Режимы защиты и этапы фильтрации

Какие есть режимы защиты, чем они отличаются, как фильтруют трафик, какой выбрать в вашем случае.

Какие режимы защиты доступны

Режим — это логика фильтрации, которую использует наша система защиты. Вы можете купить один из двух на выбор: Антибот или Анти-DDoS.

Сравнительная схема режимов Антибот и Анти-DDoS

Как это работает. Наша система постоянно анализирует ваш трафик и определяет, кто из перечисленных отправил конкретный запрос:

  • человек;

  • полезная автоматизация (ваш собственный скрипт, приложение, доверенная система и т.д.)

  • бот.

Запросы от людей и полезной автоматизации система всегда пропускает на ваш ресурс. А вот логика пропуска/блокировки ботов зависит от режима защиты:

  • Антибот — боты блокируются постоянно, 24/7. Этот режим защищает от DDoS-атак и вредных автоматизаций: парсеров, скликивателей рекламы, массовых регистраций и других.

  • Анти-DDoS — боты блокируются только в период DDoS-атаки (вне DDoS-атаки любой трафик пропускается на ваш ресурс). Этот режим защищает от DDoS-атак.

Как режимы соотносятся с продуктами, представленными на сайте?

На нашем сайте представлены продукты Web DDoS & Bot Protection, Web DDoS Protection и Cybert. На самом деле, каждый из продуктов — это одна и так же система защиты, просто представленная в разной конфигурации.

«Под капотом» всех продуктов находится «Защита веб-приложений» — разработанный нами ПАК, который с высокой точностью выявляет ботов в трафике, умеет их блокировать и выдавать клиентам проверки. Он способен работать в двух режимах: Антибот и Анти-DDoS. Его можно по-разному интегрировать с вашим ресурсом: фильтрация трафика может происходить в облаке, внутри вашей инфраструктуры или в рамках IP-транзита.

Продукты на сайте — это просто названия для комбинаций из разных схем интеграции и режимов работы «Защиты веб-приложений».

Продукт Схема интеграции Режим работы

Web DDoS & Bot Protection

Proxy

Антибот

Cybert

Module либо Hybrid

Антибот

Web DDoS Protection

Proxy либо IP-транзит

Анти-DDoS
Антибот защищает от DDoS-атак?

Да. Антибот отражает DDoS-атаки.

Как это работает. DDoS-атаки проводят с помощью ботнетов — большого количества ботов, объединённых в общую сеть. То есть любая DDoS-атака — это наплыв ботового трафика. Так как Антибот блокирует ботов 24/7, он автоматически отражает DDoS-атаки.

Как выбрать режим

Если для вас главное — отразить только DDoS-атаки, и неважно, что сайт или API могут использовать парсеры, скрипты и другая автоматизация в обычное время, выбирайте Анти-DDoS. В момент атаки он блокирует ботовый трафик, сохраняя доступ для людей.

Если хотите защититься не только от DDoS, но и от нежелательных автоматизаций, таких как массовый парсинг данных, спам-заявки, фрод-запросы и другие, выбирайте Антибот. Он блокирует нелегитимных ботов 24/7 и позволяет тонко настраивать политики доступа к вашему ресурсу.

Сравнение режимов

Анти-DDoS Антибот

Защита от DDoS-атак

Защита от ботов
(персеров контента, массовых регистраций, скликивателей рекламы и других)

Вне DDoS-атаки

Пропускает всех

Пропускает людей

Пропускает вашу автоматизацию

Блокирует ботов

Во время DDoS-атаки

Пропускает людей

Пропускает вашу автоматизацию

Блокирует ботов

Пропускает людей

Пропускает вашу автоматизацию

Блокирует ботов

Какие дополнительные настройки защиты можем сделать

Лимиты запросов на конкретные эндпоинты

Любые гибкие настройки по вашему запросу

Что можете настроить сами через личный кабинет
Подробнее о пользовательских правилах.

В рамках правила вы можете задать комбинацию параметров:

  • Параметры запроса.

  • Лимит (глобальный или на один IP) — количество запросов с данными параметрами.

  • Реакция системы при превышении порога — пропустить запрос, заблокировать, выдать JS-челлендж, выдать cookie-челлендж или выдать CAPTCHA. Для каждого класса источника запроса (человек, вероятно человек, вероятно бот или бот) можно настроить свою реакцию.

  • Режим срабатывания правила (всегда/только без DDoS-атаки/только под DDoS-атакой).

После создания правила оно начнёт работать автоматически.

Этапы фильтрации трафика

Система защиты анализирует каждый запрос к вашему веб-ресурсу и пропускает его последовательно через несколько этапов фильтрации. Набор этапов в разных режимах отличается.

Антибот

Даём наглядную схему, а затем подробное описание каждого этапа.

Схема этапов фильтрации в режиме Антибот

Если два механизма фильтрации конфликтуют, применяется тот, который сработал первым. Пример: белый список стоит выше геоограничений. Это значит, что запрос от IP из белого списка будет пропущен, даже если этот IP относится к запрещённому региону.

1. Чёрный список

Если IP источника запроса находится в чёрном списке, запрос блокируется.

Чёрный список вы настраиваете сами.

2. Белый список

Если IP источника запроса находится в белом списке, запрос пропускается на ваш ресурс.

Белый список вы настраиваете сами.

3. Список верифицированных ботов

Если запрос отправлен верифицированным ботом, он пропускается на ресурс.

К верифицированным ботам относятся поисковые краулеры, например, Googlebot и YandexBot. Эти системы выполняют полезную задачу — индексируют ваш сайт в интернете, поэтому их запросы мы пропускаем по умолчанию.

По желанию вы можете отключить автопропуск верифицированных ботов через Настройки ресурса.

4. «Обелённый» URL или HTTP-заголовок

Запрос пропускается на ресурс, если он пришёл:

  • к URL, который вы просили обелить;

  • к любому другому URL, но содержит HTTP-заголовок, который вы просили обелить.

Эти настройки мы делаем по вашему запросу. Они хранятся на нашей стороне и недоступны в UI/API.

«Обеление» — настройка фильтрации, которая означает: если запрос соответствует указанным параметрам, его нужно пропустить. Важно:

  • Обеление по URL и HTTP-заголовкам, настроенное нами через внутренние инструменты — это отдельный механизм фильтрации, который в этой статье описан как этап под номером 4.

  • Через пользовательские правила вы можете сами точно так же настроить обеление по URL или HTTP-заголовкам. Но это другой механизм фильтрации, который в иерархии стоит под номером 6.

  • Любые другие настройки фильтрации, сделанные на нашей стороне — это отдельный механизм, который стоит под номером 7.

5. Геоограничения

Если запрос пришёл из запрещённого региона, он блокируется.

Геоограничения вы настраиваете сами.

6. Пользовательские правила

Если запрос попал под одно из ваших пользовательских правил, применяется действие, которое вы настроили: пропуск, блокировка, JavaScript-челлендж, cookie-челлендж либо CAPTCHA.

Пользовательские правила вы настраиваете сами.

7. Индивидуальный защитный профиль

Запрос анализируется с помощью индивидуального защитного профиля — набора настроек фильтрации, созданных нами специально для вашего ресурса. Он хранится на нашей стороне и недоступен в UI/API.

Индивидуальный защитный профиль включает:

  • блокировку ботов;

  • автоматический пропуск на ресурс вашей полезной автоматизации и любого другого трафика, который вы просили «обелить»: например, вашего мобильного приложения, запросов из корпоративной подсети, интеграций с партнёрами и других;

  • лимиты запросов на эндпоинты (при превышении лимита к эндпоинту блокируется любой трафик, кроме «обелённого»);

  • другие гибкие настройки фильтрации, сделанные по вашему запросу.

В результате боты будут заблокированы, а обычные пользователи и ваша полезная автоматизация будут пропущены.

Анти-DDoS

Даём наглядную схему, а затем подробное описание каждого этапа.

Схема этапов фильтрации в режиме Анти-DDoS

Если два механизма фильтрации конфликтуют, применяется тот, который сработал первым. Пример: белый список стоит выше геоограничений. Это значит, что запрос от IP из белого списка будет пропущен, даже если этот IP относится к запрещённому региону.

1. Чёрный список

Если IP источника запроса находится в чёрном списке, запрос блокируется.

Чёрный список вы настраиваете сами.

2. Белый список

Если IP источника запроса находится в белом списке, запрос пропускается на ваш ресурс.

Белый список вы настраиваете сами.

3. Список верифицированных ботов

Если запрос отправлен верифицированным ботом, он пропускается на ресурс.

К верифицированным ботам относятся поисковые краулеры, например, Googlebot и YandexBot. Эти системы выполняют полезную задачу — индексируют ваш сайт в интернете, поэтому их запросы мы пропускаем по умолчанию.

По желанию вы можете отключить автопропуск верифицированных ботов через Настройки ресурса.

4. «Обелённый» URL или HTTP-заголовок

Запрос пропускается на ресурс, если он пришёл:

  • к URL, который вы просили обелить;

  • к любому другому URL, но содержит HTTP-заголовок, который вы просили обелить.

Эти настройки мы делаем по вашему запросу. Они хранятся на нашей стороне и недоступны в UI/API.

«Обеление» — настройка фильтрации, которая означает: если запрос соответствует указанным параметрам, его нужно пропустить. Важно:

  • Обеление по URL и HTTP-заголовкам, настроенное нами через внутренние инструменты — это отдельный механизм фильтрации, который стоит в иерархии под номером 4.

  • Мы также можем обелить ваш легитимный трафик по другим признакам, кроме URL и HTTP-заголовков — например, по сигнатурам вашего мобильного приложения. Это делается с помощью другого механизма фильтрации, который соответствует этапу номер 7.

5. Геоограничения

Если запрос пришёл из запрещённого региона, он блокируется.

Геоограничения вы настраиваете сами.

6. Лимиты запросов

Если вы просили настроить лимиты запросов на конкретные пути, то при превышении этих лимитов блокируются любые запросы, кроме запросов от источников, которые вы просили «обелить» — например, из корпоративной подсети или от вашего мобильного приложения.

Эти настройки мы делаем по вашему запросу. Они хранятся на нашей стороне и недоступны в UI/API.

7. Фильтрация в зависимости от наличия DDoS-атаки

DDoS-атаки нет

Пока DDoS-атаки нет, любые запросы просто пропускаются на ваш ресурс.

Идёт DDoS-атака

Когда начинается DDoS-атака, система защиты включает фильтрацию трафика. Она работает в два этапа.

1. Проверка обелённого трафика

Сначала система проверяет, относится ли запрос к тем источникам, которые вы сами попросили пропускать без ограничений (это называется «обелением» трафика).

Такие запросы проходят на ресурс сразу, без дополнительных проверок. Обычно наши клиенты просят обелить:

  • запросы от собственного мобильного приложения;

  • запросы из корпоративной подсети;

  • интеграции с партнёрами;

  • запросы от доверенных внешних систем: платёжных шлюзов, систем мониторинга и других.

2. Фильтрация по классу источника запроса

Если запрос пришёл не от обелённого источника, для принятия решения система опирается на класс источника запроса.

Когда запрос проходит через систему защиты, она анализирует большое количество данных о запросе (выражаясь технически, анализирует его телеметрию на уровнях L3/L4–L7). Эти данные помогают понять, кто отправил запрос. Система маркирует источник одним из четырёх классов:

  • бот — запрос точно отправил бот;

  • вероятно бот — скорее всего, запрос отправлен ботом, но нет 100% уверенности;

  • вероятно человек — скорее всего, запрос отправлен человеком, но нет 100% уверенности;

  • человек — запрос точно отправил человек.

Судьба запроса зависит от того, кто его отправил:

  • Бот — запрос блокируется.

  • Вероятно бот или вероятно человек — выдаётся JS- либо cookie-челлендж. Если пользователь его не прошёл, запрос блокируется. Если прошёл, запрос пропускается, и какое-то время этот пользователь сможет проходить на ресурс без дополнительных проверок.

  • Человек — выдаётся JS-челлендж. Если пользователь его не прошёл, запрос блокируется. Если прошёл, запрос пропускается, и какое-то время этот пользователь сможет проходить на ресурс без дополнительных проверок.

В результате DDoS-атака будет отражена, а обычные пользователи продолжат пользоваться вашим ресурсом как обычно.