Как мы в ESTT создали самописную DDoS-защиту для дата-центра
DDoS-атаки — серьезная угроза для любого, кто работает с сетевой инфраструктурой. Особенно когда ты отвечаешь за стабильность инфраструктуры, через которую проходят десятки клиентов и тысячи запросов в секунду.
Мы в ESTT решили: никаких универсальных решений — делаем свое. Без коробок, без магии, только логика, контроль и инженерия под нашу архитектуру. Так появилась самописная система фильтрации, которая уже несколько лет «держит удар» даже в самые сложные периоды.
В этой статье рассказываем, как мы пришли к собственному решению, что в нем особенного и почему в какой-то момент просто не осталось другого выбора.
Что делает DDoS-атаки опасными для дата-центров
Когда начинается DDoS-атака, в зону риска попадают ключевые элементы: маршрутизаторы, агрегационные узлы, виртуализация, ядро сети. Все, что держит на себе нагрузку, может сломаться под напором. И опасность не только в объеме.
Есть атаки «по-тихому» — без всплесков, без очевидного шума в метриках. Они изнутри перегружают процессы, ломают синхронизацию, заставляют кластеры работать неправильно. И если их не заметить вовремя, последствия бывают серьезнее, чем от любого массового флуда.
Почему мы отказались от готовых DDoS-решений
Еще в 2014 году стало понятно, что стандартные DDoS-защиты нам не подходят. Причин несколько. Во-первых, избыточная универсальность. Во-вторых — громоздкость. В-третьих, высокая цена и сложности при внедрении. Но главное — они слабо справляются с интеллектуальными атаками, которые не дают всплеска, а бьют по внутренним узлам.
Мы начали с нуля. Без давления по срокам, без жестких бизнес-требований. Просто начали разбираться, как выглядит паразитный трафик вживую — на уровне пакетов, сессий, протоколов. Можно ли его формализовать? Как его выявить до того, как он начнет вредить?
Этот процесс оказался не только полезным, но и по-настоящему интересным. Мы считали энтропию, искали корреляции, использовали математику и визуализацию, экспериментировали. Даже обучили простую нейросеть, которая «смотрела» на трафик как на изображение. В итоге собрали рабочий набор признаков — больше 20 параметров и алгоритмов, с помощью которых можно отличать вредоносные потоки от обычных.
Как работает наша система фильтрации трафика
Все строилось на принципе параллельного анализа. Чтобы не мешать работе основной сети, весь поток зеркалируется на отдельный IDS-сервер. Анализ запускается уже на сетевой карте. Современное «железо» позволяет встроить в нее программы — мы это использовали. Карта сама отбрасывает «чистые» данные, а подозрительные пакеты направляет дальше — в ядро.
Там вступают в работу вторичные алгоритмы. Они анализируют поток по множеству признаков, объединяют результаты, рассчитывают весовые коэффициенты. Если поток признается вредоносным, система отсылает команду маршрутизатору — а тот перенаправляет его на IPS-сервер, где трафик изолируется или блокируется.
Чем самописная защита лучше коробочных решений
Коммерческие DDoS-решения создаются по принципу «один фильтр для всех». В теории это удобно. На практике — сложно. Много ненужного функционала, сложная настройка, проблемы в нестандартных инфраструктурах. Нам это не подходило.
Мы пошли другим путем. Сделали систему, заточенную под конкретную архитектуру, под наши сервисы и наш трафик. Получился инструмент, в котором нет лишнего — он понятен, легок и полностью прозрачен для инженеров. Никаких «магических» черных ящиков.
Что особенно важно:
- точная подстройка под реальную инфраструктуру;
- возможность оперативной доработки и обновлений;
- полный контроль над логикой и алгоритмами;
- оптимизация на уровне сетевой карты и ядра.
Мы не «прикрутили» фильтр к сети. Мы сделали его частью ее строения. Эта система понимает нашу инфраструктуру — от хранилищ до шлюзов — и работает внутри нее, а не поверх.
Что умеет наша система защиты от DDoS-атак
Интеграция «в ткань» инфраструктуры позволила реализовать ряд нестандартных, но крайне полезных функций:
- фильтрация трафика на уровне сетевой карты до попадания пакета в систему;
- приоритезация трафика, чувствительного к задержкам;
- поведенческий анализ, обученный на реальном, живом трафике нашего дата-центра, а не на обезличенной выборке.
Именно это позволяет системе работать эффективно в реальных условиях, а не в демонстрационных стендах.
Ключевые модули и логика обработки трафика
Система построена модульно, каждый компонент отвечает за свой этап обработки трафика. Ниже их список и основная роль.
- Детекторы отслеживают поведение потоков, находят аномалии, статистические отклонения, узнаваемые паттерны и нестабильную динамику.
- Фильтры задают правила по типам пакетов, протоколам, подсетям и другим параметрам. Гибкая настройка позволяет учитывать специфику инфраструктуры.
- Механизм принятия решений вычисляет итоговые коэффициенты риска, может работать с обученными моделями.
- Контур блокировки взаимодействует с маршрутизаторами и IPS, позволяя изолировать вредоносный трафик без задержек.
Модули работают как единая экосистема, обеспечивая быструю и точную нейтрализацию угроз при минимальной нагрузке на саму сеть.
Как система отражает разные типы DDoS-атак
Наша система адаптируется под сценарий атаки и применяет соответствующую стратегию.
- Флуд-атаки. Отслеживаются частота, объем, TTL-поля, география источников. Выявляются волны однотипных запросов до того, как они перегрузят инфраструктуру.
- Атаки с ботнетов. Система определяет «шумных» клиентов с подозрительными шаблонами соединений, слишком частыми попытками подключения, аномалиями по протоколам.
- Reflection и amplification. В фокусе — характерные ответы, открытые усилители (например, DNS или NTP), нестандартные порты, схемы обратной маршрутизации.
Для каждой категории угроз — свой подход, и именно гибкость обработки позволяет системе эффективно работать в боевых условиях.
Как мы тестировали и внедряли систему в сеть
На старте мы развернули тестовый стенд — за пределами основного периметра, чтобы не рисковать. Запустили генератор паразитного трафика, проверили, как система реагирует на паттерны. Когда убедились, что все работает, начали поэтапное внедрение. Сначала магистральные маршрутизаторы. Потом — узлы виртуализации. Сейчас защита охватывает ключевые точки агрегации ESTT и работает в постоянном режиме.
Интеграция, автоматизация и планы развития системы защиты
Система встроена в наши мониторинговые и логирующие решения, поддерживает интеграцию с SIEM-платформами. Есть панель управления — можно вмешиваться вручную, но большинство задач уже работают в автомате.
Дальше — развитие. Планируем усилить поведенческий анализ, подключить полноценное ML-моделирование, автоматизировать генерацию сигнатур, добавить визуализацию в виде графов и наладить сквозную корреляцию по сегментам сети.
Результаты работы и выводы по системе защиты
За годы эксплуатации система доказала эффективность. Ложные срабатывания — минимальны. Реальные угрозы распознаются на ранних стадиях, задолго до того, как начинают вредить.
Итог: это не просто фильтр, а адаптивная, «живая» часть нашей инфраструктуры. А для клиентов с критически важными сервисами это особенно ценно. У них нет права на простой. Поэтому мы изначально делали систему не как «опцию», а как базу для надежной работы дата-центра.
Если вы создаете IT-продукты, управляете цифровым бизнесом, готовитесь к запуску сервиса, желаете провести аудит вашей инфраструктуры или просто хотите знать больше обо всем, что связано с центрами обработки данных, их созданием и перспективами развития цифровых технологий в эпоху ИИ — подписывайтесь на соцсети и блоги ESTT: они обо всем вам расскажут!