Финансовый риск
От 200 000 до 1 500 000 рублей в час из-за полной недоступности сетевой инфраструктуры. Прямые финансовые потери от простоя корпоративных сервисов и жесткие штрафы за нарушение SLA.
Влияние на KPI
Доступность инфраструктуры (Uptime) падает до 0%. Мгновенный рост оттока корпоративных клиентов (Churn Rate). Пессимизация SEO-позиций во всех поисковых системах.
Уровень критичности
Критический
Кому поручить
DevOps-инженер / Сетевой архитектор (Network Architect)
Когда мощность DDoS-атаки измеряется терабитами в секунду, никакой отдельный сервер или файрвол не справится. Нужно решение, которое работает на уровне глобальной маршрутизации — и этим решением является BGP (Border Gateway Protocol).
BGP — протокол, на котором держится маршрутизация всего интернета. Именно он определяет, по какому пути пойдут ваши пакеты от точки А к точке Б. И именно BGP даёт наиболее мощные инструменты для защиты от DDoS.
В этой статье мы разберём, как BGP используется в Anti-DDoS: от базовых принципов до продвинутых механизмов вроде Flowspec и Anycast.
Что такое BGP: основы для понимания
Протокол маршрутизации интернета
BGP (Border Gateway Protocol) — это протокол динамической маршрутизации, который связывает между собой автономные системы (AS) в интернете. Каждый крупный провайдер, хостинг, облачная платформа — это автономная система со своим номером (ASN).
BGP позволяет автономным системам обмениваться информацией о доступных IP-сетях (префиксах). Когда вы заходите на сайт, BGP определяет оптимальный маршрут от вашего провайдера до сервера сайта через цепочку AS.
Ключевые термины
- AS (Autonomous System) — сеть под единым административным управлением с уникальным номером ASN
- BGP-сессия (peering) — соединение между двумя BGP-маршрутизаторами
- Префикс — блок IP-адресов, объявляемый по BGP (например, 203.0.113.0/24)
- AS-path — последовательность AS, через которые проходит маршрут
- Community — метка, прикрепляемая к BGP-анонсу для управления политиками маршрутизации
Как BGP используется для защиты от DDoS
Принцип перенаправления трафика
Базовая идея BGP-based Anti-DDoS защиты:
1. В нормальном режиме трафик идёт напрямую к вашим серверам
2. При обнаружении атаки трафик перенаправляется через скрабинг-центры провайдера защиты
3. В скрабинг-центре вредоносный трафик отфильтровывается
4. Чистый трафик доставляется к вашим серверам по защищённому каналу (GRE-туннель, прямое подключение)
Перенаправление осуществляется через BGP: провайдер защиты начинает объявлять ваши IP-префиксы от своего имени, и весь трафик к вашим адресам поступает в его сеть.
Режимы работы
#### Always-On (постоянная фильтрация)
Трафик постоянно проходит через скрабинг-центры. Нулевое время реакции на атаку — фильтрация уже включена.
Плюсы:
- Мгновенная защита, нет задержки при переключении
- Постоянный мониторинг и анализ трафика
- Защита от burst-атак (коротких мощных ударов)
Минусы:
- Небольшое увеличение задержки (обычно 1–5 мс)
- Выше стоимость
#### On-Demand (по требованию)
Трафик перенаправляется только при обнаружении атаки. В обычном режиме трафик идёт напрямую.
Плюсы:
- Нет дополнительной задержки в нормальном режиме
- Ниже стоимость
Минусы:
- Время переключения 30 секунд — 2 минуты (BGP convergence)
- Первые секунды атаки проходят без фильтрации
- Не подходит для защиты от коротких burst-атак
AntiDDoS.su поддерживает оба режима. Для критичных сервисов мы рекомендуем Always-On.
BGP Flowspec: гранулярная фильтрация
Что такое Flowspec
BGP Flowspec (RFC 5575, обновлён RFC 8955) — расширение протокола BGP, которое позволяет передавать правила фильтрации трафика непосредственно через BGP-сессию. По сути, это распределённый файрвол на уровне сети.
Если обычный BGP управляет маршрутами (куда отправлять трафик), то Flowspec управляет правилами фильтрации (какой трафик пропускать, а какой блокировать).
Компоненты правила Flowspec
Каждое правило Flowspec состоит из:
Match (условия совпадения):
- IP-адрес источника / назначения
- Протокол (TCP, UDP, ICMP)
- Порт источника / назначения
- Длина пакета
- DSCP-метка
- Фрагментация
- TCP-флаги
Action (действия):
traffic-rate 0— заблокировать (drop)traffic-rate N— ограничить скоростьredirect— перенаправить в VRFtraffic-marking— перемаркировать DSCP
Пример: блокировка UDP Flood
Flowspec Rule:
Destination: 203.0.113.0/24
Protocol: UDP
Source Port: > 1024
Destination Port: 80
Action: traffic-rate 0 (drop)
Это правило блокирует все UDP-пакеты на порт 80 для вашей подсети. Легитимный HTTP-трафик использует TCP, поэтому он не затрагивается.
Пример: rate-limiting DNS Amplification
Flowspec Rule:
Destination: 203.0.113.0/24
Protocol: UDP
Source Port: 53
Packet Length: > 512
Action: traffic-rate 100000 (100 Kbps limit)
Это правило ограничивает входящий DNS-трафик с крупными пакетами до 100 Кбит/с, эффективно купируя DNS Amplification атаку.
Преимущества Flowspec перед традиционными ACL
Anycast: распределение нагрузки DDoS-атаки
Как работает Anycast
Anycast — это метод маршрутизации, при котором один и тот же IP-адрес объявляется из множества географически распределённых точек. Когда пользователь обращается к Anycast-адресу, BGP направляет его к ближайшей точке.
В контексте Anti-DDoS это означает, что DDoS-трафик автоматически распределяется между всеми точками присутствия провайдера защиты. Атака мощностью 5 Тбит/с, распределённая между 50 точками, превращается в 100 Гбит/с на каждую — что значительно легче обработать.
Anycast + BGP-защита
Комбинация Anycast и BGP-фильтрации даёт максимальный эффект:
1. Географическое рассредоточение: атака размазывается по точкам
2. Локальная фильтрация: каждая точка фильтрует свою долю трафика
3. Отказоустойчивость: при выходе точки из строя трафик автоматически перераспределяется
4. Низкая задержка: пользователи обслуживаются ближайшей точкой
RTBH: Remote Triggered Blackhole
Когда всё очень плохо
RTBH (Remote Triggered Blackhole) — механизм BGP для экстренного «зануления» трафика. Используется как крайняя мера, когда фильтрация не справляется или невозможна.
Как работает:
1. Вы отправляете специальный BGP-анонс с community, означающей «blackhole»
2. Ваш провайдер (и его пиры) начинают сбрасывать весь трафик к указанному IP
3. Атака прекращается, но и сервис становится недоступен
Source-based RTBH
Более продвинутый вариант — source-based RTBH. Вместо «зануления» жертвы, блокируется трафик от конкретных источников атаки. Однако это работает только если источники известны и их число ограничено.
RTBH vs Flowspec
Практическое подключение BGP-защиты
Что нужно для подключения
1. Собственный блок IP-адресов (PI или PA) и номер автономной системы (ASN)
- Если у вас нет AS и IP — провайдер защиты может предоставить вам адреса из своего пула
2. BGP-маршрутизатор (или виртуальный маршрутизатор — BIRD, FRRouting, VyOS)
3. Согласие на анонс — провайдер защиты должен быть авторизован анонсировать ваши префиксы (через ROA/RPKI или IRR)
Этапы подключения к AntiDDoS.su
1. Заявка и консультация. Определяем тип защиты (Always-On / On-Demand), оцениваем нагрузку.
2. Техническая подготовка. Настраиваем BGP-сессию, GRE/IPsec-туннель для обратного трафика.
3. Тестовое подключение. Включаем защиту на тестовом префиксе, проверяем корректность фильтрации.
4. Боевое подключение. Переводим трафик через нашу сеть.
5. Мониторинг и оптимизация. Настраиваем правила Flowspec, пороги срабатывания.
Весь процесс занимает от нескольких часов до 2–3 дней в зависимости от сложности инфраструктуры.
Схема подключения
Internet Traffic
│
▼
┌─────────────────┐
│ AntiDDoS.su │
│ Scrubbing │
│ Network │
│ (BGP Anycast) │
└────────┬────────┘
│ Clean Traffic
│ (GRE/Direct)
▼
┌─────────────────┐
│ Your Network │
│ (Origin) │
└─────────────────┘
Преимущества BGP-защиты перед другими методами
Vs DNS-based редирект
DNS-based защита (изменение DNS-записей для перенаправления трафика через прокси) имеет серьёзные ограничения:
- TTL-задержка: смена DNS занимает от минут до часов (кэширование)
- Обход через IP: если атакующий знает реальный IP, DNS-защита бесполезна
- Только HTTP/HTTPS: не защищает другие протоколы
BGP-защита работает на сетевом уровне и защищает весь трафик вне зависимости от протокола.
Vs On-premise аппаратные решения
Установка аппаратных Anti-DDoS устройств (Arbor, Radware, A10) в своей сети:
- Ограничена каналом: если атака превышает пропускную способность канала, устройство бесполезно
- Высокая стоимость: от сотен тысяч долларов за оборудование
- Не масштабируется: для увеличения ёмкости нужно новое оборудование
BGP-защита фильтрует трафик до вашего канала и масштабируется до терабит.
Vs Облачные WAF-прокси
Облачные WAF (Cloudflare, AWS Shield) отлично защищают HTTP/HTTPS, но:
- Только L7: не защищают от volumetric-атак на другие протоколы
- Проксирование: добавляют задержку, ограничивают функциональность
- Vendor lock-in: привязка к экосистеме одного провайдера
BGP-защита — протокольно-агностичная, не требует проксирования и работает с любой инфраструктурой.
BGP-защита и другие уровни безопасности
Лучшая стратегия — многоуровневая защита:
- BGP Anti-DDoS — фильтрация volumetric и protocol-атак на сетевом уровне
- WAF — защита от L7-атак и уязвимостей веб-приложений
- CDN — распределение нагрузки и ускорение контента
AntiDDoS.su предоставляет все три компонента в едином решении, обеспечивая комплексную защиту на каждом уровне.
Технические стандарты BGP-защиты
RFC и стандарты
- RFC 4271 — BGP-4 (основной протокол)
- RFC 5575 — BGP Flowspec (оригинальный)
- RFC 8955 — BGP Flowspec (обновлённый)
- RFC 7999 — BGP Blackhole Community (RTBH)
- RFC 8210 — RPKI-to-Router Protocol
- RFC 6811 — BGP Prefix Origin Validation (RPKI)
RPKI и безопасность BGP
Отдельная важная тема — безопасность самих BGP-анонсов. RPKI (Resource Public Key Infrastructure) защищает от:
- BGP Hijacking — злоумышленник объявляет чужие префиксы
- Route Leaks — непреднамеренная утечка маршрутов
- Prefix Squatting — объявление неиспользуемых префиксов
При подключении BGP-защиты AntiDDoS.su настраивает ROA-записи для валидации анонсов через RPKI.
Заключение
BGP-based защита — наиболее мощный и надёжный метод борьбы с DDoS-атаками. Она работает на сетевом уровне, масштабируется до терабит, не зависит от протокола прикладного уровня и обеспечивает минимальную задержку.
Ключевые инструменты BGP-защиты:
- BGP-перенаправление через скрабинг-центры — базовый механизм фильтрации
- BGP Flowspec — гранулярные правила фильтрации на уровне сети
- Anycast — распределение нагрузки DDoS между точками присутствия
- RTBH — экстренное «зануление» как крайняя мера
При выборе провайдера Anti-DDoS убедитесь, что он поддерживает все эти механизмы и имеет достаточную ёмкость фильтрации.
AntiDDoS.su предоставляет BGP-based Anti-DDoS защиту с ёмкостью фильтрации до 10 Тбит/с, поддержкой Flowspec, Anycast-сетью и подключением за часы.
- --
- Хотите подключить BGP-защиту? Свяжитесь с нами для технической консультации и расчёта стоимости.*
Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:
- Поддерживает ли наш хостинг-провайдер фильтрацию BGP Flowspec для точечной блокировки мусорного трафика?
- Включена ли на сетевых интерфейсах защита от SYN-флуда с помощью технологии SYN Cookies?
- Есть ли у нас резервные каналы связи (GRE/IPsec туннели) с автоматическим переключением (failover)?
Словарь по теме
Origin Server
Основной сервер, где хранится и обрабатывается контент. CDN кэширует контент с origin и раздаёт его пользователям.
Cloudflare
Популярный сервис CDN и защиты от DDoS. Бесплатный план включает базовую защиту, SSL, и ускорение загрузки через глобальную сеть из 300+ дата-центров.
UDP Flood
Атака, при которой на сервер отправляется огромное количество UDP-пакетов на случайные порты, перегружая сетевой канал.
IP-адрес
Уникальный адрес устройства в сети. IPv4 — 4 числа через точку (192.168.1.1), IPv6 — длинный шестнадцатеричный адрес.
Latency
Время отклика — задержка между отправкой запроса и получением ответа. Измеряется в миллисекундах. Чем меньше — тем лучше.
Anycast
Метод маршрутизации, при котором один IP-адрес ведёт к ближайшему из множества серверов. Используется CDN для распределения нагрузки.
DDoS
Распределённая атака на отказ в обслуживании. Множество устройств одновременно отправляют запросы на сервер, перегружая его и делая недоступным для легитимных пользователей.
DNS
Система доменных имён — переводит доменные имена (example.com) в IP-адреса серверов. Атака на DNS может сделать сайт недоступным.