Защита от DDoS.
Edge-защита, не дающая volumetric-атакам достичь Вашего VPS. Всегда включена. Включена в тариф. Никогда не upsell.
Набор технических мер — edge rate-limiting, центры скруббинга, anycast-перенаправление, поведенческая классификация трафика, — препятствующих distributed-denial-of-service-атаке насытить полосу пропускания или вычисления целевого сервера. В NordBastion защита всегда работает на edge всех четырёх бастионов, включена на каждом тарифе, без opt-in или opt-out.
Защита — это фундамент, а не премиум-тариф.
Структурная проблема тарифицируемой защиты от DDoS в том, что она позволяет атакующему устанавливать цену клиенту. Если Гбит/с поглощённого флуда стоит Вам денег, то атакующий, способный бросить несколько сотен Гбит/с в Ваш IP, может выдавить Вас с платформы одной только экономикой — не пробив ничего вообще. NordBastion рассматривает это как стоимость уровня платформы и амортизирует её по каталогу: каждый VPS и каждый выделенный тариф поставляется с одной и той же постоянно работающей volumetric- и L7-защитой, и поглощённый атакующий трафик никогда не выставляется в счёт.
Механически каждый из четырёх бастионов пиринговавается на 1,6–2,4 Тбит/с совокупной входной ёмкости с постоянно работающим скруббингом близко к точке передачи от оператора. Volumetric-флуды (UDP-amplification, SYN-флуды, фрагментированный IP) отбрасываются на edge-маршрутизаторе; L7-штормы (slow-POST, HTTP GET-флуды с ротирующимися user-agent) классифицируются поведенчески до того, как достигнут Вашего тарифа. Управляющий план anycast-распределён по четырём площадкам, поэтому атака, достаточно крупная, чтобы угрожать одному бастиону, автоматически перенаправляется по остальным.
Чего защита не делает: не инспектирует полезные нагрузки Вашего приложения, не терминирует TLS, не видит, кто залогинен в Ваш сервис. Это сетевой фундамент, позволяющий Вашему приложению сосредоточиться на запросах, которые до него действительно дошли. Если Вашей нагрузке нужна фильтрация на уровне приложения (защита от SQL-инъекций, оценка абьюзивных ботов), запустите WAF сверху, но не путайте эти два решения.
Отслеживайте защиту по NordBastion.
- · /network/ — карта пиринга по каждому бастиону, топология скруббинга и схема anycast-плоскости.
- · /vps/ — каждый VPS-тариф (от Sentinel до Bastille) поставляется с постоянно работающей защитой по умолчанию.
- · /dedicated/ — тарифы выделенных серверов наследуют ту же edge-защиту на более высоких скоростях аплинка.
- · /status/ — живая загрузка аплинка по каждому бастиону и публичная история отбитых инцидентов.
- · /peering/ — присутствие на IX и микс транзита, определяющие volumetric-потолок на каждой площадке.
- · / — главная страница выводит гарантию постоянно работающей защиты на полосе функций.
Вопросы о защите — с ответами.
С какими размерами атак справляется edge?
Каждый бастион пиринговавается на 1,6–2,4 Тбит/с совокупной входной ёмкости с постоянно включённым volumetric-скруббингом, что поглощает подавляющее большинство реальных атак — публичная телеметрия за Q4 2025 года показала, что 99,4 % DDoS-событий в интернете были ниже 100 Гбит/с. L7-флуды (HTTP GET/POST-штормы) классифицируются поведенчески и отбрасываются до того, как достигнут Вашего VPS. Жёсткий потолок на бастион — это итог пиринга; по-настоящему государственно-масштабные атаки (многотбит/с) перенаправляются через anycast-плоскость из четырёх бастионов.
Есть ли дополнительная плата за защиту от DDoS?
Нет — и это намеренно. Другие хостинги тарифицируют защиту от DDoS как дополнение по Гбит/с или отдельный корпоративный тариф, что фактически означает, что небольшая цель платит за то, что её атакуют. NordBastion включает постоянно работающую защиту в каждый VPS-тариф от Sentinel ($5,90/мес) до Bastille ($23,90/мес) и в каждый выделенный тариф, без тарификации по использованию на поглощённый атакующий трафик. Экономика работает, потому что стоимость защиты амортизируется по платформе, а не выставляется за инцидент.
Чем это отличается от WAF в стиле Cloudflare?
WAF (Web Application Firewall) работает на 7-м уровне OSI — инспектирует HTTP-запросы на сигнатуры атак уровня приложения (SQL-инъекции, XSS, абьюзивные ботнет-паттерны) и сам по себе является обратным прокси, терминирующим TLS. Защита от DDoS NordBastion работает на уровнях 3–4 — отбрасывает некорректные пакеты, amplification-отражения и volumetric-флуды на edge сети до того, как они поглотят Вашу полосу пропускания, и не терминирует TLS и не видит полезных нагрузок Вашего приложения. Эти два решения дополняют друг друга; запустите WAF сверху, если Вашему приложению он нужен.
Что, если моя нагрузка сама вызывает пик?
Легитимное вирусное событие трафика — запуск, попадание в прессу, главная страница Hacker News — имеет форму rate-limit, а не атаки, и поведенческий классификатор пропустит его. Если Вы насытите аплинк Вашего тарифа легитимным трафиком, путь апгрейда — это один клик в панели на более крупный VPS или выделенный тариф с более толстым аплинком; тикет в поддержку не требуется. Исходящее злоупотребление (Ваш сервер как источник атакующего трафика, например SSH-брутфорсер или открытый почтовый релей) обрабатывается отдельно — см. /doctrine/ о том, что мы будем и что не будем размещать.