Перейти на PRO

Как бы вы защитили маршрутизатор (роутер) от DoS-атак?

«Как бы вы защитили маршрутизатор (роутер) от DoS-атак?» — вопрос из категории Безопасность, который задают на 23% собеседований Devops Инженер. Ниже — развёрнутый ответ с разбором ключевых моментов.

Тип вопроса: Безопасность Вероятность: 23% Категория: Devops Инженер

Ответ

Защита периметра сети, включая маршрутизаторы, от DoS-атак требует многоуровневого подхода. Вот меры, которые я реализовывал:

1. На уровне сети и маршрутизатора:

  • Rate Limiting (ограничение скорости): Настройка политик контроля полосы пропускания (policing/shaping) на интерфейсах для ограничения трафика от одного источника или в целом. 
    # Пример для Linux (iptables) как части сетевого экрана
iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
  • Фильтрация на уровне ACL (Access Control Lists): Блокировка известных вредоносных IP-адресов и подсетей, а также трафика с поддельным исходным IP (анти-spoofing).
  • Отключение ненужных сервисов: Выключение на маршрутизаторе сервисов, не используемых в работе (например, telnet, http, неиспользуемые routing protocols`).

2. Использование специализированных решений:

  • Внешние Anti-DDoS сервисы: Проксирование трафика через таких провайдеров, как Cloudflare, AWS Shield Advanced или Akamai Prolexic. Они фильтруют атаки на своих edge-сетях до того, как трафик достигнет вашего маршрутизатора.
  • On-premise/Cloud WAF (Web Application Firewall): Размещение WAF (например, ModSecurity на nginx, F5 Advanced WAF) перед приложениями для фильтрации HTTP/HTTPS-атак (Layer 7).

3. Архитектурные меры:

  • Избыточность и масштабирование: Использование балансировщиков нагрузки (например, HAProxy, AWS NLB/ALB) для распределения трафика между несколькими апстримами и возможности "поглощения" части атаки.
  • Anycast-сети: Размещение критичных сервисов в Anycast-сети (например, DNS), что распределяет атаку по множеству точек присутствия.

4. Мониторинг и реагирование:

  • Детальный мониторинг сетевого трафика: Использование NetFlow/sFlow/IPFIX для анализа паттернов трафика и выявления аномалий с помощью инструментов вроде Elastic Stack с модулем Security или Suricata.
  • Настройка алертинга: Оповещение при резком росте трафика, числа новых соединений или ошибок на портах.

Ключевой принцип: Не существует "серебряной пули". Защита строится на комбинации фильтрации на периметре, использовании облачных сервисов для "очистки" трафика, правильной архитектуре с избыточностью и оперативном мониторинге для быстрого реагирования.

Видео-ответы

© ХакСобесов, 2026
support@hacksobesov.com