Технология reverse proxy — обратного прокси — лежит в основе нашей услуги по защите сайтов от DDoS-атак.
Для подключения защиты понадобится изменить А-записи, то есть указать другой IP-адрес для запросов к нужному домену. Новый адрес — это адрес нашего проксирующего сервера. Настоящий адрес вашего сервера нужно держать в тайне, чтобы избежать прямой атаки в обход защиты.
Когда обновятся DNS-записи, HTTPS-трафик к сайту клиента будет сначала приходить в сеть DDoS-Guard. Там он дешифруется для анализа и фильтрации подозрительных запросов. Легитимный трафик перенаправляется на клиентский сайт в виде HTTP или HTTPS запросов, а атакующий — отбрасывается. На этом этапе применяются пользовательские фильтры — правила защиты и лимита запросов, геоблокировки и черный/белый список.
Плюсы обратного проксирования
Защита от DDoS на стороне клиента — всегда компромисс: даже если сервер распознает и не станет обрабатывать «мусорный» трафик, это не спасет от перегрузки полосы. Нагрузка на сервер все равно вырастет, а часть легитимных запросов не дойдет до сервера через перегруженный канал.
Обратный прокси — часть специальной защищенной инфраструктуры, которая принимает удар на себя. Даже если атака сможет нарушить работу одного сервера DDoS-Guard, легитимные запросы пройдут через другие узлы фильтрации (anycast-маршрутизация).
«Перехват» трафика обратным прокси дает возможность обработать его по индивидуальным правилам, поэтому защита сайта от DDoS включает в себя ряд инструментов управления трафиком: балансировку нагрузки, правила которые действуют только на определенный тип трафика, блокировки по IP или стране источника.
Кроме того, прокси также работает как сервер CDN — сети доставки контента. Это ускоряет работу сайта и позволяет компенсировать задержки, связанные с проксированием запроса. Подробнее об этом здесь: Технология CDN
Подробнее о том, как обратный прокси анализирует и фильтрует трафик, читайте в инструкции «Как работает защита сайта»