Подключение защиты к вашему ресурсу

Выберите одну из 5 схем подключения защиты. Схема — архитектура того, как интегрируем защиту с вашим ресурсом: как передаются данные, где происходит фильтрация и что нужно настроить/подключить.

Предложенные варианты можно кастомизировать. Если у вас есть особые требования, учтём их — просто опишите задачу персональному менеджеру.

Обзор 5 схем подключения защиты

Кратко сравниваем все варианты, а в разделах ниже делаем детальное описание.

Облачные

Проксирование TCP Stream

Цель

Защитить ресурс от ботов

Защитить от DDoS-атак нестандартные протоколы или TCP-сервисы — например, почту или файловые сервисы

Защита от ботов

От каких DDoS-атак защищает

Любых

Объёмных атак на L3/L4

Что блокируем

Запросы от любых ботов, кроме разрешённых вами

Трафик по другим протоколам, кроме TCP

Некорректные TCP-сессии

Без раскрытия SSL/TLS-сертификата

Без смены DNS A-записи

Без установки модуля Cybert

Схемы Проксирование и TCP Stream можно использовать одновременно.

Гибридные и он-премис

Модуль Cybert Модуль Cybert + TCP Stream IP-транзит с анализом логов ваших серверов

Цель

Защитить ресурс от ботов он-премис, без смены DNS и передачи SSL/TLS-сертификата

Защитить ресурс от DDoS-атак и ботов без раскрытия SSL/TLS-сертификата

Защитить ресурс и нестандартные сервисы только от DDoS-атак, без раскрытия SSL-сертификата и установки модуля Cybert в инфраструктуре

Защита от ботов

(действует в момент DDoS-атаки)

От каких DDoS-атак защищает

Атак на L7
Примечание: для объёмных атак важно иметь широкую полосу пропускания — чтобы её не забило прежде, чем трафик дойдёт до сервера с модулем Cybert

Любых

Атак на L7
Примечание: фильтрация более грубая — в отличие от других схем, фильтрация по IP, а не по запросам, из-за этого false positive выше

Что блокируем

Запросы от любых ботов, кроме разрешённых вами

Некорректные TCP-сессии

Запросы от любых ботов, кроме разрешённых вами

Вне DDoS-атаки: ничего

Во время DDoS-атаки: трафик с вредоносных IP

Без раскрытия SSL/TLS-сертификата

Без смены DNS A-записи

Без установки модуля Cybert

Проксирование

Суть схемы: блокируем запросы от любых ботов, кроме разрешённых вами. Ваш ресурс будет защищён от DDoS-атак, парсеров, скликивателей рекламы, брутфорса и других вредных автоматизаций.

Кому рекомендуем: всем пользователям, кому мешают боты и подходит облачная защита с раскрытием SSL-сертификата.

Что потребуется для подключения схемы:

  1. Заполните опросник (пришлют наши инженеры), чтобы мы настроили защиту под ваши пожелания.

  2. Загрузите SSL/TLS-сертификат в личном кабинете.

  3. Настройте DNS A-запись на выделенный нами IP-адрес.

Как работает фильтрация:

  1. Клиенты отправляют запросы к вашему ресурсу.

  2. Запросы поступают в нашу облачную систему защиты.

  3. Система расшифровывает трафик, используя SSL-сертификат, и анализирует каждый запрос: определяет, бот его отправил или человек.

  4. Система фильтрует запросы: блокирует всех ботов, кроме разрешённых вами. Фильтрацию гибко настраиваем под ваши пожелания. Также можете сами устанавливать whitelist, blacklist, гео-ограничения и пользовательские правила.

  5. На ваше ресурс передаются только запросы от людей и разрешённых ботов.

TCP Stream

Суть схемы: блокируем некорректные TCP-сессии и не-TCP-трафик. Ваши сервисы будут защищены от простых объёмных DDoS-атак на уровне сети: SYN flood, UDP flood, ICMP flood и других видов «мусорного» трафика.

Что такое некорректная TCP-сессия и зачем её блокировать?

Некорректная TCP-сессия — соединение, которое не прошло установление по правилам протокола TCP. Например, оно обрывается на этапе рукопожатия (SYN–SYN/ACK–ACK) или содержит «битые» пакеты с ошибками формата. Чаще всего такие сессии создаются ботнетами во время DDoS-атак: они заваливают сервер полуоткрытыми или неправильными соединениями и мешают реальным пользователям подключаться. Эти сессии не несут полезного трафика, их нужно блокировать.

Зачем блокировать не-TCP трафик?

Чтобы защититься от DDoS-атак. Другие протоколы — например, UDP или ICMP — обычно не используются для работы веб-сервисов, но часто применяются в DDoS-атаках: ботнеты генерируют огромные объёмы UDP- или ICMP-трафика и перегружают канал. Если ваш сервис работает на TCP, лучше отфильтровать все не-TCP-соединения и обезопасить себя.

Кому рекомендуем: пользователям, кому нужно защитить нестандартные протоколы или TCP-сервисы, где не нужна глубокая фильтрация запросов на уровне приложений — например, почту или файловые сервисы.

Что потребуется для подключения схемы:

  1. Настройте DNS A-запись на выделенный нами IP-адрес.

  2. Предоставьте список сервисов/портов, которые нужно пропускать через защиту.

Как работает фильтрация:

  1. Клиенты отправляют запросы к вашему ресурсу.

  2. Запросы поступают в нашу облачную систему защиты.

  3. Система проверяет корректность установления TCP-соединений.

  4. Некорректные соединения и весь не-TCP-трафик блокируются.

  5. Все корректные TCP-сессии передаются на ваш ресурс.

Модуль Cybert

Суть схемы: блокируем запросы от любых ботов, кроме разрешённых вами. Защита работает полностью в вашей инфраструктуре: Cybert устанавливается на ваш веб-сервер и сам фильтрует трафик, без посредников на сети.

Что такое Cybert?

Cybert — это разработанный нами модуль для веб-серверов NGINX и Angie. Он ставится на ваш прокси-сервер и блокирует ботов.

Сначала Cybert вычленяет метаданные запросов (без тела и файлов cookies) из расшифрованного трафика и отправляет в нашу систему защиты. Система анализирует их, чтобы выяснить, бот отправил запрос или человек. Затем сверяется с настройками защиты для вашего ресурса и выносит вердикт: стоит пропускать запрос или нет. Например, если вы просили блокировать только парсеры, на запрос от парсера она даст вердикт «блокировать», а вот на запрос поискового краулера — «пропустить». Эти вердикты система присылает Cybert. Модуль их исполняет и фильтрует трафик. В результате запросы от всех ботов, кроме разрешённых вами, блокируются.

Плюсы Cybert:

  • Трафик расшифровывается в вашем контуре, не нужно передавать SSL/TLS-сертификат

  • Чувствительные данные сохраняются в тайне: Cybert не передаёт тело запроса и cookies, он отправляет только метаданные — например, SNI, JA3 fingerprint и другие

  • Схема защиты с Cybert соответствует PCI DSS и ГОСТ Р 57580.1–2017

Кому рекомендуем: пользователям, которые хотят защищаться от ботов он-премис — не менять DNS-записи и не передавать SSL/TLS-сертификаты во внешнюю систему. Подходит для организаций с повышенными требованиями к безопасности.

Что потребуется для подключения схемы:

  1. Заполните опросник (пришлют наши инженеры), чтобы мы настроили защиту под ваши пожелания.

  2. Установите модуль Cybert в вашу инфраструктуру на NGINX- или Angie-серверы. Мы поможем с установкой.

Как работает фильтрация:

  1. Клиенты отправляют запросы к вашему ресурсу.

  2. Трафик попадает на прокси-сервер внутри вашей инфраструктуры, где установлен Cybert и ваш SSL/TLS-сертификат.

  3. Прокси-сервер расшифровывает трафик, используя SSL/TLS-сертификат.

  4. Локальный модуль Cybert вычленяет метаданные запросов (без тела и файлов cookies) и отправляет в нашу облачную систему защиты.

  5. Система анализирует метаданные каждого запроса, чтобы определить, бот его послал или человек.

  6. Система сверяется с настройками защиты вашего ресурса и выносит вердикт по каждому запрос: стоит пропускать его или нет. Например, если вы просили останавливать только парсеры, на запрос от парсера она выдаст «блокировать», а вот на запрос поискового краулера — «пропустить».

  7. Система отправляет вердикты модулю Cybert.

  8. Cybert в вашей инфраструктуре применяет вердикты: одни запросы блокирует, другие пропускает.

  9. К вашему ресурсу поступает очищенный трафик: запросы только от людей и разрешённых вами ботов.

Модуль Cybert + TCP Stream

Суть схемы: сначала фильтруем трафик в облаке – пропускаем в ваш контур только корректные TCP-сессии. Эти сессии принимает веб-сервер в вашей инфраструктуре, где установлен модуль Cybert. Cybert блокирует нелигитимных ботов и пропускает на ресурс только запросы от людей и разрешённых автоматизаций.

Ресурс будет защищён от DDoS-атак и вредных автоматизаций (парсеров, скликивателей рекламы, брутфорса и других) – всё это без раскрытия SSL/TLS-сертификата.

Что такое Cybert?

Cybert — это разработанный нами модуль для веб-серверов NGINX и Angie. Он ставится на ваш прокси-сервер и блокирует ботов.

Сначала Cybert вычленяет метаданные запросов (без тела и файлов cookies) из расшифрованного трафика и отправляет в нашу систему защиты. Система анализирует их, чтобы выяснить, бот отправил запрос или человек. Затем сверяется с настройками защиты для вашего ресурса и выносит вердикт: стоит пропускать запрос или нет. Например, если вы просили блокировать только парсеры, на запрос от парсера она даст вердикт «блокировать», а вот на запрос поискового краулера — «пропустить». Эти вердикты система присылает Cybert. Модуль их исполняет и фильтрует трафик. В результате запросы от всех ботов, кроме разрешённых вами, блокируются.

Плюсы Cybert:

  • Трафик расшифровывается в вашем контуре, не нужно передавать SSL/TLS-сертификат

  • Чувствительные данные сохраняются в тайне: Cybert не передаёт тело запроса и cookies, он отправляет только метаданные — например, SNI, JA3 fingerprint и другие

  • Схема защиты с Cybert соответствует PCI DSS и ГОСТ Р 57580.1–2017

Что такое некорректная TCP-сессия и зачем её блокировать?

Некорректная TCP-сессия — соединение, которое не прошло установление по правилам протокола TCP. Например, оно обрывается на этапе рукопожатия (SYN–SYN/ACK–ACK) или содержит «битые» пакеты с ошибками формата. Чаще всего такие сессии создаются ботнетами во время DDoS-атак: они заваливают сервер полуоткрытыми или неправильными соединениями и мешают реальным пользователям подключаться. Эти сессии не несут полезного трафика, их нужно блокировать.

Зачем блокировать не-TCP трафик?

Чтобы защититься от DDoS-атак. Другие протоколы — например, UDP или ICMP — обычно не используются для работы веб-сервисов, но часто применяются в DDoS-атаках: ботнеты генерируют огромные объёмы UDP- или ICMP-трафика и перегружают канал. Если ваш сервис работает на TCP, лучше отфильтровать все не-TCP-соединения и обезопасить себя.

Кому рекомендуем: пользователям, которым нужно защититься от DDoS-атак и ботов без раскрытия SSL/TLS-сертификата.

Что потребуется для подключения схемы:

  1. Заполните опросник (пришлют наши инженеры), чтобы мы настроили защиту под ваши пожелания.

  2. Установите модуль Cybert в вашу инфраструктуру на NGINX- или Angie-серверы. Поможем с установкой.

  3. Настройте DNS A-запись на выделенный нами IP-адрес.

Как работает фильтрация:

  1. Клиенты отправляют запросы к вашему ресурсу.

  2. Запросы поступают в нашу облачную систему защиты.

  3. Система проверяет корректность установления TCP-соединений.

  4. Некорректные соединения и весь не-TCP-трафик блокируются.

  5. Все корректные TCP-сессии передаются на ваш ресурс.

  6. Трафик попадает на прокси-сервер внутри вашей инфраструктуры, где установлен Cybert и ваш SSL/TLS-сертификат.

  7. Прокси-сервер расшифровывает трафик, используя SSL/TLS-сертификат.

  8. Локальный модуль Cybert вычленяет метаданные запросов (без тела и файлов cookies) и отправляет в нашу облачную систему защиты.

  9. Система анализирует метаданные каждого запроса, чтобы определить, бот его послал или человек.

  10. Система сверяется с настройками защиты вашего ресурса и выносит вердикт по каждому запрос: стоит пропускать его или нет. Например, если вы просили останавливать только парсеры, на запрос от парсера она выдаст «блокировать», а вот на запрос поискового краулера — «пропустить».

  11. Система отправляет вердикты на сервер с модулем Cybert.

  12. Cybert в вашей инфраструктуре применяет вердикты: одни запросы блокирует, другие пропускает.

  13. К вашему ресурсу поступает очищенный трафик: запросы только от людей и разрешённых вами ботов.

IP-транзит с анализом логов ваших серверов

Суть схемы: во время DDoS-атаки блокируем всех ботов, кроме разрешённых вами. В остальное время пропускаем все запросы. Эта схема даёт защиту от DDoS-атак на L3, L4 и L7 уровнях.

Важно: в этой схеме фильтрация более грубая, чем в других – фильтруем трафик по IP, а не по запросам. Это повышает риск false positive — ситуаций, когда под блокировку может попасть легитимный пользователь, если использует тот же IP-адрес или подсеть, что и атакующий.

Пример: мобильные операторы выдают один внешний IP-адрес на сотни или тысячи пользователей. Если с этого адреса бот отправил подозрительный запрос, система может заблокировать IP целиком — вместе с другими пользователями, которые просто заходили на ваш ресурс со смартфона.

Кому рекомендуем: пользователям, которым нужна защита от DDoS-атак и кто не готов на раскрытие SSL/TLS-сертификата или установку модуля Cybert в своей инфраструктуре.

Что потребуется для подключения схемы:

  1. Заполните опросник (пришлют наши инженеры), чтобы мы настроили защиту под ваши пожелания.

  2. Передайте пул защищаемых IP, поднять BGP-сессию с нашей сетью и принять очищенный трафик по L2.

  3. Настройте передачу логов ваших аппаратных платформ (веб‑серверов, WAF и других) в наше облако. Формат логов согласуем с вами.

Как работает фильтрация:

  1. Анонсируем вашу подсеть.

  2. Клиенты отправляют запросы к вашему ресурсу.

  3. Весь трафик направляется в нашу систему защиты.

  4. Пока нет DDoS-атаки, все запросы пропускаются к вашему ресурсу. Как только начинается DDoS-атака, система фильтрует трафик:

    • L3/L4 – фильтрация на основе заголовков пакетов и поведения соединений

    • L7 — фильтрация на основе логов от ваших аппаратных платформ. Несмотря на то, что содержимое пакетов остаётся зашифрованным, логи позволяют нашей системе отличить ботов от людей. Система блокирует IP, с которых идёт нелигитимный ботовый трафик — то есть блокирует всех ботов, кроме тех, которых вы разрешили.

  5. Трафик от людей и разрешённых ботов поступает к вашим ресурсам.