Подключиться
Yandex Virtual Private Cloud

Yandex DDoS Protection

Статья создана

Yandex DDoS Protection — это компонент сервиса VPC для защиты облачных ресурсов от DDoS-атак. DDoS Protection предоставляется в партнерстве с Qrator Labs.

Активация сервиса Yandex DDoS Protection для ВМ или сетевых балансировщиков позволит вам эффективно бороться с атаками, направленными на исчерпание емкости канала и вычислительных ресурсов ваших ВМ. Такие атаки отличаются широкой полосой пропускания и большим количеством пакетов в секунду. Организация этих атак относительно проста: чаще всего они подразумевают отправку большого количества пакетов TCP SYN (SYN Flood) или трафика прикладных протоколов на основе UDP (DNS, NTP, SSDP, CLDAP и многие другие).

Для предотвращения таких атак сервис DDoS Protection:

  • постоянно анализирует весь входящий трафик;
  • обнаруживает описанные выше аномалии на сетевом и транспортном уровне;
  • автоматически отсекает нежелательный трафик, когда его количественные показатели угрожают работоспособности вашего сервиса в Yandex Cloud.

Защита от DDoS применяется к публичным IP-адресам виртуальных машин, сетевых балансировщиков и хостов баз данных. Защиту можно включить только в момент создания облачного ресурса или при резервировании статического адреса. При этом защита не ограничивает работу с IP-адресами: защищенный адрес можно сделать статическим и зарезервировать. Если виртуальную машину с защищенным динамическим адресом остановить, при следующем запуске ее адрес поменяется, но останется под защитой.

Ширина полос пропускания паразитного и очищенного трафика не ограничены. Тарифицируется каждый гигабайт очищенного входящего трафика.

Обратите внимание, что при включении DDoS Protection рекомендуется уменьшить значения MTU и TCP MSS.

Необходимо учитывать, что данный сервис не предназначен для защиты веб-сайтов и мобильных приложений от DDoS-атак более высокого уровня, которые используют:

  • валидные TCP-соединения;
  • HTTP и HTTPS-запросы;
  • узкие места атакуемого приложения.

Если вам требуется защита на прикладном уровне, вы можете запросить подключение расширенной защиты через техническую поддержку.

Расширенная защита

Расширенная защита работает на 3 и 7 уровнях модели OSI. Помимо этого вы сможете отслеживать показатели нагрузки, параметры атак и подключить Solidwall WAF в личном кабинете Qrator Labs. Чтобы включить расширенную защиту, обратитесь к вашему менеджеру или в техническую поддержку.

При запросе услуги сообщите следующие параметры:

Характеристики услуги:

  • Количество ресурсов (веб-сайтов, доменов, сервисов), которые требуется защитить.
  • Нужно ли подключение WAF (Web Application Firewall) — да или нет.
  • Требуется ли защита сервисов с шифрованием (SSL/TLS/HTTPS) — с раскрытием шифрования или без.
  • Время простоя, критичное для бизнеса.
  • Нужна ли организация выделенного канала для повышения SLA — да или нет.

Характеристики легитимного трафика:

  • Максимальные значения объемов входящего и исходящего трафика приложения.
  • Максимальный рейт пакетов (PPS).
  • Максимальный рейт запросов (RPS).

Также желательно приложить:

  • Карту-схему сетевой инфраструктуры: расположение площадок, аплинки, внутреннее устройство от граничного роутера до приложения.
  • Пример статистики по трафику (скриншоты графиков) за суточный интервал.

См. также

В этой статье: