Перейти к основному содержимому

Защита DDoS-Guard

Последнее изменение:

Защита DDoS-Guard — решение на базе партнерского продукта от компании DDoS-Guard. Доступны услуги:

  • Защита DDoS-Guard L3-L4 — действует на сетевом (L3) и транспортном (L4) уровнях. Защищает от DDoS-атак, которые эксплуатируют слабые места протоколов TCP/IP и направлены на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры.

  • Защита и ускорение веб-сайтов DDoS-Guard — действует на уровне приложений (L7). Позволяет блокировать атаки на веб-приложения и сайты, ускоряет приложение или сайт с помощью CDN и балансировки нагрузки. Услугу можно подключить в комплексе с услугой Защита DDoS-Guard L3-L4 или отдельно.

Защита DDoS-Guard L3-L4

Принцип работы

warning

Услуга защищает только IP-адреса, которые назначены на оборудование в инфраструктуре Selectel. Услугу можно подключить только для адресов из публичной выделенной подсети или публичной подсети. Для адресов из общей подсети (/32) или публичных IP-адресов подключение недоступно.

После заказа услуги вы получаете защищенный публичный IPv4-адрес и настраиваете через него прием трафика на сервере. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.

По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.

Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводится его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.

Стоимость

Стоимость услуги складывается:

  • из выбранного тарифа услуги Защита DDoS-Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с. Посмотреть цены на тарифы услуги Защита DDoS-Guard L3-L4 можно на selectel.ru;
  • стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
  • стоимости новой подсети, если она нужна для подключения услуги.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс.

Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.

Подключить услугу

  1. Закажите и настройте новую подсеть, если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо ваши серверы уже под атакой.
  2. Закажите услугу Защита DDoS-Guard L3-L4.
  3. Опционально: закажите дополнительные защищенные IP-адреса, если вам нужно защитить больше одного сервера в пуле.
  4. Настройте защищенный IP-адрес на сервере.
  5. Опционально: добавьте защищенный IP-адрес как разрешенный IP-адрес на порт, если вы подключаете защиту для облачного сервера.

1. Опционально: заказать и настроить новую подсеть

Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32), либо ваши серверы под атакой и целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

2. Заказать услугу

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

Перед подключением услуги пополните баланс на необходимую сумму.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

  2. Перейдите в раздел Защита от DDoS.

  3. Нажмите Заказать услуги.

  4. В строке услуги Защита DDoS-Guard от DDoS (L3-L4) с необходимой пропускной способностью (10, 20, 50, 100 Мбит/с) нажмите Оплатить.

  5. Проверьте данные и нажмите Оплатить услугу.

  6. Мы создадим тикет на подключение услуги.

  7. В этом тикете отправьте нам:

    • IP-адрес, который нужно поставить под защиту;
    • email для регистрации в личном кабинете DDoS-Guard. Данные для входа в личный кабинет будут отправлены на этот email.

  8. Мы обработаем заказ и укажем в тикете защищенный IP-адрес, который нужно будет настроить на сервере.

3. Опционально: заказать дополнительные защищенные IP-адреса

С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
  2. Перейдите в раздел Защита от DDoS.
  3. Нажмите Заказать услуги.
  4. В строке услуги Защита DDoS-Guard от DDoS (L3-L4) — дополнительный IP-адрес нажмите Оплатить.
  5. Нажмите Оплатить услугу.

4. Настроить защищенный IP-адрес на сервере

  1. Подключитесь к серверу по SSH или через KVM-консоль.

  2. Откройте конфигурационный файл утилиты netplan текстовым редактором vi:

    vi /etc/netplan/50-cloud-init.yaml

    или

    vi /etc/netplan/01-netcfg.yaml

  3. Добавьте после содержимого файла данные дополнительного адреса:

    <eth_name>:0:
        addresses: [<ip_address>/32]

    Укажите:

    • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
    • <ip_address> — защищенный IP-адрес, который получили в тикете.

  4. Нажмите клавишу ESC.

  5. Выйдите из текстового редактора vi с сохранением изменений:

    :wq

  6. Примените конфигурацию:

    netplan apply

  7. Опционально: перезагрузите сервер.

  8. Настройте все серверные приложения на работу с защищенным IP-адресом.

5. Опционально: добавить защищенный IP-адрес как разрешенный IP-адрес на порт облачного сервера

Если вы подключаете защиту для облачного сервера и в его публичной подсети включена фильтрация трафика (port security), добавьте защищенный адрес в качестве разрешенного IP-адреса на порт, на котором вы настроили защищенный адрес.

  1. Проверьте состояние фильтрации трафика (port security) в сети сервера:

    1.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

    1.2. Перейдите в раздел Сеть → вкладка Публичные сети.

    1.3. Посмотрите карточку публичной подсети, IP-адрес из которой вы настроили на сервере. Если подсеть отмечена , в сети включена фильтрация трафика (port security).

  2. Если фильтрация трафика в подсети выключена, дополнительные настройки не требуются. Если фильтрация включена, добавьте защищенный IP-адрес в качестве разрешенного IP-адреса на порт облачного сервера:

    2.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

    2.2. Откройте страницу сервера → вкладка Порты.

    2.3. В строке порта, на который вы назначили защищенный адрес, в поле Группы безопасности нажмите .

    2.4. Нажмите Добавить пару IP/MAC.

    2.5. Введите защищенный IP-адрес, который получили в тикете.

    2.6. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.

    2.7. Нажмите Сохранить.

Посмотреть статистику

  1. Перейдите в личный кабинет DDoS-Guard. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
  2. Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключить услугу

  1. Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вы получили при заказе услуги, будет отключен вместе с защитой.

  2. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

  3. Перейдите в раздел Защита от DDoS.

  4. В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.

  5. Мы отключим услугу после окончания оплаченного периода.

Защита и ускорение веб-сайтов DDoS-Guard

Принцип работы

После заказа услуги вы получаете защищенный адрес, на который нужно перенаправить свой трафик. Весь трафик на защищенный адрес отправляется на узлы фильтрации DDoS-Guard, где анализируется и проходит очистку, а затем перенаправляется на защищенный сервер в инфраструктуре Selectel.

Защита работает с HTTP- и HTTPS-запросами только на порты 80 и 443, запросы на другие порты не обрабатываются.

Подключение услуги не защитит от DDoS-атаки, если злоумышленникам известен целевой IP-адрес. Перед подключением необходимо убрать с внешних ресурсов упоминания всех IP-адресов, которые вы хотите защитить. Если IP-адреса уже под атакой, необходимо заказать новую подсеть и настроить ее на своих серверах.

Стоимость

Для заказа услуги доступны тарифы: Normal, Medium, Premium, Enterprise. Их основные отличия:

  • количество защищенных доменов;
  • количество серверов для балансировки нагрузки;
  • количество правил для ограничения доступа по IP-адресам. К любому тарифу можно приобрести дополнительный пакет правил через тикет;
  • возможность гибкой настройки правил фильтрации.

Полоса фильтрации и объем трафика, включая легитимный, не ограничены.

Посмотреть подробное сравнение тарифов и их стоимость можно на selectel.ru.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс.

Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.

Подключить услугу

Минимальный срок подключения — 1-2 дня. Если подключение защиты требуется срочно — создайте тикет, в нем укажите домен и IP-адрес, которые нужно поставить под защиту, и email для регистрации в личном кабинете DDoS-Guard. После создания тикета позвоните нам.

  1. Закажите и настройте новую подсеть, если IP-адрес домена уже известен злоумышленникам.
  2. Закажите услугу Защита и ускорение веб-сайтов DDoS-Guard.
  3. Укажите защищенный адрес в A-записи домена.
  4. Опционально: ограничьте подключение к серверу с IP-адресов.
  5. Опционально: настройте дополнительную защиту.

1. Заказать и настроить новую подсеть

Новая подсеть требуется, если ваши серверы под атакой и целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

2. Заказать услугу

Перед подключением услуги пополните баланс на необходимую сумму.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

  2. Перейдите в раздел Защита от DDoS.

  3. Нажмите Заказать услуги.

  4. В строке нужного тарифа DDoS-Guard. Защита и ускорение веб-сайтов (Normal, Medium, Premium, Enterprise) нажмите Оплатить.

  5. Проверьте данные и нажмите Оплатить услугу.

  6. Мы создадим тикет на подключение услуги и уточним дату подключения.

  7. В этом тикете отправьте нам:

    • домен, который требуется поставить под защиту;
    • IP-адрес домена. Можно указать несколько IP-адресов, если они указывают на один домен и нужна балансировка нагрузки между ними;
    • email для регистрации в личном кабинете DDoS-Guard.

  8. Мы обработаем заказ и сообщим о подключении услуги.

3. Указать защищенный IP-адрес в A-записи домена

  1. Перейдите в личный кабинет DDoS-Guard.
  2. Введите логин и пароль, которые получили на email при заказе услуги.
  3. Откройте страницу услуги Защита и ускорение сайта.
  4. Откройте вкладку Домены.
  5. Сохраните защищенный IP-адрес, который указан в поле Защищенный IP.
  6. Перейдите в панель управления доменного регистратора, где хранятся записи вашего домена.
  7. В A-записях измените значение на защищенный IP-адрес, который сохранили на шаге 5. Если A-запись предназначена не для веб-трафика, например для почтового или FTP-сервера, не меняйте ее значение.
  8. Если для домена указаны AAAA-записи, удалите их. DDoS-Guard не работает с IPv6-адресами, их могут атаковать в обход защиты.
  9. Если вы хотите защитить поддомены, для каждого добавьте A-запись с защищенным IP-адресом. Можно защитить неограниченное количество поддоменов.

4. Опционально: ограничить подключение к серверу с IP-адресов

Вы можете ограничить подключение к серверу со всех IP-адресов, кроме доверенных IP-адресов DDoS-Guard. Подробнее о настройке в подразделе Настройка фаервола инструкции Настройка защиты на уровне L7 документации DDoS-Guard.

5. Опционально: настроить дополнительную защиту

Вы можете настроить дополнительную защиту в личном кабинете DDoS-Guard. Например, настроить правила фильтрации трафика, включить геоблокировку или другие опции. Полный список опций в разделе Защита сайта документации DDoS-Guard.

Чтобы настроить дополнительную защиту:

  1. Войдите в личный кабинет. Для входа используйте логин и пароль, которые получили на email при заказе услуги.
  2. Выполните настройку по необходимым инструкциям в разделе Защита сайта документации DDoS-Guard.

Посмотреть статистику

  1. Перейдите в личный кабинет. Для входа используйте логин и пароль, которые получили на email при заказе услуги.
  2. Посмотрите статистику по инструкции Атаки L7 и отчеты об атаках документации DDoS-Guard.

Отключить услугу

  1. Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вы получили при заказе услуги, будет отключен вместе с защитой.
  2. Перейдите в панель управления доменного регистратора, где хранятся записи вашего домена.
  3. В A-записи домена измените значение на адрес из вашей подсети.
  4. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
  5. Перейдите в раздел Защита от DDoS.
  6. В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
  7. Мы отключим услугу после окончания оплаченного периода.