ля начала разберемся со стеками протоколов TCP/IP которые используют для DDOS атак.
Сама по себе TCP/IP это сетевая модель передачи данных в цифровом виде,
которая описывает способ передачи данных от отправителя до получателя.
Стек протоколов TCP/IP всего имеет 4 уровня, это:
Layer 7
Layer 4
Layer 3
Layer 2
Layer 7
Прикладной уровень - протокол верхнего уровня сетевой модели OSI, обеспечивает взаимодействие сети и пользователя.
Данный уровень разрешает пользователям иметь доступ к сетевым службам.
Примеры таких служб: FTP, Telnet, HTTP.
Обычно данный уровень подвержен атаке HTTP методом.
Layer 4
Транспортный уровень - 4-й уровень OSI, предназначен для доставки данных.
Важно понимать что неважно куда и откуда поступают данные, протокол предоставляет сам механизм передачи данных.
Блоки данных он разделяет на фрагменты, размеры зависят напрямую от протокола: длинные он разбивает на части, а короткие объединяет в одни.
Примеры: TCP/UDP
Layer 3
Сетевой уровень - 3-й уровень OSI, предназначен для определение пути для передачи данных.
Данный уровень отвечает за трансляцию логических адресов и имен в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок в сети.
Из примеров: GRE и др.
Layer 2
Канальный уровень - 2-й уровень OSI, предназначен для описи способа кодирования данных для передачи пакета данных на физическом уровне. Данный уровень не используется для проведение DDOS атак.
Разобрались с уровнями OSI, перейдем теперь к защите от атак по данным уровням.
CloudFlare:bomzh:
Как по мне это скорее CDN чем защита, единственный её плюс - она бесплатная.
Итак что-же мы получаем за 0 рублей.
Защита проксированием, с ней ничего не сделаешь но, никто не запрещал обходить стену:podumai:, реальный IP сервера узнается очень просто.
Фильтр HTTP запросов. Он же парень который умрет первым, 10.000 r/s, а эти мощи может позволить даже самый маленький ддосер.
JS заглушка. Как вы её называете крутилка. Ее хватает для супостата который не знает про JSBypass метод.
Капча. Предоставляет наибольшую защиту, как и с проксированием, резолвить реальный IP.
Итог: CloudFlare супер пока в руки не попал реальный айпи адрес. В общем защита нулевая.
DDOS-Guard:press_f:
Умные ребята которые неплохо думают но...
Защита проксированием.
Фильтр HTTP запросов. Лучше чем у CloudFlare но, фильтры не устойчивые к Layer 4 ботнету, достаточно ~40 Gbit трафика и фильтр умирает, а если даже и остается жив то начинает дико лагать.
Итог: хороший фильтр который падает от Layer 4 атак. В общем защита плохая.
OVH:facepalm:
Умные ребята с уникальной защитой. Себя представляет из:
Фильтр Layer 4. Фильтрует он на секундочку UDP амплификации до 500 Gbit. Хорошо подумаешь ты но, хватает TCP трафика что бы защита умерла.
А вот с их линейкой Game серверов все уже получше, т.к. нужен будет ботнет.
Итог: твердая середина.
Qrator:bomzh:
Улетает от банального HTTP флуда.
Итог: игра не стоит свеч.
StormWall:cool_bun:
Это твой лучший друг.
Layer 4/7 под протектом.
Заглушка тоже есть.
Проксирование на месте.
Итог: единственное что можно сделать убить Layer 7 ботнетом но, стоит ли игра свеч? В общем одна из лучших защит.
InCapsula:bomzh:
Полный аналог CloudFlare.
Итог: умирает так-же легко.
Hetzner:press_f:
Фильтр Layer 4 неплохо.
И все...
Итог: никакой защиты от Layer 7 = привет бесплатный софт = пока сайт.
Akamai = Amazon:cool_bun:
Довольно хорошая защита.
Layer 4 под защитой.
Проксирование на месте.
Layer 7 тоже под ~защитой.
Итог: неплохо но ботнет никто не отменял.
Voxility:takeMyMoney:
Про него много сказать нельзя.
Layer 4 под защитой до 950 Gbit.
Layer 7 тоже защищен.
Итог: данной защите нету равных для игровых серверов т.к. защита Layer 4. Данную защиту реально тяжело положить разве что очень крупный ботнет. Вот тут уже игра стоит свеч.
ИТОГ: нету полной защиты от DDOS атак (большинство защит умирают от ботнета по Layer 7), тут уже идет вопрос в другом стоит ли твой сервис затрат на ботнет. В топе лучших Voxility, StormWall, Amazon.
