Тема
Режим
Язык
Тема
Режим
Язык
Регистрация
FREE Бесплатный аудит сайта за 15 мин Заказать →

BGP-защита от DDoS: как это работает

Техническое руководство по BGP-защите от DDoS: протокол BGP, Flowspec, Anycast, Remote Triggered Blackhole. Почему BGP — лучшее решение для Anti-DDoS.

Executive Summary для руководителя
💰

Финансовый риск

От 200 000 до 1 500 000 рублей в час из-за полной недоступности сетевой инфраструктуры. Прямые финансовые потери от простоя корпоративных сервисов и жесткие штрафы за нарушение SLA.

📈

Влияние на KPI

Доступность инфраструктуры (Uptime) падает до 0%. Мгновенный рост оттока корпоративных клиентов (Churn Rate). Пессимизация SEO-позиций во всех поисковых системах.

⚠️

Уровень критичности

Критический

👤

Кому поручить

DevOps-инженер / Сетевой архитектор (Network Architect)

Когда мощность DDoS-атаки измеряется терабитами в секунду, никакой отдельный сервер или файрвол не справится. Нужно решение, которое работает на уровне глобальной маршрутизации — и этим решением является BGP (Border Gateway Protocol).

BGP — протокол, на котором держится маршрутизация всего интернета. Именно он определяет, по какому пути пойдут ваши пакеты от точки А к точке Б. И именно BGP даёт наиболее мощные инструменты для защиты от DDoS.

В этой статье мы разберём, как BGP используется в Anti-DDoS: от базовых принципов до продвинутых механизмов вроде Flowspec и Anycast.

01

Что такое BGP: основы для понимания

Протокол маршрутизации интернета

BGP (Border Gateway Protocol) — это протокол динамической маршрутизации, который связывает между собой автономные системы (AS) в интернете. Каждый крупный провайдер, хостинг, облачная платформа — это автономная система со своим номером (ASN).

BGP позволяет автономным системам обмениваться информацией о доступных IP-сетях (префиксах). Когда вы заходите на сайт, BGP определяет оптимальный маршрут от вашего провайдера до сервера сайта через цепочку AS.

Ключевые термины

  • AS (Autonomous System) — сеть под единым административным управлением с уникальным номером ASN
  • BGP-сессия (peering) — соединение между двумя BGP-маршрутизаторами
  • Префикс — блок IP-адресов, объявляемый по BGP (например, 203.0.113.0/24)
  • AS-path — последовательность AS, через которые проходит маршрут
  • Community — метка, прикрепляемая к BGP-анонсу для управления политиками маршрутизации
02

Как BGP используется для защиты от DDoS

Принцип перенаправления трафика

Базовая идея BGP-based Anti-DDoS защиты:

1. В нормальном режиме трафик идёт напрямую к вашим серверам
2. При обнаружении атаки трафик перенаправляется через скрабинг-центры провайдера защиты
3. В скрабинг-центре вредоносный трафик отфильтровывается
4. Чистый трафик доставляется к вашим серверам по защищённому каналу (GRE-туннель, прямое подключение)

Перенаправление осуществляется через BGP: провайдер защиты начинает объявлять ваши IP-префиксы от своего имени, и весь трафик к вашим адресам поступает в его сеть.

Режимы работы

#### Always-On (постоянная фильтрация)

Трафик постоянно проходит через скрабинг-центры. Нулевое время реакции на атаку — фильтрация уже включена.

Плюсы:

  • Мгновенная защита, нет задержки при переключении
  • Постоянный мониторинг и анализ трафика
  • Защита от burst-атак (коротких мощных ударов)

Минусы:

  • Небольшое увеличение задержки (обычно 1–5 мс)
  • Выше стоимость

#### On-Demand (по требованию)

Трафик перенаправляется только при обнаружении атаки. В обычном режиме трафик идёт напрямую.

Плюсы:

  • Нет дополнительной задержки в нормальном режиме
  • Ниже стоимость

Минусы:

  • Время переключения 30 секунд — 2 минуты (BGP convergence)
  • Первые секунды атаки проходят без фильтрации
  • Не подходит для защиты от коротких burst-атак

AntiDDoS.su поддерживает оба режима. Для критичных сервисов мы рекомендуем Always-On.

03

BGP Flowspec: гранулярная фильтрация

Что такое Flowspec

BGP Flowspec (RFC 5575, обновлён RFC 8955) — расширение протокола BGP, которое позволяет передавать правила фильтрации трафика непосредственно через BGP-сессию. По сути, это распределённый файрвол на уровне сети.

Если обычный BGP управляет маршрутами (куда отправлять трафик), то Flowspec управляет правилами фильтрации (какой трафик пропускать, а какой блокировать).

Компоненты правила Flowspec

Каждое правило Flowspec состоит из:

Match (условия совпадения):

  • IP-адрес источника / назначения
  • Протокол (TCP, UDP, ICMP)
  • Порт источника / назначения
  • Длина пакета
  • DSCP-метка
  • Фрагментация
  • TCP-флаги

Action (действия):

  • traffic-rate 0 — заблокировать (drop)
  • traffic-rate N — ограничить скорость
  • redirect — перенаправить в VRF
  • traffic-marking — перемаркировать DSCP

Пример: блокировка UDP Flood

Flowspec Rule:
  Destination: 203.0.113.0/24
  Protocol: UDP
  Source Port: > 1024
  Destination Port: 80
  Action: traffic-rate 0  (drop)

Это правило блокирует все UDP-пакеты на порт 80 для вашей подсети. Легитимный HTTP-трафик использует TCP, поэтому он не затрагивается.

Пример: rate-limiting DNS Amplification

Flowspec Rule:
  Destination: 203.0.113.0/24
  Protocol: UDP
  Source Port: 53
  Packet Length: > 512
  Action: traffic-rate 100000  (100 Kbps limit)

Это правило ограничивает входящий DNS-трафик с крупными пакетами до 100 Кбит/с, эффективно купируя DNS Amplification атаку.

Преимущества Flowspec перед традиционными ACL

Сравнение решений

Параметр ACL на маршрутизаторе BGP Flowspec
Распространение Ручная настройка на каждом устройстве Автоматическое через BGP
Скорость применения Минуты (вручную) Секунды (автоматически)
Масштабируемость Ограничена Распространяется на всю сеть
Гранулярность Высокая Высокая
Автоматизация Сложная Нативная через BGP

* Бесплатный план — базовая поддержка. Полная 24/7 поддержка на Pro+ тарифах.

04

Anycast: распределение нагрузки DDoS-атаки

Как работает Anycast

Anycast — это метод маршрутизации, при котором один и тот же IP-адрес объявляется из множества географически распределённых точек. Когда пользователь обращается к Anycast-адресу, BGP направляет его к ближайшей точке.

В контексте Anti-DDoS это означает, что DDoS-трафик автоматически распределяется между всеми точками присутствия провайдера защиты. Атака мощностью 5 Тбит/с, распределённая между 50 точками, превращается в 100 Гбит/с на каждую — что значительно легче обработать.

Anycast + BGP-защита

Комбинация Anycast и BGP-фильтрации даёт максимальный эффект:

1. Географическое рассредоточение: атака размазывается по точкам
2. Локальная фильтрация: каждая точка фильтрует свою долю трафика
3. Отказоустойчивость: при выходе точки из строя трафик автоматически перераспределяется
4. Низкая задержка: пользователи обслуживаются ближайшей точкой

05

RTBH: Remote Triggered Blackhole

Когда всё очень плохо

RTBH (Remote Triggered Blackhole) — механизм BGP для экстренного «зануления» трафика. Используется как крайняя мера, когда фильтрация не справляется или невозможна.

Как работает:
1. Вы отправляете специальный BGP-анонс с community, означающей «blackhole»
2. Ваш провайдер (и его пиры) начинают сбрасывать весь трафик к указанному IP
3. Атака прекращается, но и сервис становится недоступен

Source-based RTBH

Более продвинутый вариант — source-based RTBH. Вместо «зануления» жертвы, блокируется трафик от конкретных источников атаки. Однако это работает только если источники известны и их число ограничено.

RTBH vs Flowspec

Сравнение решений

Параметр RTBH Flowspec
Гранулярность Только IP-адрес IP + порт + протокол + размер
Побочный эффект Блокировка всего трафика к IP Точечная фильтрация
Сложность Простой Более сложный
Поддержка Практически все провайдеры Крупные провайдеры
Применение Экстренная мера Основной инструмент фильтрации

* Бесплатный план — базовая поддержка. Полная 24/7 поддержка на Pro+ тарифах.

06

Практическое подключение BGP-защиты

Что нужно для подключения

1. Собственный блок IP-адресов (PI или PA) и номер автономной системы (ASN)

  • Если у вас нет AS и IP — провайдер защиты может предоставить вам адреса из своего пула

2. BGP-маршрутизатор (или виртуальный маршрутизатор — BIRD, FRRouting, VyOS)
3. Согласие на анонс — провайдер защиты должен быть авторизован анонсировать ваши префиксы (через ROA/RPKI или IRR)

Этапы подключения к AntiDDoS.su

1. Заявка и консультация. Определяем тип защиты (Always-On / On-Demand), оцениваем нагрузку.
2. Техническая подготовка. Настраиваем BGP-сессию, GRE/IPsec-туннель для обратного трафика.
3. Тестовое подключение. Включаем защиту на тестовом префиксе, проверяем корректность фильтрации.
4. Боевое подключение. Переводим трафик через нашу сеть.
5. Мониторинг и оптимизация. Настраиваем правила Flowspec, пороги срабатывания.

Весь процесс занимает от нескольких часов до 2–3 дней в зависимости от сложности инфраструктуры.

Схема подключения

Internet Traffic
      │
      ▼
┌─────────────────┐
│  AntiDDoS.su    │
│  Scrubbing      │
│  Network        │
│  (BGP Anycast)  │
└────────┬────────┘
         │  Clean Traffic
         │  (GRE/Direct)
         ▼
┌─────────────────┐
│  Your Network   │
│  (Origin)       │
└─────────────────┘
07

Преимущества BGP-защиты перед другими методами

Vs DNS-based редирект

DNS-based защита (изменение DNS-записей для перенаправления трафика через прокси) имеет серьёзные ограничения:

  • TTL-задержка: смена DNS занимает от минут до часов (кэширование)
  • Обход через IP: если атакующий знает реальный IP, DNS-защита бесполезна
  • Только HTTP/HTTPS: не защищает другие протоколы

BGP-защита работает на сетевом уровне и защищает весь трафик вне зависимости от протокола.

Vs On-premise аппаратные решения

Установка аппаратных Anti-DDoS устройств (Arbor, Radware, A10) в своей сети:

  • Ограничена каналом: если атака превышает пропускную способность канала, устройство бесполезно
  • Высокая стоимость: от сотен тысяч долларов за оборудование
  • Не масштабируется: для увеличения ёмкости нужно новое оборудование

BGP-защита фильтрует трафик до вашего канала и масштабируется до терабит.

Vs Облачные WAF-прокси

Облачные WAF (Cloudflare, AWS Shield) отлично защищают HTTP/HTTPS, но:

  • Только L7: не защищают от volumetric-атак на другие протоколы
  • Проксирование: добавляют задержку, ограничивают функциональность
  • Vendor lock-in: привязка к экосистеме одного провайдера

BGP-защита — протокольно-агностичная, не требует проксирования и работает с любой инфраструктурой.

08

BGP-защита и другие уровни безопасности

Лучшая стратегия — многоуровневая защита:

  • BGP Anti-DDoS — фильтрация volumetric и protocol-атак на сетевом уровне
  • WAF — защита от L7-атак и уязвимостей веб-приложений
  • CDN — распределение нагрузки и ускорение контента

AntiDDoS.su предоставляет все три компонента в едином решении, обеспечивая комплексную защиту на каждом уровне.

09

Технические стандарты BGP-защиты

RFC и стандарты

  • RFC 4271 — BGP-4 (основной протокол)
  • RFC 5575 — BGP Flowspec (оригинальный)
  • RFC 8955 — BGP Flowspec (обновлённый)
  • RFC 7999 — BGP Blackhole Community (RTBH)
  • RFC 8210 — RPKI-to-Router Protocol
  • RFC 6811 — BGP Prefix Origin Validation (RPKI)

RPKI и безопасность BGP

Отдельная важная тема — безопасность самих BGP-анонсов. RPKI (Resource Public Key Infrastructure) защищает от:

  • BGP Hijacking — злоумышленник объявляет чужие префиксы
  • Route Leaks — непреднамеренная утечка маршрутов
  • Prefix Squatting — объявление неиспользуемых префиксов

При подключении BGP-защиты AntiDDoS.su настраивает ROA-записи для валидации анонсов через RPKI.

10

Заключение

BGP-based защита — наиболее мощный и надёжный метод борьбы с DDoS-атаками. Она работает на сетевом уровне, масштабируется до терабит, не зависит от протокола прикладного уровня и обеспечивает минимальную задержку.

Ключевые инструменты BGP-защиты:

  • BGP-перенаправление через скрабинг-центры — базовый механизм фильтрации
  • BGP Flowspec — гранулярные правила фильтрации на уровне сети
  • Anycast — распределение нагрузки DDoS между точками присутствия
  • RTBH — экстренное «зануление» как крайняя мера

При выборе провайдера Anti-DDoS убедитесь, что он поддерживает все эти механизмы и имеет достаточную ёмкость фильтрации.

AntiDDoS.su предоставляет BGP-based Anti-DDoS защиту с ёмкостью фильтрации до 10 Тбит/с, поддержкой Flowspec, Anycast-сетью и подключением за часы.

  • --
  • Хотите подключить BGP-защиту? Свяжитесь с нами для технической консультации и расчёта стоимости.*

Тест: Разбираетесь ли вы в защите на уровне BGP?

Вопрос 1 из 2
Какая технология BGP позволяет фильтровать трафик на уровне магистральных провайдеров?
BGP Flowspec позволяет передавать правила фильтрации трафика прямо в BGP-анонсах на апстримы.
Что делает технология BGP Anycast во время DDoS-атаки?
Anycast анонсирует один IP из разных локаций, благодаря чему атака распределяется и гасится на ближайших точках.
0 / 2
Чек-лист проверки для владельца бизнеса

Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:

  • Поддерживает ли наш хостинг-провайдер фильтрацию BGP Flowspec для точечной блокировки мусорного трафика?
  • Включена ли на сетевых интерфейсах защита от SYN-флуда с помощью технологии SYN Cookies?
  • Есть ли у нас резервные каналы связи (GRE/IPsec туннели) с автоматическим переключением (failover)?

Словарь по теме

Origin Server

Основной сервер, где хранится и обрабатывается контент. CDN кэширует контент с origin и раздаёт его пользователям.

Cloudflare

Популярный сервис CDN и защиты от DDoS. Бесплатный план включает базовую защиту, SSL, и ускорение загрузки через глобальную сеть из 300+ дата-центров.

UDP Flood

Атака, при которой на сервер отправляется огромное количество UDP-пакетов на случайные порты, перегружая сетевой канал.

IP-адрес

Уникальный адрес устройства в сети. IPv4 — 4 числа через точку (192.168.1.1), IPv6 — длинный шестнадцатеричный адрес.

Latency

Время отклика — задержка между отправкой запроса и получением ответа. Измеряется в миллисекундах. Чем меньше — тем лучше.

Anycast

Метод маршрутизации, при котором один IP-адрес ведёт к ближайшему из множества серверов. Используется CDN для распределения нагрузки.

DDoS

Распределённая атака на отказ в обслуживании. Множество устройств одновременно отправляют запросы на сервер, перегружая его и делая недоступным для легитимных пользователей.

DNS

Система доменных имён — переводит доменные имена (example.com) в IP-адреса серверов. Атака на DNS может сделать сайт недоступным.

Получите план защиты под ваш сайт

Оставьте контакт и адрес сайта — пришлём план защиты и список приоритетных шагов.

  • Приоритетные шаги на 7 дней
  • Быстрая обратная связь
  • План в удобном формате
Без спама. Можно указать Telegram (@username) или email.
Написать в Telegram