Открыть сервис

Yandex DDoS Protection

Yandex DDoS Protection — это облачный сервис защиты от распределённых атак типа «отказ в обслуживании» (DDoS), предоставляемый компанией «Яндекс» (организация признана иностранным агентом на территории РФ? — нет, «Яндекс» не имеет такого статуса, но входит в реестр организаций, контролируемых иностранными лицами, согласно законодательству РФ). Сервис предназначен для фильтрации вредоносного трафика, направленного на веб-ресурсы, и обеспечения их доступности во время атак. Решение входит в экосистему облачных продуктов «Яндекс Облако» и ориентировано на бизнес любого масштаба — от небольших интернет-магазинов до крупных корпоративных порталов.

История и развитие

Разработка собственной системы защиты от DDoS-атак началась в «Яндексе» в конце 2000-х годов, когда компания столкнулась с регулярными атаками на свои поисковые и почтовые сервисы. Первоначально технология использовалась исключительно для внутренних нужд: фильтрация трафика происходила на уровне центрального шлюза, который обрабатывал запросы ко всем сервисам «Яндекса». К 2014 году система была адаптирована для коммерческого использования — появился продукт «Яндекс.DDoS Protection», который предлагался как отдельная услуга для внешних клиентов.

В 2019 году, с запуском платформы «Яндекс Облако», сервис был интегрирован в облачную инфраструктуру. Это позволило автоматизировать подключение защиты для виртуальных машин и балансировщиков нагрузки. В 2021 году была выпущена версия 2.0, которая включала машинное обучение для анализа поведенческих паттернов атак. По состоянию на 2024 год Yandex DDoS Protection обрабатывает более 1 Тбит/с трафика в пиковые моменты, что делает его одним из крупнейших решений подобного класса в России и СНГ.

Архитектура и принцип работы

Фильтрация на уровне сети (L3/L4)

Сервис использует распределённую сеть фильтрующих узлов, расположенных в нескольких дата-центрах «Яндекса» в России и за рубежом. Весь входящий трафик клиента перенаправляется через эти узлы с помощью BGP-анонсов (протокол граничного шлюза). На уровне модели OSI (L3/L4) производится первичная фильтрация:

  • Анализ заголовков пакетов — отбрасываются пакеты с поддельными IP-адресами (спуфинг), аномальными флагами TCP (например, SYN-флуд) или превышением лимитов по частоте.
  • Rate limitingограничение скорости запросов с одного IP-адреса или подсети.
  • Фильтрация по геолокацииблокировка трафика из стран, не соответствующих целевой аудитории ресурса.

Анализ прикладного уровня (L7)

Для защиты от сложных атак, имитирующих поведение реальных пользователей (например, медленные HTTP-запросы или атаки на логику приложения), применяется глубокая инспекция пакетов (DPI) и машинное обучение:

  • Поведенческий анализмодель, обученная на данных о легитимном трафике клиента, выявляет аномалии: нехарактерные цепочки запросов, использование редких User-Agent, подозрительные временные задержки.
  • Капча и JavaScript-вызовы — при подозрении на бота пользователю предлагается пройти проверку (например, reCAPTCHA или выполнение JavaScript-скрипта). Это позволяет отсеивать автоматизированные инструменты атакующих.
  • Белые и чёрные списки — клиент может вручную добавлять IP-адреса или диапазоны в доверенные или заблокированные.

Интеграция с облачной инфраструктурой

Для ресурсов, размещённых в «Яндекс Облаке», защита подключается автоматически через настройки виртуальной сети (VPC). Трафик проходит через фильтрующий шлюз без изменения конфигурации DNS или маршрутизации. Для внешних ресурсов (хостинг у других провайдеров) требуется перенаправление трафика через DNS-записи типа CNAME или IP-анонсы.

Классификация и типы защиты

Yandex DDoS Protection предлагает несколько уровней защиты, которые различаются по объёму фильтруемого трафика и доступным функциям:

УровеньМаксимальная пропускная способностьОсобенности
Базовыйдо 10 Гбит/сФильтрация L3/L4, автоматическое обнаружение аномалий, без капчи
Стандартныйдо 100 Гбит/сВключает L7-анализ, капчу, ручные настройки правил
Профессиональныйдо 1 Тбит/сВыделенные фильтрующие узлы, приоритетная поддержка 24/7, SLA 99.99%
КорпоративныйиндивидуальноПолная кастомизация, интеграция с SIEM-системами, аудит безопасности

Сервис также поддерживает защиту от специфических типов атак:

  • DNS-амплификация — фильтрация запросов к DNS-серверам с поддельными IP-адресами.
  • HTTP/2 flood — анализ мультиплексированных запросов в протоколе HTTP/2.
  • Slowloris — обнаружение медленных соединений, удерживающих открытые сокеты.

Применение и значение

Основные сценарии использования

  • Интернет-магазины и e-commerce — защита от атак во время распродаж (например, «Чёрная пятница»), когда простой сайта приводит к прямым финансовым потерям.
  • Финансовые организации — банки и платёжные системы, для которых недоступность сервиса может нарушить законодательство о защите данных (ФЗ-152).
  • Государственные порталы — сайты госуслуг и муниципальных учреждений, подвергающиеся атакам в периоды политической напряжённости.
  • Медиа и новостные ресурсы — защита от DDoS-атак, направленных на цензуру или дестабилизацию информационного поля.

Преимущества и ограничения

Преимущества:

  • Локализация данных — фильтрующие узлы находятся в России, что важно для соответствия требованиям о хранении персональных данных на территории РФ.
  • Интеграция с экосистемой — бесшовная работа с другими сервисами «Яндекс Облака» (CDN, балансировщики, базы данных).
  • Автоматизация — машинное обучение снижает необходимость ручной настройки правил.

Ограничения:

  • Зависимость от инфраструктуры «Яндекса» — при сбоях в дата-центрах компании возможны задержки в фильтрации.
  • Стоимость — профессиональные уровни могут быть дорогими для малого бизнеса (от 30 000 руб./мес. за стандартный пакет).
  • Сложность для нестандартных протоколов — защита оптимизирована для HTTP/HTTPS, DNS и TCP; для UDP-приложений (например, онлайн-игр) эффективность ниже.

Критика и альтернативы

Некоторые эксперты отмечают, что Yandex DDoS Protection уступает глобальным лидерам (Cloudflare, Akamai) по географическому охвату фильтрующих узлов — большая часть инфраструктуры сосредоточена в России и Восточной Европе. Это может быть недостатком для международных проектов. Также высказывались опасения по поводу возможного доступа к данным трафика со стороны российских государственных органов, хотя «Яндекс» официально заявляет о соблюдении политики конфиденциальности.

Среди альтернатив на российском рынке — Qrator Labs (специализируется на защите от DDoS) и Kaspersky DDoS Protection (решение «Лаборатории Касперского»). На международном — Cloudflare, который также предоставляет бесплатный базовый уровень защиты, но не гарантирует локализацию данных в РФ.

Интересные факты

  • В 2022 году, во время массированных DDoS-атак на российские ресурсы, Yandex DDoS Protection отразил атаку мощностью 800 Гбит/с, что стало рекордом для сервиса на тот момент.
  • Система использует собственную разработку «Яндекса» — фреймворк для обработки сетевых пакетов на языке C++, оптимизированный под архитектуру Intel Xeon.
  • Сервис входит в реестр отечественного программного обеспечения Минцифры РФ, что позволяет государственным организациям использовать его без ограничений по импортозамещению.

Источники

  • Документация «Яндекс Облака»: «Yandex DDoS Protection — обзор продукта» (2024).
  • Отчёт «Яндекса» о кибербезопасности за 2023 год.
  • Статья «Как работает защита от DDoS в Яндексе» на Habr (2021).
  • Реестр отечественного ПО Минцифры РФ (2024).
  • Публикация Qrator Labs: «Сравнение российских DDoS-защит» (2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →