CDN против DDoS: когда это работает?

Почему высоконагруженные порталы c массой тяжёлого контента (YouTube, LAMODA, OZON Aliexpress, Госуслуги, ВК) порой открываются быстрее, чем “лёгкие” одностраничные сайты?

Высокая скорость загрузки говорит о том, что сервис использует CDN (Content Delivery Network) – сеть доставки контента. Это географически распределённая сетевая инфраструктура, обеспечивающая быструю доставку контента пользователям веб-сервисов и сайтов. Распределение по многочисленным серверам в разных точках планеты помогает обеспечивать доступность в периоды пиковых нагрузок.

Почему это важно?

Медленная загрузка приводит к высокому показателю отказов. Пользователи ожидают мгновенного отклика, а если это занимает слишком много времени, они уходят с сайта.

Кроме обеспечения высокой скорости, CDN повышает безопасность ИТ-инфраструктуры, в том числе – за счёт защиты от атак.

DDoS-атаки — один из самых популярных инструментов для атаки на сайты и приложения. В основном, из-за его доступности и дешевизны.

Как это работает:

Представьте, что кому-то вздумалось нарушить автобусное сообщение в городе по определённому маршруту с целью не допустить добросовестных пассажиров к пользованию услугами общественного транспорта. Тысячи человек единовременно выходят на остановки в начале указанного маршрута и бесцельно катаются во всех автобусах от конечной до конечной, пока деньги не кончатся. Поездка оплачена, но никто не выходит ни на одной остановке, кроме конечных пунктов назначения. А другие пассажиры, стоя на промежуточных остановках, грустно смотрят удаляющимся маршруткам вслед, не сумев протолкнуться в забитые автобусы. В убытке все: и владельцы автобусов, и потенциальные пассажиры.

По данным «Лаборатории Касперского», во втором квартале 2022 выросло количество и средняя продолжительность DDoS-атак. Несколько раз был обновлён рекорд максимальной длительности. Самая долгая DDoS-атака началась в мае и продолжалась почти 29 дней.
Главной целью DDoS стал финансовый сектор. Доля атак в нем варьировалась от 70% в апреле до 37% в июне.

Как принято бороться с DDoS?

Все методы защиты основаны на работе с входящим трафиком:

Первый метод – использование средств защиты от DDoS-атак
Безопасности добиваются путем сканирования сетевых узлов, настройки WAF (Web Application Firewall) и мониторинга уязвимостей.
Прежде чем их использовать, следует подумать о повышении степени защищенности сайта — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае придется потратить очень много сил и средств.

Если предельно коротко, то для повышения защищенности нужно:
1) предоставить как можно меньше информации атакующему;
2) предоставить как можно больше информации DDoS-защитнику;
3) обеспечить понятные возможности фильтрации атаки;
4) обеспечить надежность сервиса под атакой.

Второй метод – распределение трафика
Во-первых, CDN способен справиться с DDoS-атаками за счет архитектуры. Технология представляет собой сеть серверов и может использовать производительность и масштабируемость «точек присутствия».

Вот так, например, выглядит партнёрская сеть CDN CORTEL:

Во-вторых, CDN позволяет скрыть исходный IP-адрес сайта. Злоумышленник не будет знать, куда направить атаку. Поставщик услуг в этом сценарии играет решающую роль во влиянии CDN на уровень защиты. Крупные CDN, например, Akamai, действительно могут справиться даже с массовой DDoS-атакой на уровне L3-L4.

Однако, сети с небольшим количеством точек присутствия и “нереалистичным” сценарием перераспределения трафика могут не только выйти из строя под DDoS-атакой, но и временно отключить клиента, чтобы не подвергать риску остальных.