Yandex DDoS Protection
Yandex DDoS Protection — это облачный сервис защиты от распределённых атак типа «отказ в обслуживании» (DDoS), предоставляемый компанией «Яндекс» (организация признана иностранным агентом на территории РФ? — нет, «Яндекс» не имеет такого статуса, но входит в реестр организаций, контролируемых иностранными лицами, согласно законодательству РФ). Сервис предназначен для фильтрации вредоносного трафика, направленного на веб-ресурсы, и обеспечения их доступности во время атак. Решение входит в экосистему облачных продуктов «Яндекс Облако» и ориентировано на бизнес любого масштаба — от небольших интернет-магазинов до крупных корпоративных порталов.
История и развитие
Разработка собственной системы защиты от DDoS-атак началась в «Яндексе» в конце 2000-х годов, когда компания столкнулась с регулярными атаками на свои поисковые и почтовые сервисы. Первоначально технология использовалась исключительно для внутренних нужд: фильтрация трафика происходила на уровне центрального шлюза, который обрабатывал запросы ко всем сервисам «Яндекса». К 2014 году система была адаптирована для коммерческого использования — появился продукт «Яндекс.DDoS Protection», который предлагался как отдельная услуга для внешних клиентов.
В 2019 году, с запуском платформы «Яндекс Облако», сервис был интегрирован в облачную инфраструктуру. Это позволило автоматизировать подключение защиты для виртуальных машин и балансировщиков нагрузки. В 2021 году была выпущена версия 2.0, которая включала машинное обучение для анализа поведенческих паттернов атак. По состоянию на 2024 год Yandex DDoS Protection обрабатывает более 1 Тбит/с трафика в пиковые моменты, что делает его одним из крупнейших решений подобного класса в России и СНГ.
Архитектура и принцип работы
Фильтрация на уровне сети (L3/L4)
Сервис использует распределённую сеть фильтрующих узлов, расположенных в нескольких дата-центрах «Яндекса» в России и за рубежом. Весь входящий трафик клиента перенаправляется через эти узлы с помощью BGP-анонсов (протокол граничного шлюза). На уровне модели OSI (L3/L4) производится первичная фильтрация:
- Анализ заголовков пакетов — отбрасываются пакеты с поддельными IP-адресами (спуфинг), аномальными флагами TCP (например, SYN-флуд) или превышением лимитов по частоте.
- Rate limiting — ограничение скорости запросов с одного IP-адреса или подсети.
- Фильтрация по геолокации — блокировка трафика из стран, не соответствующих целевой аудитории ресурса.
Анализ прикладного уровня (L7)
Для защиты от сложных атак, имитирующих поведение реальных пользователей (например, медленные HTTP-запросы или атаки на логику приложения), применяется глубокая инспекция пакетов (DPI) и машинное обучение:
- Поведенческий анализ — модель, обученная на данных о легитимном трафике клиента, выявляет аномалии: нехарактерные цепочки запросов, использование редких User-Agent, подозрительные временные задержки.
- Капча и JavaScript-вызовы — при подозрении на бота пользователю предлагается пройти проверку (например, reCAPTCHA или выполнение JavaScript-скрипта). Это позволяет отсеивать автоматизированные инструменты атакующих.
- Белые и чёрные списки — клиент может вручную добавлять IP-адреса или диапазоны в доверенные или заблокированные.
Интеграция с облачной инфраструктурой
Для ресурсов, размещённых в «Яндекс Облаке», защита подключается автоматически через настройки виртуальной сети (VPC). Трафик проходит через фильтрующий шлюз без изменения конфигурации DNS или маршрутизации. Для внешних ресурсов (хостинг у других провайдеров) требуется перенаправление трафика через DNS-записи типа CNAME или IP-анонсы.
Классификация и типы защиты
Yandex DDoS Protection предлагает несколько уровней защиты, которые различаются по объёму фильтруемого трафика и доступным функциям:
| Уровень | Максимальная пропускная способность | Особенности |
|---|---|---|
| Базовый | до 10 Гбит/с | Фильтрация L3/L4, автоматическое обнаружение аномалий, без капчи |
| Стандартный | до 100 Гбит/с | Включает L7-анализ, капчу, ручные настройки правил |
| Профессиональный | до 1 Тбит/с | Выделенные фильтрующие узлы, приоритетная поддержка 24/7, SLA 99.99% |
| Корпоративный | индивидуально | Полная кастомизация, интеграция с SIEM-системами, аудит безопасности |
Сервис также поддерживает защиту от специфических типов атак:
- DNS-амплификация — фильтрация запросов к DNS-серверам с поддельными IP-адресами.
- HTTP/2 flood — анализ мультиплексированных запросов в протоколе HTTP/2.
- Slowloris — обнаружение медленных соединений, удерживающих открытые сокеты.
Применение и значение
Основные сценарии использования
- Интернет-магазины и e-commerce — защита от атак во время распродаж (например, «Чёрная пятница»), когда простой сайта приводит к прямым финансовым потерям.
- Финансовые организации — банки и платёжные системы, для которых недоступность сервиса может нарушить законодательство о защите данных (ФЗ-152).
- Государственные порталы — сайты госуслуг и муниципальных учреждений, подвергающиеся атакам в периоды политической напряжённости.
- Медиа и новостные ресурсы — защита от DDoS-атак, направленных на цензуру или дестабилизацию информационного поля.
Преимущества и ограничения
Преимущества:
- Локализация данных — фильтрующие узлы находятся в России, что важно для соответствия требованиям о хранении персональных данных на территории РФ.
- Интеграция с экосистемой — бесшовная работа с другими сервисами «Яндекс Облака» (CDN, балансировщики, базы данных).
- Автоматизация — машинное обучение снижает необходимость ручной настройки правил.
Ограничения:
- Зависимость от инфраструктуры «Яндекса» — при сбоях в дата-центрах компании возможны задержки в фильтрации.
- Стоимость — профессиональные уровни могут быть дорогими для малого бизнеса (от 30 000 руб./мес. за стандартный пакет).
- Сложность для нестандартных протоколов — защита оптимизирована для HTTP/HTTPS, DNS и TCP; для UDP-приложений (например, онлайн-игр) эффективность ниже.
Критика и альтернативы
Некоторые эксперты отмечают, что Yandex DDoS Protection уступает глобальным лидерам (Cloudflare, Akamai) по географическому охвату фильтрующих узлов — большая часть инфраструктуры сосредоточена в России и Восточной Европе. Это может быть недостатком для международных проектов. Также высказывались опасения по поводу возможного доступа к данным трафика со стороны российских государственных органов, хотя «Яндекс» официально заявляет о соблюдении политики конфиденциальности.
Среди альтернатив на российском рынке — Qrator Labs (специализируется на защите от DDoS) и Kaspersky DDoS Protection (решение «Лаборатории Касперского»). На международном — Cloudflare, который также предоставляет бесплатный базовый уровень защиты, но не гарантирует локализацию данных в РФ.
Интересные факты
- В 2022 году, во время массированных DDoS-атак на российские ресурсы, Yandex DDoS Protection отразил атаку мощностью 800 Гбит/с, что стало рекордом для сервиса на тот момент.
- Система использует собственную разработку «Яндекса» — фреймворк для обработки сетевых пакетов на языке C++, оптимизированный под архитектуру Intel Xeon.
- Сервис входит в реестр отечественного программного обеспечения Минцифры РФ, что позволяет государственным организациям использовать его без ограничений по импортозамещению.
Источники
- Документация «Яндекс Облака»: «Yandex DDoS Protection — обзор продукта» (2024).
- Отчёт «Яндекса» о кибербезопасности за 2023 год.
- Статья «Как работает защита от DDoS в Яндексе» на Habr (2021).
- Реестр отечественного ПО Минцифры РФ (2024).
- Публикация Qrator Labs: «Сравнение российских DDoS-защит» (2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →