее администрирование вашего сервера у нас абсолютно бесплатны!

3) У вас большой проект и много серверов, стоящих в каком либо коммерческом ЦОДе.

Такой проект самый сложный по защите. Необходимо подойти комплексно к этой задаче, сменой ip и настройкой firewall ничего не решить (но это не значит, что этого не надо делать). Как минимум, вам необходимо сменить сетку, которую вам выдал провайдер. Именно сменить, а не добавить новую, иначе, вас даже не надо искать – атакующие просто положат ваши каналы, атакуя старую сетку. Как правило, в таких проектах есть сервисы, которые нельзя или невозможно поставить под защиту от DDoS – подумайте как правильно разнести эти сервисы по разным сетям или даже площадкам, иначе вас найдут именно по ним (самый простой пример – MX записи почтовой службы).

High Load Cluster Antiddos.biz

Типовое High Load решение для корпоративного сектора.

Для таких решений мы предоставляем полный комплекс услуг консалтинга High-Load проектов. Их сложно оценить и вписать в какой либо тарифный план. Но мы с радостью оценим комплексное решение для Вашего бизнеса и обеспечим его непрерывную работу.

Выводы

Не смотря на всю привлекательность бесплатной защита от DDoS Cloudflare, мы рекомендуем Вам прежде всего пообщаться с людьми, оценить все возможные риски и грамотно подойти к решению данной задачи. А наша компания с радостью Вам в этом поможет. Напишите нам, мы всегда рады пообщаться. За это мы не берем денег.

Удачного Вам бизнеса!

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
15 февраля 2017, 07:56

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *