Как работает услуга защиты сети

Подключаемся с вами по BGP — сессия между вашей автономной системой и автономной системой DDoS-Guard. Вы анонсируете DDoS-Guard защищаемые сети, но не более специфичные, чем /24, а мы принимаем их и анонсируем в Интернет. Как результат, трафик ваших сетей принимается DDoS-Guard из мира на узлах обработки и фильтруется. Вы получаете в вашу сеть только легитимные пакеты.

 

Такой метод подключения подходит как для защиты собственного сетевого периметра, так и для увеличения среднего дохода на пользователя благодаря предоставлению новых услуг защиты. Мы используем прозрачное ценообразование — вы платите только за чистый трафик и не платите за атакующий.

 

Схема работы защиты от DDoS-атак на услугах DDoS-Guard
Схема фильтрации трафика DDoS-Guard

 

Система фильтрации DDoS-Guard работает в режиме Always-On, что позволяет эффективно блокировать все известные виды атак с первого аномального пакета или потока. **

 

Если использовать защиту на постоянной основе. В ином случае может потребоваться до 5 минут на отражение некоторых видов DDoS-атак

 

При отражении атак с помощью поведенческих фильтров может потребоваться от нескольких секунд до нескольких минут, при этом процесс очистки полностью автоматизирован и не требует предварительного обучения

 

Сеть фильтрации DDoS-Guard работает как единая система обработки трафика — фильтрующие узлы нашей сети обмениваются между собой информацией об обработанном трафике. Не важно, на каком узле был принят трафик, он сразу будет обработан и доставлен клиенту. А если пакеты из того же потока будут приходить с других направлений и обрабатываться разными узлами, это не повлияет на работу ресурса пользователя. Так, можно использовать асимметричную маршрутизацию и обезопасить трафик от изменений маршрутов в сетях магистральных операторов.

 

На базе технологии Twin Tunnel мы развернули несколько сервисов, которые отвечают за обработку трафика на сетевом уровне (L3 OSI). С их помощью вы можете создавать собственные правила фильтрации и управлять ими в личном кабинете. Ниже описана логика обработки трафика тремя сервисами Twin Tunnel.

 

Frame 123615.png
Схема работы правил Twin Tunnel

 

Проверка пакетов производится последовательно:

 

  1. Twin Tunnel Firewall (TTF) позволяет фильтровать трафик на основе протоколов, подсетей и портов
  2. Twin Tunnel Blocklist (TTB) ограничивает трафик из определенных подсетей
  3. Twin Tunnel Geo-Block (TTG) разрешает или блокирует трафик из выбранных регионов

Если пакет не попадает под действие правил Twin Tunnel, он будет пропускаться на защищаемый ресурс по умолчанию

 

Twin Tunnel Firewall

 

Если в этом сервисе пакет попадает под разрешающее или блокирующее правило, он пропускается или отбрасывается соответственно, а его дальнейшая обработка не производится.

 

Если пакет не попадает ни под одно из созданных правил, он проверяется в сервисе Twin Tunnel Blocklist.

 

Twin Tunnel Blocklist

 

Если пакет попадает под блокирующее правило в этом сервисе, он отбрасывается, а дальнейшая проверка не производится. Если нет — он обрабатывается сервисом Twin Tunnel Geo-Block.

 

Twin Tunnel Geo-Block

 

Если в этом сервисе пакет попадает под разрешающее правило, или же правил нет — он пропускается на защищаемый ресурс. Если пакет блокируется на основе региона, он отбрасывается и дальнейшая проверка не производится.

 

В сервисе Twin Tunnel Geo-Block может быть активен только один режим обработки трафика