CDN против DDoS: когда это работает?
Почему высоконагруженные порталы c массой тяжёлого контента (YouTube, LAMODA, OZON Aliexpress, Госуслуги, ВК) порой открываются быстрее, чем “лёгкие” одностраничные сайты?
Высокая скорость загрузки говорит о том, что сервис использует CDN (Content Delivery Network) – сеть доставки контента. Это географически распределённая сетевая инфраструктура, обеспечивающая быструю доставку контента пользователям веб-сервисов и сайтов. Распределение по многочисленным серверам в разных точках планеты помогает обеспечивать доступность в периоды пиковых нагрузок.
Почему это важно?
Медленная загрузка приводит к высокому показателю отказов. Пользователи ожидают мгновенного отклика, а если это занимает слишком много времени, они уходят с сайта.
Кроме обеспечения высокой скорости, CDN повышает безопасность ИТ-инфраструктуры, в том числе – за счёт защиты от атак.
DDoS-атаки — один из самых популярных инструментов для атаки на сайты и приложения. В основном, из-за его доступности и дешевизны.
Как это работает:
Представьте, что кому-то вздумалось нарушить автобусное сообщение в городе по определённому маршруту с целью не допустить добросовестных пассажиров к пользованию услугами общественного транспорта. Тысячи человек единовременно выходят на остановки в начале указанного маршрута и бесцельно катаются во всех автобусах от конечной до конечной, пока деньги не кончатся. Поездка оплачена, но никто не выходит ни на одной остановке, кроме конечных пунктов назначения. А другие пассажиры, стоя на промежуточных остановках, грустно смотрят удаляющимся маршруткам вслед, не сумев протолкнуться в забитые автобусы. В убытке все: и владельцы автобусов, и потенциальные пассажиры.
По данным «Лаборатории Касперского», во втором квартале 2022 выросло количество и средняя продолжительность DDoS-атак. Несколько раз был обновлён рекорд максимальной длительности. Самая долгая DDoS-атака началась в мае и продолжалась почти 29 дней.
Главной целью DDoS стал финансовый сектор. Доля атак в нем варьировалась от 70% в апреле до 37% в июне.
Как принято бороться с DDoS?
Все методы защиты основаны на работе с входящим трафиком:
Первый метод – использование средств защиты от DDoS-атак
Безопасности добиваются путем сканирования сетевых узлов, настройки WAF (Web Application Firewall) и мониторинга уязвимостей.
Прежде чем их использовать, следует подумать о повышении степени защищенности сайта — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае придется потратить очень много сил и средств.
Если предельно коротко, то для повышения защищенности нужно:
1) предоставить как можно меньше информации атакующему;
2) предоставить как можно больше информации DDoS-защитнику;
3) обеспечить понятные возможности фильтрации атаки;
4) обеспечить надежность сервиса под атакой.
Второй метод – распределение трафика
Во-первых, CDN способен справиться с DDoS-атаками за счет архитектуры. Технология представляет собой сеть серверов и может использовать производительность и масштабируемость «точек присутствия».
Вот так, например, выглядит партнёрская сеть CDN CORTEL:
Во-вторых, CDN позволяет скрыть исходный IP-адрес сайта. Злоумышленник не будет знать, куда направить атаку. Поставщик услуг в этом сценарии играет решающую роль во влиянии CDN на уровень защиты. Крупные CDN, например, Akamai, действительно могут справиться даже с массовой DDoS-атакой на уровне L3-L4.
Однако, сети с небольшим количеством точек присутствия и “нереалистичным” сценарием перераспределения трафика могут не только выйти из строя под DDoS-атакой, но и временно отключить клиента, чтобы не подвергать риску остальных.