Как работает система защиты IP-адресов от DDoS-атак?

Система защиты IP-адресов от DDoS-атак работает путём отделения вредоносных запросов от легитимных. tech.megafon.ru Для этого системы защиты собирают и анализируют весь трафик, который идёт на сервисы. tech.megafon.ru

Анализ обычно осуществляется по трём параметрам: tech.megafon.ru

1. Качественные характеристики трафика (используемые протоколы, порты, флаги и т. д.). tech.megafon.ru
2. Количество пакетов данных в секунду. tech.megafon.ru
3. Количество байт в секунду. tech.megafon.ru

В случае аномалии весь трафик направляется на фильтрацию. tech.megafon.ru Для определения типа атаки используются специфические контрмеры, например: tech.megafon.ru

• Лист Глобальных Исключений (или «база отпечатков пальцев») — статичный набор правил противодействия разным атакам. tech.megafon.ru Список можно пополнять или, наоборот, сокращать. tech.megafon.ru
• Географический фильтр — фильтрует данные по географическому признаку: например, отсекает трафик из заданных стран. tech.megafon.ru
• Базовая очистка — предназначена для блокирования пакетов данных, которые были сформированы некорректно, также не пропускает трафик с аномально большим количеством TCP-сессий и IP-адресов. tech.megafon.ru
• Блокирование бот-сетей из регулярно обновляемых списков IP-адресов, которые ранее были замечены в атаках. tech.megafon.ru

Когда атака прекращается, трафик минует этап очистки и возвращается на свой обычный маршрут. tech.megafon.ru

Блокировка по IP-адресам не даёт полной гарантии защиты, так как атакующие могут изменить свой IP-адрес и таким образом обойти блокировку и продолжить атаковать ресурс-жертву. ddos-guard.ru