Есть три метода борьбы с DDoS.
Главный, «утончённый», подразумевает поиск паттернов атаки и фильтрацию трафика на специализированном оборудовании. В случае успеха такой метод не нарушает нормальное функционирование сайта или сервиса для пользователей. На другой чаше весов — большая стоимость решений, непредсказуемое время ожидания результата и низкая эффективность при грамотно спланированной атаке.
Тогда на сцену выходят два метода защиты, обеспечить которые могут только провайдеры. Что бы ни обещали маркетологи и продавцы, но фильтрация на уровне провайдера не гарантирует доступность сервиса всем клиентам. Но большая их часть ничего не заметит, это правда.
Первый, «дуболомный», называется blackhole. Его можно сравнить с подходом палача к проблеме лечения больной головы. Нет, мы не отрубим кабель, идущий к оборудованию. Как правило, атака идёт на конкретный IP, поэтому фильтрация входящего трафика на уровне провайдера позволит оборудованию функционировать в штатном режиме. Но такой подход «отсеивает» часть легитимных клиентов. Есть и значительный плюс — относительно первого это дешёвый метод.
Второй метод, flowspec – та же фильтрация, но на межпровайдерском уровне. Она исключает целые подсети, генерирующие вредоносным трафик. Эффективность высокая, потери легитимных пользователей отсутствуют или находятся на нуле.
Отражение DDoS-атаки задача непростая, требующая незаурядных способностей. Мы не защитим от всех бед и невзгод этого мира, но в своей области компетенций мы боремся до последнего.