TrafficVeil
Вернуться к документации
Документация

Защита от DDoS

Защита от DDoS атак L3/L4/L7, режимы защиты и действия при атаке.

Содержание:

Что такое DDoS?Режимы защитыRate Limiting против DDoSJavaScript ChallengeМониторинг атакДействия при атаке

Что такое DDoS?


DDoS атака (Distributed Denial of Service)

Распределённая атака на отказ в обслуживании — попытка сделать ваш сайт недоступным путём перегрузки запросами.


Уровни атак:


L3/L4 (Сетевой уровень):

  • SYN Flood
  • UDP Flood
  • ICMP Flood
  • Amplification атаки
  • TrafficVeil защищает на уровне инфраструктуры

    • L7 (Уровень приложения):

  • HTTP Flood
  • Slowloris
  • POST Flood
  • Атаки на конкретные страницы
  • TrafficVeil анализирует и фильтрует

    • Признаки DDoS:

  • Резкий рост трафика (>1000%)
  • Много запросов с одного IP
  • Однотипные запросы
  • Запросы с ботовыми UA
  • Аномалии в географии

    • Защита TrafficVeil:

  • Анализ 30+ параметров запроса
  • Автоматическое масштабирование
  • Глобальная сеть серверов
  • Защита до 100 Гбит/с

    • Режимы защиты


    Режимы защиты от DDoS:


    Standard (по умолчанию):

  • Базовая фильтрация
  • Автоматическое обнаружение атак
  • Подходит для обычного трафика
  • Минимум false positives

    • Enhanced:

  • Усиленная фильтрация
  • JavaScript Challenge для подозрительных
  • Строже Rate Limiting
  • При повышенной активности

    • Attack Mode (I'm Under Attack):

  • Максимальная защита
  • JavaScript Challenge для всех
  • 5-секундная проверка
  • Только при активной атаке

    • Когда включать Attack Mode:

  • DDoS атака подтверждена
  • Сайт недоступен или тормозит
  • Резкий рост заблокированных запросов

    • Автоматический Attack Mode:

    TrafficVeil может включать автоматически:

    1. Настройки → DDoS → Автоматический режим

    2. Порог: >10,000 req/min

    3. Длительность: 15 минут

    4. Уведомление в Telegram


    Rate Limiting против DDoS


    Настройка Rate Limiting для защиты:


    Глобальный лимит:

    Ограничение на весь домен:

  • 10,000 req/sec для всего домена
  • При превышении — Challenge для всех

    • Лимит по IP:

    Ограничение для каждого IP:

  • 100 req/min — стандарт
  • 50 req/min — усиленный
  • 20 req/min — строгий

    • Лимит по URL:

    Защита тяжёлых страниц:

  • /search — 20 req/min
  • /api/* — 60 req/min
  • /checkout — 10 req/min

    • Динамические лимиты:

    При обнаружении атаки:

  • Автоматическое снижение лимитов
  • Ужесточение проверок
  • Расширение blacklist

    • Burst Protection:

    Защита от пиков:

  • Разрешить кратковременный burst
  • Затем — стандартный лимит
  • Предотвращает ложные срабатывания

    • Настройка:

    1. Безопасность → Rate Limiting

    2. Установите глобальный лимит

    3. Добавьте правила для критичных URL

    4. Включите Burst Protection


    JavaScript Challenge


    Как работает JavaScript Challenge:


    Суть:

    Браузер должен выполнить JavaScript для получения доступа. Боты обычно не умеют.


    Процесс:

    1. Пользователь заходит на сайт

    2. TrafficVeil отдаёт страницу с JS

    3. Браузер выполняет JS и решает задачу

    4. Отправляется токен проверки

    5. При успехе — доступ на 24 часа


    Время проверки:

  • Fast: <1 секунды
  • Standard: 2-5 секунд
  • Under Attack: 5+ секунд

    • Когда применяется:

  • Bot Score < 50
  • Attack Mode включён
  • Подозрительное поведение
  • Первый визит с подозрительного IP

    • Исключения:

    Не показывать Challenge для:

  • Поисковых ботов (автоматически)
  • Мониторинга (добавьте в whitelist)
  • API (по заголовку)

    • CAPTCHA:

    Если JS Challenge не помог:

  • Показывается CAPTCHA
  • После решения — доступ
  • Для очень подозрительных

    • Влияние на SEO:

    Поисковые боты автоматически пропускаются — нет влияния на SEO.


    Мониторинг атак


    Мониторинг DDoS в реальном времени:


    Дашборд атак:

  • Текущий статус (нормально/атака)
  • График трафика в реальном времени
  • Карта источников атаки
  • Топ атакующих IP

    • Метрики:

  • Requests per second (RPS)
  • Заблокированных в секунду
  • % заблокированных
  • Уникальных IP атакующих

    • Алерты:

    Настройте уведомления:

  • Telegram при начале атаки
  • Email при длительной атаке
  • SMS для критичных (Business)

    • Пороги алертов:

  • RPS > 1000: предупреждение
  • RPS > 5000: атака
  • RPS > 10000: критическая атака

    • История атак:

  • Дата и время
  • Длительность
  • Пиковый RPS
  • Источники (страны, IP)
  • Тип атаки

    • Отчёты:

    Еженедельный отчёт включает:

  • Количество атак
  • Общее время атак
  • Топ атакующих стран
  • Рекомендации

    • Действия при атаке


    Что делать при DDoS атаке:


    Шаг 1: Подтвердите атаку

  • Проверьте дашборд TrafficVeil
  • Резкий рост RPS?
  • Много блокировок?
  • Это атака, не наплыв клиентов?

    • Шаг 2: Включите Attack Mode

    1. Домен → Безопасность → DDoS

    2. Режим: Attack Mode

    3. Или через Telegram: /attackmode on


    Шаг 3: Проанализируйте атаку

  • Откуда идёт трафик? (страны)
  • Какие URL атакуют?
  • Какие IP/UA?

    • Шаг 4: Усильте защиту

  • Включите GeoIP блокировку (если атака из одной страны)
  • Добавьте IP в blacklist
  • Ужесточите Rate Limit

    • Шаг 5: Мониторьте

  • Следите за дашбордом
  • Атака снижается?
  • Ложные срабатывания?

    • Шаг 6: После атаки

  • Отключите Attack Mode
  • Проанализируйте логи
  • Обновите правила защиты
  • Добавьте IP в постоянный blacklist

    • Автоматизация:

    TrafficVeil может автоматически:

  • Включать Attack Mode
  • Блокировать атакующие IP
  • Уведомлять в Telegram