В 2024 году количество DDoS-атак в России резко возросло — по данным аналитиков, их число увеличилось на 8,8% по сравнению с 2023 годом, а мощность атак на уровне приложений (L7) выросла вдвое. В зоне риска сегодня находятся телекоммуникационные компании, игровые платформы, ритейл и финансовый сектор. Для малого бизнеса такие атаки — это прямой путь к финансовому краху из-за простоев, а для среднего и крупного — удар по репутации, который может оказаться хуже любых денежных потерь, особенно в условиях жесткой конкуренции и цифровой зависимости.
DDoS — это повседневная проблема, важно правильно выбрать хостинг с защитой от DDoS-атак. От надежности провайдера, зависит базовая безопасность сайта и сети. Мы рекомендуем позаботиться об этом заранее, во избежания убытков и нервов.
Одним из первых шагов к запуску сайта в интернете это выбор доменной зоны. Думаем, вы уже позаботились об этом, ведь это важно для скорости сайта, доверия пользователей и продвижения в поиске (SEO). Если вы ещё думали над этим или хотите убедиться, что не ошиблись, читайте нашу статью — она поможет разобраться в доменных зонах от и до.
Что угрожает хостинг-провайдерам
DDoS-атаки классифицируются по нескольким уровням модели взаимодействия открытых систем (OSI): канальный (L2), сетевой (L3), транспортный (L4) и прикладной (L7) уровни.
Атаки канального уровня возможны только в локальных сетях, поэтому вопрос их предотвращения стоит рассматривать на уровне ограничения доступа в локальную сеть. С точки зрения защиты в глобальной сети DDoS-атаки можно сгруппировать по двум типам: уровня инфраструктуры (L3-L4) и уровня приложения (L7).
DDoS-атаки на 3 и 4 уровнях наиболее распространены — это векторы SYN-флуд и UDP-флуд. Паразитный трафик такого типа нацелен на то, чтобы перегрузить сами серверы или пропускную способность. А безопасность серверов и сетевого оборудования хостинг-провайдера критически важна, поскольку влияет на стабильность работы размещаемых сайтов.
Атаки на 7 уровне OSI, по нашей оценке, становятся в 2022 году наиболее серьезной угрозой. Они изощреннее и нацелены на обрушение конкретных функциональных модулей сайта, делая взаимодействие с ними невозможным для пользователей.
Как хостинг-провайдеры строят защиту
Система предотвращения DDoS у хостинг-провайдеров в идеале должна быть устроена следующим образом:
- В наличии и функционирует собственная инфраструктура с фильтрующим оборудованием, есть лицензии на программное обеспечение;
- Собственная система защиты обслуживается не на аутсорсе, а штатными специалистами, которые осуществляют техническую поддержку и оптимизируют эксплуатацию оборудования;
- Имеются каналы доступа в интернет достаточной емкости для приема атак без ущерба функциональности для клиентов провайдера;
- Заложена значительная предоплаченная канальная полоса для приема «мусорного» трафика.
Такая система названа идеальной, потому что она, как правило, стоит больших денег в обслуживании, и нередко хостинг-провайдеры пренебрегают теми или иными ее элементами (что обнаруживается слишком поздно).
Вам может быть интересна альтернатива размещения веб-приложения на сервере, который, как и любое устройство в сети, не застрахован от киберугроз. Поэтому мы собрали чек-лист по защите сервера от DDoS-атак, чтобы вы могли обезопасить свой проект. Кроме того, существует готовое решение, о котором мы подробно рассказали в статье «Защищенные от DDoS выделенные серверы: что это за услуга».
Другая распространенная модель предоставления защиты от DDoS – технология Reverse Proxy со сменой А-записей DNS. Способ подключения довольно прост — вместо IP адреса веб-сервера указывается IP адрес прокси сервера. Хостеры, по сути, отдают на аутсорс безопасность своих клиентов, перекладывая ответственность на провайдера anti-DDoS сервиса.
Для масштабных и активно развивающихся проектов технология Reverse Proxy может оказаться недостаточной. Она позволяет предотвратить атаки на уровне приложений, но неэффективна при прямых DDoS-атаках на веб-сервер и сетевую инфраструктуру. Есть у этого подхода и другие ограничения, например, так нельзя обеспечить безопасность сайтов и веб-приложений, использующих TCP-порты, отличные от стандартных 80 и 443, ощущаются заметные задержки при включении/отключении технологии.
В целом практически нет смысла обеспечивать безопасность от атак уровня приложений с помощью Reverse Proxy, если ваш хостинг-провайдер не может обеспечить защиту на уровне инфраструктуры.
Существуют также комплексные решения — использование сети фильтрации специализированного облачного провайдера для обороны от DDoS-атак на всех уровнях OSI. В этом случае услуга получается дешевле, чем поддержка собственной системы защиты хостера, однако помимо интеграции anti-DDoS сервиса необходим высокий уровень технической компетентности специалистов на обеих сторонах.
У некоторых хостинг-провайдеров встречаются комбинации перечисленных методов. От того, какую защиту вы выберете для своего сайта или сети, будет напрямую зависеть размер гарантированно блокируемых атак, скорость и точность реакции, и обратная связь по киберинцидентам.
Главные вопросы при выборе хостинг-провайдера
Прежде чем принимать решение о том, кому доверить безопасность своего сайта, нужно в обязательном порядке изучить условия оказания услуги предотвращения DDoS-атак и Соглашение об уровне сервиса (Service Level Agreement, SLA) хостинг-провайдера.
После прочтения вы должны иметь четкое представление о том, как будет строиться ваше сотрудничество:
- существуют ли у поставщика услуги какие-либо технические ограничения;
- какие последствия могут быть при превышении ограничений (перерасход трафика, достижение предела по мощности или другим параметрам);
- какие технологии и решения использует хостинг-провайдер для защиты клиентов от DDoS-атак.
Если вы прочли документы, и не получили достаточно информации, чтобы сформировать полноценную картину, лучше поискать другого провайдера.
ТОП 10 критериев выбора защищенного хостинга
На что нужно обратить внимание при выборе хостинга с защитой от DDoS:
1. Стоимость. Внимательно изучите предлагаемую систему оплаты: нет ли скрытых услуг и дополнительных счетов после отражения атаки; возможны ли скидки при оплате за длительный период.
2. IP-адрес: выделенный или shared. При размещении на обычном хостинге сайту клиента может быть присвоен shared IP — то есть IP-адрес, который используется несколькими клиентами одновременно. Это означает, что в случае атаки на один сайт, могут пострадать и его “соседи”, использующие тот же адрес. Чтобы не стать бонусной жертвой атаки, выбирайте хостинг с выделенным защищенным IP.
3. Конфигурация. Уточните возможность масштабирования. Однажды ваш проект потребует больше ресурсов — во время сезонных распродаж, активной рекламы, при достижении нового рекорда по количеству пользователей. Важно поддерживать оптимальную производительность, продумайте заранее возможные пути развития.
4. Пропускная способность. Она должна быть достаточной, чтобы справиться даже с очень большим наплывом трафика без ущерба функциональности сайта.
5. Uptime (время постоянной доступности сайта). Ни один хостинг не может обеспечить 100-процентной доступности сайта, независимо от внешних обстоятельств. Однако 99% и больше – вполне достижимая статистически величина. При этом важно следить за тем, чтобы фактический Uptime соответствовал заявленному.
6. Безопасность персональных данных. Гарантии безопасности хостинг-провайдера должны не только распространяться на системы самого сайта (в плане защиты от DDoS-атак), но и обеспечивать сохранность персональных данных пользователей. Этот фактор особенно важен, если вы работаете в зоне юридического покрытия GDPR, так как утечки данных в таком случае могут грозить огромными штрафами.
7. Простота использования. Интуитивно понятный и удобный интерфейс повышает привлекательность сервиса для пользователя. Выбирая хостинг-провайдера, убедитесь, что у вас будет возможность использовать все основные услуги (обновление контента, просмотр статистики, управление сайтом) через обычный веб-браузер.
8. Круглосуточная техническая поддержка для экстренных ситуаций. Важнейший фактор, который свидетельствует прежде всего о клиентоориентированности хостинг-провайдера. Оперативная и грамотная поддержка – один из главных признаков надежного хостинга.
9. Наличие рабочего, проверенного алгоритма защиты от DDoS-атак. А также собственной инфраструктуры и программных решений, которые помогают справляться с киберугрозами всех распространенных типов.
10. Прозрачная отчетность. Возможность наблюдать в реальном времени происходящее с трафиком сайта и иметь доступ к понятной аналитике по DDoS-активности за различные периоды.
DDoS-Guard предоставляет услуги безопасного хостинга с защитой от DDoS-атак, который обезопасит ваш сайт от всех популярных типов распределенных атак типа «отказ в обслуживании».
Пользователям доступны все основные панели управления хостингом, также при необходимости легко произвести наращивание мощностей. Для устранения вредоносного трафика используется многоступенчатая система фильтрации, так что даже во время очень интенсивных кибератак сервисы клиентов DDoS-Guard остаются полностью доступны и работоспособны (уровень доступности в SLA более 99.5%).