Każdy zasób internetowy jest wyjątkowy, ma własne zachowania i wzorce ruchu. Na przykład na stronie internetowej można spodziewać się ruchu użytkowników tylko z określonych obszarów geograficznych, a w danej sieci wyłącznie ograniczonego zestawu protokołów.
Rozumiejąc, że wzorce ruchu każdego zasobu internetowego są inne, opracowaliśmy Adaptive DDoS Protection — system adaptacyjnej ochrony przed DDoS. Adaptive DDoS Protection dołącza do naszego pakietu zautomatyzowanych zabezpieczeń przed DDoS i wznosi go na wyższy poziom. Nowy system uczy się unikatowych wzorców ruchu i dostosowuje się do nich, zapewniając ochronę przed wyrafinowanymi atakami DDoS.
System Adaptive DDoS Protection jest teraz ogólnie dostępny dla klientów korzystających z planu Enterprise:
HTTP Adaptive DDoS Protection — dostępny dla klientów WAF/CDN korzystających z planu Enterprise, którzy mają również subskrypcję usługi Adaptive DDoS Protection.
L3/4 Adaptive DDoS Protection — dostępny dla klientów Magic Transit i Spectrum korzystających z planu Enterprise.
Adaptive DDoS Protection uczy się Twoich wzorców ruchu
System Adaptive DDoS Protection tworzy profil ruchu na podstawie maksymalnej prędkości ruchu klienta każdego z ostatnich siedmiu dni. Profile są codziennie kalkulowane na nowo na podstawie historii z ostatniego tygodnia. Następnie przechowujemy maksymalne prędkości ruchu odnotowane dla każdej wstępnie zdefiniowanej wartości wymiaru. Każdy profil wykorzystuje jeden wymiar. Wymiary stanowią kraj źródłowy żądania, kraj centrum danych Cloudflare, które otrzymało pakiet IP, agent użytkownika, protokół IP, port docelowy i nie tylko.
Przykładowo w profilu, którego wymiarem jest kraj źródłowy, system odnotuje maksymalne prędkości ruchu z danego kraju, np. 2000 żądań na sekundę (RPS) z Niemiec, 3000 RPS z Francji, 10 000 RPS z Brazylii itd. Ten przykład dotyczy ruchu HTTP, ale Adaptive DDoS Protection profiluje też ruch L3/4 dla naszych klientów korzystających z Magic Transit i Spectrum z planem Enterprise.
Przy wyliczaniu prędkości maksymalnych bierzemy pod uwagę percentyl 95. Oznacza to, że odnotowujemy wszystkie prędkości maksymalne i odrzucamy najwyższe 5%. Ma to na celu wykluczenie z kalkulacji wartości skrajnie wysokich.
Kalkulowanie profili ruchu jest przeprowadzane asynchronicznie, co oznacza, że nie powoduje opóźnień w ruchu naszych klientów. Następnie system rozprasza kompaktową reprezentację profilu po naszej sieci, gdzie konsumują ją nasze systemy ochrony przed DDoS w celu wykrywania i łagodzenia ataków DDoS w bardziej ekonomiczny sposób.
Oprócz profili ruchu system Adaptive DDoS Protection wykorzystuje także generowane prez uczenie maszynowe wskaźniki prawdopodobieństwa, że żądanie pochodzi od bota, jako dodatkowy sygnał pozwalający rozróżnić zautomatyzowany ruch od ruchu użytkowników. Ma to na celu rozróżnienie między faktycznym wzrostem ruchu użytkowników, który odbiega od profilu, a wzrostem zautomatyzowanego i potencjalnie złośliwego ruchu.
Gotowy do działania i łatwy w użyciu
System Adaptive DDoS Protection działa od razu i automatycznie tworzy profile, a klienci mogą później modyfikować ustawienia według potrzeb za pośrednictwem zarządzanych reguł DDoS. Klienci mogą zmienić poziom wrażliwości, wykorzystać pola wyrażenia do tworzenia zastąpień (np. wykluczenia tego typu ruchu) i zmienić działanie łagodzące, by dostosować zachowanie systemu do własnych potrzeb i wzorców ruchu.
Adaptive DDoS Protection dopełnia istniejący system ochrony przed atakami DDoS, który wykorzystuje dynamiczne tworzenie odcisków cyfrowych do wykrywania i łagodzenia ataków DDoS. Systemy współpracują w celu zapewnienia naszym klientom ochrony przed atakami DDoS. Kiedy klienci dodają nowy zasób do Cloudflare, dynamiczne tworzenie odcisków cyfrowych chroni ich automatycznie, nie wymagając żadnych działań użytkownika. Gdy system Adaptive DDoS Protection nauczy się wzorców ruchu użytkowników i utworzy profil, klienci mogą go włączyć w celu zapewnienia dodatkowej warstwy ochrony.
Reguły zawarte w systemie Adaptive DDoS Protection
Mamy przyjemność ogłosić, że obecna wersja systemu Adaptive DDoS Protection Cloudflare zawiera następujące funkcje:
Wymiar profilowania | Dostępność | |
---|---|---|
Klienci WAF/CDN na planie Enterprise z zaawansowaną ochroną przed DDoS | Klienci Magic Transit i Spectrum na planie Enterprise | |
Błędy źródła | ✅ | ❌ |
Kraj i region adresu IP klienta | ✅ | Wkrótce |
Agent użytkownika (globalnie, nie na klienta*) | ✅ | ❌ |
Protokół IP | ❌ | ✅ |
Połączenie protokołu IP i portu docelowego | ❌ | Wkrótce |
*Funkcja rozpoznająca agenta użytkownika analizuje, uczy się i profiluje wszystkich najważniejszych agentów użytkowników, jakich widzimy w sieci Cloudflare. Ta funkcja pomaga nam wykrywać ataki DDoS wykorzystujące starszych lub niepoprawnie skonfigurowanych agentów użytkownika.
Za wyjątkiem ochrony przed DDoS rozpoznającej agenta użytkownika wszystkie reguły systemu Adaptive DDoS Protection są wdrażane w trybie dziennika. Klienci mogą obserwować oflagowany ruch, w razie konieczności zmienić wrażliwość i wdrożyć reguły w trybie łagodzenia ryzyka. Szczegółowe instrukcje znajdują się w tym przewodniku.
Ryzyko ataków DDoS przejdzie do historii
Misją Cloudflare jest pomóc budować lepszy Internet. Na tej podstawie powstała wizja zespołu odpowiedzialnego za ochronę przed DDoS — chcemy sprawić, by ryzyko ataków DDoS przeszło do historii. System Adaptive DDoS Protection Cloudflare przybliża nas o jeden krok do realizacji tej wizji. Sprawia, że nasza ochrona przed DDoS jest jeszcze bardziej inteligentna, wyrafinowana i dostosowana do unikatowych wzorców ruchu oraz potrzeb naszych klientów.
Chcesz dowiedzieć się więcej o systemie Adaptive DDoS Protection Cloudflare? Odwiedź naszą witrynę dewelopera.
Chcesz przejść z obecnego systemu na Adaptive DDoS Protection? Skontaktuj się z zespołem opiekującym się Twoim kontem.
Nie jesteś jeszcze klientem Cloudflare? Porozmawiaj z jednym z naszych ekspertów.