Защита сайта вашей компании от DDoS и прочих атак и описание состава аппаратно-программного решения компании «Артус» по защите сайта
Уважаемые господа!
В настоящее время на российский сегмент интернета идут массированные DDOS-атаки. В любой момент может быть атакован любой сайт. Если ваш сайт неожиданно перестал работать, а хостер говорит, что ведутся технические работы, то скорее всего ваш сайт попал под такую атаку и требует дополнительной защиты. И решить вопрос на уровне провайдера услуг хостинга не удастся.
В чем сейчас проблема многих компаний, попавших в такую ситуацию. Специалисты выбирают одно из двух решений:
1. Подключить американский, по сути шпионский, сервис Cloudflare, что приводит к рискам утраты персональных данных и прочие проблемы с законом в связи с нарушением рекомендаций по защите от регулирующих организаций.
2. Подключить OpenSource ПО, которое будет делать вид, что защищает, но на самом деле не решит проблемы, потому что сила такой защиты ограничена параметрами операционной системы и используемых неспециализированных серверов.
Подобная ситуация требует от служб, защищающих сайт существенно большего уровня защиты, чем даже просто аппаратная фильтрация трафика. Мы в рамках мероприятий по защите сайтов наших крупных клиентов подготовили 4-х контурный программно-аппаратный комплекс, включающий в себя поэтапную многоуровневую систему очистки трафика, мощный аппаратный фильтр (с большой пропускной способностью), а также комплекс наших работ по постоянному отслеживанию ситуации с атаками, управлению стратегией защиты, выработке дополнительных мер и постоянной координации нашей работы с вашими специалистами.
Предлагаем вам наши услуги в защите от возможной атаки. Готовы срочно подключить наш комплекс к вашему сайту, тем более это не потребует от вас смены хостинга и каких-либо дополнительных действий. Наш контур уже используют крупные добывающие компании, банки, финансовые организации, крупные перерабатывающие и промышленные компании и даже госструктуры, так как он проявил себя как максимально эффективный и при этом недорогой.
Важно, что мы можем подключить наше решение без оплаты и договора оперативно за час на 2 дня, чтобы обеспечить работоспособность вашего сайта. Для того, чтобы подключить нашу защиту, вам достаточно будет изменить ip адрес в домене и все. Мы рекомендуем также получить еще новый ip адрес хоста у своего хостинг провайдера чтобы избежать атак по ip.
Описание программно-аппаратного комплекса Artus.Anti-DDоS©
Программно-аппаратный комплекс Artus.Anti-DDоS© содержит только российское программное обеспечение, может быть подключен к любому сайту, вне зависимости от того, на какой технологии он реализован и где он хостится (какой у него провайдер) и состоит из четырех делокализованных контуров защиты.
- Первый контур осуществляет первичную грубую очистку трафика. Он реализован в ведущем российском дата-центре на отдельном специализированном веб-сервере высокой производительности. Фильтр блокирует обращения к прокси-серверу, веб-серверу сайта и его базе данных по зарубежным IP-адресам, находящимся в локальных и глобальных блэклистах. Фильтрует примерно 14% вредного трафика.
- Второй контур — проактивный программный. Накапливает статистику по допущенным IP-адресам на уровне прокси-сервера nginx и начинает блокировать те из них, которые превышают пороговые значения активности (значения подбираются эмпирически для каждого защищаемого домена). На этом же уровне используется программный Web Application Firewall (WAF), который блокирует сложные атаки на вэб-приложения, исключая возможность изменения информации и получения несанкционированного доступа. Фильтрует примерно 8% вредного трафика.
- Фильтрующий прокси-сервер с аппаратным фильтром и нейросетью. Быстродействующий сервер с аппаратным фильтром в Яндекс.Облаке анализирует активность IP-адресов и оценивает степень схожести их активности с ранее активностью ранее заблокированными IP. Высокая степень схожести по многим факторам приводит к мгновенной длительной блокировке атакующего IP-адреса. Таким образом машинное обучение помогает в реальном времени автоматически менять тактику защиты, если атакующие машины меняют свои скрипты. Фильтрует примерно 19% вредного трафика.
- Последний контур — тонкий аппаратный фильтр. Фильтр представляет сложно-маршрутизированный распределенный сервис, использующий на территории РФ оборудование Роскомнадзора. Количество используемых локаций — 89. Это аппаратная защита, разработанная по ГОСТу партнерами Роскомнадзора, глобальна. У нее два преимущества: оборудование добавляется государственной структурой в «горячем» режиме без прерывания сервиса, оборудование использует полную статистику всех клиентов (поэтому заранее использует готовые паттерны нынешней атаки и любое успешное отражение нагрузки добавляет эффективности сразу всем клиентам). По требованию Роскомнадзора запрещено раскрывать любую информацию о его производителях оборудования, его расположении, настройках, ПО или конфигурации сети. Попав за пределы защитного контура, такая информация потенциально может ослабить защиту. Контур отсекает примерно 49-50% вредного трафика. Всего все 4 контура во время DDoS-атаки фильтрует 97.0-99.7% вредоносного трафика. А в паузы между атаками — 0.1-5.3%
Технические параметры аппаратной защиты (системы мониторинга и управления трафиком операторского класса) при максимальной пропускной способности:
- Количество доменов (субдоменов) — строго раздельно, доменов второго уровня может быть несколько с доплатой, количество субдоменов технически ограничено 100. Объектами охраны могут быть веб-сокеты.
- Пропускная способность каждого фильтруемого канала составляет 56 Мб/с легитимного трафика — при превышении возможно расширение. На пике атаки объем трафика доходит до 95 Мб/с. Технологический предел фильтрации DDoS-атаки до 1.2 Тбит/с для одной московской точки на всех уровнях модели OSI — от 3 (сетевого) до 7 (прикладного).
- Количество обрабатываемых запросов к сайту в секунду технически не ограничено, мы наблюдали корректную обработку больше 7000 запросов в секунду.
- Для защиты домена выделяется специальный IP-адрес. Для защиты от атаки NS-сервера предоставляется дополнительные имена NS-сервера защищенного хостинга.
В рамках обеспечение безопасности сайтов клиентов специалисты интернет-агентства Артус проводят следующие действия:
- Настройки четырех контуров защиты.
- Управлению черными списками. Обмене такой информацией с другими акторами защиты.
- Мониторинг параметров нейросети с целью контроля и недопущения ее переобучения и других отклонений.
- Ручное добавлении IP-адресов сотрудников клиента и сервисов клиента в белые списки при необходимости.
- Контроль сохранности кода и непубличных административных зон сайта.
- Бэкапирование файлов и базы данных сайтов, восстановление из резерва при необходимости.
- Оценка достаточности вычислительных ресурсов конечного веб-сервера, добавление CPU или памяти в ручном горячем режиме при необходимости.
- Мониторинг остаточного полезного трафика и выработка рекомендаций по усилению или ослаблению защиты.
- Изменение параметров кэширования контента при необходимости срочной публикации важного контента на сайтах.
- Выработка дополнительных мер по защите при смене тактики атакующей стороны. Сейчас наблюдаем три тактики, требующие периодической смены метода и изменений настроек домена.
Приведенное описание неполное т.к. в целях безопасности мы не раскрываем центральные элементы системы защиты Artus.Anti-DDoS.
Стоимость подключения нашей комплексной 4-уровневой системы защиты Artus.Anti-DDоS© к вашему сайту — от 90 000 руб. до 250 000 руб. в месяц. Цена зависит от параметров, которые индивидуально подбираются в зависимости от вашего случая. Свяжитесь с нами, и мы определим необходимый вам уровень защиты.
Для компаний, которые находятся под санкциями, для банков и госструктур, а также тех, кто хочет уменьшить практически до нуля риски атак у нас есть вариант подключения 5-контурной защиты, где пятый контур спроектирован специально под ваши задачи в соответствии с заполненным техническим брифом. Вы получите делокализованный облачный аппаратно-программный комплекс с машинным обучением, использующийся для защиты критичных веб-ресурсов от внешних атак, несанкционированного использования и фрода. Включает в себя аппаратный WAF. Контролирует сценарии работы приложений и минимизирует возможность эксплуатации ошибок бизнес‑логики. Проводит обнаружение атак по сигнатурам и анализ на базе «позитивных моделей», для построения которых используется интерпретируемое машинное обучение. Включает механизм раннего подавления ложных срабатываний.
Важно! Так как ваша проблема срочная, мы готовы оперативно в течение часа подключить защиту без договора и оплаты на 2 дня. Для того, чтобы подключить нашу защиту, вам достаточно будет изменить ip адрес в домене и все.
Так как наша система защиты не зависит от того, где хостится сайт, то мы готовы подключить к ней прочие сайты вашей компании или сайты партнеров, индивидуально оценив требуемые параметры настроек и стоимость для них.
Есть вопросы? Хотите оформить нашу услугу? Позвоните нам или заполните заявку, и мы свяжемся с вами.