Каждый интернет-ресурс уникален, и его трафик имеет свои собственные характеристики и особенности. Например, для веб-сайта может быть характерен пользовательский трафик только из определенных регионов, а для сети — лишь ограниченный набор протоколов.
Уникальность характеристик трафика каждого ресурса и лежит в основе разработанной нами системы адаптивной DDoS-защиты. Адаптивная DDoS-защита становится составной частью нашего пакета автоматизированных средств защиты от DDoS и выводит его на следующий уровень. Новая система, анализируя уникальные особенности вашего трафика, адаптируется для защиты от сложных DDoS-атак.
Адаптивная защита от DDoS теперь доступна всем клиентам на плане Enterprise:
Адаптивная защита от DDoS-атак по HTTP доступна клиентам WAF/CDN на плане Enterprise, если они подписаны на сервис Advanced DDoS Protection (Расширенная DDoS-защита).
Адаптивная защита от DDoS-атак на уровнях L3/L4 доступна клиентам Magic Transit и Spectrum на плане Enterprise.
Адаптивная защита от DDoS анализирует особенности вашего трафика
Система адаптивной DDoS-защиты формирует профили трафика, исходя из максимальной интенсивности трафика за сутки в течение последних семи дней. Профили ежедневно пересчитываются на основе истории за последние семь дней. Система сохраняет данные о максимальной интенсивности трафика по каждому заранее определенному параметру. В каждом профиле используется только один параметр. В число параметров входят: страна-источник запроса, страна местонахождения центра обработки данных Cloudflare, получившего IP-пакет, агент пользователя, протокол IP, порты назначения и др.
Так, например, для профиля с параметром «страна-источник» система будет регистрировать максимальную интенсивность трафика, поступающего из каждой страны, например: 2 000 запросов/сек. из Германии, 3 000 запросов/сек. из Франции, 10 000 запросов/сек. из Бразилии и т. д. Этот пример касается HTTP-трафика, но система адаптивной DDoS-защиты также осуществляет профилирование трафика уровней L3/L4 для клиентов сервисов Magic Transit и Spectrum на плане Enterprise.
Следует иметь в виду, что для данных о максимальной интенсивности трафика мы используем 95-ю процентиль. Это означает, что мы берем максимальные величины и отбрасываем верхние 5 %. Это делается для того, чтобы удалить из расчетов экстремальные значения.
Расчет профилей трафика осуществляется асинхронно, т. е. он не приводит к увеличению сетевых задержек для трафика клиента. Система затем распространяет компактные представления профилей по всей нашей сети, и они используются нашими системами DDoS-защиты для обнаружения и нейтрализации DDoS-атак.
Помимо профилей трафика, адаптивная DDoS-защита также использует генерируемые системой машинного обучения Cloudflare "оценки бота", они служат в качестве дополнительного сигнала, помогающего отличить пользовательский трафик от автоматизированного. Эти оценки используются для того, чтобы отличить отклоняющиеся от профиля пики легитимного трафика от всплесков автоматизированного и потенциально вредоносного трафика.
Защита "из коробки", легкость в использовании
Адаптивная DDoS-защита начинает работать сразу после подключения. Она автоматически создает профили, после чего клиенты по мере необходимости могут корректировать и оптимизировать настройки с помощью правил DDoS Managed. Клиенты могут менять уровень чувствительности, создавать исключения, используя поля выражений (например, чтобы исключить трафик такого типа), а также выбирать вид противодействия, что дает возможность адаптировать поведение системы в соответствии с потребностями и особенностями трафика.
Адаптивная DDoS-защита служит в качестве дополнения к нашей системе защиты от DDoS, использующей для обнаружения и нейтрализации DDoS-атак динамическое формирование цифровых отпечатков. Обе системы работают совместно, защищая наших клиентов от DDoS-атак. Как только клиент подключает к Cloudflare новый интернет-ресурс, система динамического формирования цифровых отпечатков автоматически и немедленно берет его под защиту, от пользователя не требуется никаких действий. После того как система адаптивной DDoS-защиты проанализирует особенности легитимного трафика клиента и создаст его профиль, пользователь может включить ее, чтобы обеспечить дополнительный уровень защиты.
Правила, включенные в адаптивную систему DDoS-защиты
Мы рады сообщить, что в рамках данного релиза в систему адаптивной DDoS-защиты Cloudflare включены следующие функции:
.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-q2ib{background-color:#CFE2F3;font-family:inherit;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-u5z2{font-family:inherit;text-align:center;vertical-align:top}
| Profiling Dimension | Availability | |
|---|---|---|
| WAF/CDN customers on the Enterprise plan with Advanced DDoS | Magic Transit & Spectrum Enterprise customers | |
| Origin errors | ✅ | ❌ |
| Client IP Country & region | ✅ | Coming soon |
| User Agent (globally, not per customer*) | ✅ | ❌ |
| IP Protocol | ❌ | ✅ |
| Combination of IP Protocol and Destination Port | ❌ | Coming soon |
Параметр профиля
Доступность
Клиенты WAF/CDN на плане Enterprise с подпиской на Advanced DDoS
Клиенты Magic Transit и Spectrum на плане Enterprise
Ошибки сервера-источника
✅
❌
Страна и регион IP-адреса пользователя
✅
Скоро
Агент пользователя (глобально, без детализации по отдельным клиентам*)
✅
❌
Протокол IP
❌
✅
Сочетание протокола IP и порта назначения
❌
Скоро
*Функция UA-aware DDoS Protection (DDoS-защита с учетом агентов пользователя) анализирует и профилирует наиболее распространенные агенты пользователя, наблюдаемые в сети Cloudflare. Данная функция помогает обнаружить DDoS-атаки, использующие устаревшие или неправильно сконфигурированные агенты пользователя.
За исключением UA-aware DDoS Protection, правила адаптивной DDoS-защиты работают в режиме журналирования. Клиенты могут просмотреть помеченный трафик, настроить при необходимости уровень чувствительности и затем развернуть правила в режиме нейтрализации. Для этого необходимо выполнить шаги, приведенные в данном руководстве.
Наша цель: лишить DDoS-атаки возможности причинять ущерб
Миссия Cloudflare — способствовать развитию и совершенствованию Интернета. Задачи наших специалистов по защите от DDoS вытекают из этой миссии. Наша цель состоит в том, чтобы лишить DDoS-атаки возможности причинять ущерб. Адаптивная DDoS-защита Cloudflare — шаг на пути к этой цели: мы стремимся сделать DDoS-защиту Cloudflare еще более интеллектуальной, высокотехнологичной и адаптированной к уникальным особенностям трафика и индивидуальным потребностям наших клиентов.
Хотите узнать подробнее об адаптивной DDoS-защите Cloudflare? Посетите наш сайт для разработчиков.
Хотите сменить тарифный план, чтобы получить доступ к адаптивной DDoS-защите? Свяжитесь с нашими специалистами по работе с клиентами.
Пока не являетесь клиентом Cloudflare? Поговорите с нашим экспертом.