Захист сайту від DDoS: як це працює на межі мережі
Що таке DDoS і чому це складно
DDoS (Distributed Denial of Service) — це спроба «покласти» ваш сайт, завалюючи його трафіком з багатьох джерел одночасно. Атаки бувають різні: об’ємні флуди на рівні мережі (L3/L4), що просто з’їдають канал, і застосункові атаки (L7), що імітують справжніх відвідувачів і вичерпують ресурси сервера. Захист від них потребує різних інструментів на різних рівнях — одного «магічного» рішення не існує.
Багаторівневий підхід Smart WAF
Ідея проста: відкидати «дешевий» шкідливий трафік якомога раніше й якомога дешевше, а до дорогої логіки застосунку допускати лише те, що пройшло попередні сходинки.
- L3/L4 early-drop у ядрі. Трафік, підтверджено визнаний шкідливим, відкидається прямо в ядрі через nftables/netdev — ще до того, як він дійде до WAF. Об’ємний флуд скидається дешево на межі, а конвеєр обробки залишається вільним для легітимних запитів.
- Драбина challenge на рівні застосунку. Підозрілий, але не однозначно шкідливий клієнт отримує сходинку: proof-of-work, далі CAPTCHA, далі Web Bot Auth (RFC 9421 / Ed25519). Це відсіює автоматизованих ботів, не блокуючи людей суцільною стіною.
- ML entity-scoring. Оцінка ризику за сутностями проходить етапи detection → verify → enforce: новий сигнал спершу спостерігає й доводить себе, і лише потім отримує право блокувати. Так система жорсткішає без хвилі хибних спрацювань.
Чому «на межі» важливо
Коли фільтрація відбувається на edge-ноді, а не на вашому сервері, флуд не доходить до origin взагалі. Ваш сервер бачить лише вже очищений трафік. Конфігурація змінюється майже миттєво — оновлення політик доходять від control plane до edge менш ніж за секунду через etcd watch, тож реакцію можна вмикати швидко.
Чесно про межі
Ми не CDN із сотнями точок присутності по всьому світу і не обіцяємо «безмежну» ємність у терабітах. Наш фокус — керований WAF із захистом від DDoS на межі, з нодами в ЄС (Hetzner, OVH, Scaleway) і резидентністю даних у ЄС. Бюджет на додаткову затримку — до 5 мс за проєктом; ми не наводимо непідтверджених продакшн-цифр.
В умовах, коли DDoS став буденністю, важливо мати захист, який чесно каже, що саме він робить. Розкажіть нам про свій домен.