Защита от DDoS-атак
Бесплатная защита до 40 Гбит/с с каждым сервером. Расширение до 1 Тбит/с для проектов с высоким риском.
Что такое DDoS-защита и почему она критически важна?
DDoS-атака (Distributed Denial of Service) перегружает ваш сервер огромным объёмом нелегитимного трафика, делая его недоступным для реальных пользователей. Для бизнеса, зависящего от аптайма — особенно видеостриминговых платформ, интернет-магазинов и веб-приложений — даже несколько минут простоя означают потерю дохода, ущерб репутации и разочарованных пользователей. DDoS-атаки растут как по частоте, так и по сложности: объёмные атаки регулярно превышают 100 Гбит/с, а атаки уровня приложений обходят простое ограничение скорости. KVS Service включает DDoS-защиту в каждый выделенный сервер, чтобы ваша инфраструктура оставалась доступной даже под атакой.
Какой уровень защиты включён?
Каждый выделенный сервер от KVS Service включает DDoS-защиту бесплатно:
| Функция | Стандартная (бесплатно) | Расширенная (апгрейд) |
|---|---|---|
| Ёмкость фильтрации | До 40 Гбит/с | До 1 Тбит/с |
| Уровни защиты | L3 / L4 | L3 / L4 / L7 |
| Режим активации | Постоянная (always-on) | Постоянная (always-on) |
| Время реакции | < 30 секунд | < 10 секунд |
| Стоимость | Включено бесплатно | Свяжитесь с отделом продаж |
Как работает система DDoS-фильтрации?
Наша DDoS-защита работает в режиме always-on — трафик непрерывно анализируется и фильтруется. Ручная активация не требуется, и нет задержки при начале атаки. Система фильтрации инспектирует весь входящий трафик на границе сети до его попадания на ваш сервер. Легитимный трафик проходит с минимальной дополнительной задержкой (обычно менее 1 миллисекунды), а атакующий трафик идентифицируется и отбрасывается. Система использует комбинацию анализа паттернов трафика, ограничения скорости, IP-репутации и валидации протоколов для различения реальных пользователей и атакующих векторов.
Какие типы DDoS-атак блокируются?
- Объёмные атаки — UDP-флуд, ICMP-флуд, DNS-амплификация, NTP-амплификация и memcached-атаки, которые пытаются перегрузить канал. Стандартная защита 40 Гбит/с поглощает подавляющее большинство объёмных атак на малые и средние проекты.
- Протокольные атаки — SYN-флуд, фрагментированные пакеты и Ping of Death, которые эксплуатируют уязвимости сетевых протоколов. Фильтруются на сетевом уровне до попадания в TCP-стек вашего сервера.
- Атаки уровня приложений (расширенный тариф) — HTTP-флуд, Slowloris и злоупотребление API, нацеленные на ваше веб-приложение. Эти атаки имитируют легитимный трафик и требуют глубокой инспекции пакетов для идентификации и блокировки.
Когда нужно обновиться до 1 Тбит/с?
Стандартная защита 40 Гбит/с достаточна для большинства веб-проектов и видеоплатформ. Рассмотрите апгрейд до 1 Тбит/с, если ваш проект ранее подвергался DDoS-атакам свыше 40 Гбит/с, если вы работаете в индустрии с высоким риском целевых атак (гемблинг, игры, финансы, политические медиа), если простой приведёт к значительным финансовым потерям, превышающим стоимость расширенной защиты, или если вам необходима фильтрация уровня L7 для защиты от сложных бот-атак. Наша команда проанализирует ваш профиль рисков и порекомендует подходящий уровень защиты.
Влияет ли DDoS-защита на производительность сервера?
Нет. Система DDoS-фильтрации работает на границе сети, отдельно от вашего серверного оборудования. В обычном режиме (без атаки) трафик проходит через фильтрующую инфраструктуру с дополнительной задержкой менее 1 миллисекунды — незаметной для конечных пользователей. Во время атаки отбрасывается только вредоносный трафик; легитимный продолжает поступать на ваш сервер без перебоев. CPU, RAM и диски вашего сервера не потребляются процессом фильтрации, потому что он происходит выше по сетевой инфраструктуре.
Как быстро обнаруживается и отражается атака?
При постоянной защите (always-on) задержки обнаружения объёмных и протокольных атак нет — правила фильтрации активны непрерывно. Когда атака начинается, система поглощает дополнительный трафик за секунды. Для стандартного тарифа фильтрация активируется полностью за 30 секунд. Для расширенного — менее чем за 10 секунд. В отличие от DDoS-сервисов по требованию, где необходимо сначала обнаружить атаку (5-15 минут), наш always-on подход означает, что ваш сервер никогда не подвергается нефильтрованному атакующему трафику.
Можно ли отслеживать DDoS-атаки на моём сервере?
При подозрении на DDoS-атаку свяжитесь с нашей круглосуточной службой поддержки для получения информации о характеристиках атаки и статусе фильтрации. Наша команда предоставит данные о векторе атаки, пиковом объёме трафика, продолжительности и эффективности применяемых правил фильтрации.
Часто задаваемые вопросы
DDoS-защита включена бесплатно в серверы KVS Service?
Да. Каждый выделенный сервер включает DDoS-защиту до 40 Гбит/с без доплаты. Защита работает в режиме always-on — трафик непрерывно анализируется и фильтруется без ручной активации. Для проектов с высоким риском защита расширяется до 1 Тбит/с.
Какие типы DDoS-атак блокирует KVS Service?
Стандартный тариф отражает объёмные атаки (UDP-флуд, DNS-амплификация, NTP-амплификация, memcached) и протокольные атаки (SYN-флуд, фрагментированные пакеты). Расширенный тариф добавляет защиту L7 от HTTP-флуда, Slowloris и злоупотреблений API.
Влияет ли DDoS-защита на производительность сервера?
Нет. Система фильтрации работает на границе сети, отдельно от серверного оборудования. В обычном режиме задержка менее 1 миллисекунды. Во время атаки отбрасывается только вредоносный трафик; легитимный продолжает проходить без перебоев.
Когда нужно обновиться до 1 Тбит/с DDoS-защиты?
Стандартные 40 Гбит/с достаточны для большинства проектов. Обновление рекомендуется при атаках свыше 40 Гбит/с, работе в индустрии с высоким риском (гемблинг, игры, финансы) или необходимости фильтрации L7 от сложных бот-атак.