Защита DDoS-Guard
Защита DDoS-Guard — решение на базе партнерского продукта от компании DDoS-Guard. Доступны услуги:
-
Защита DDoS-Guard L3-L4 — действует на сетевом (L3) и транспортном (L4) уровнях. Защищает от DDoS-атак, которые эксплуатируют слабые места протоколов TCP/IP и направлены на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры.
-
Защита и ускорение веб-сайтов DDoS-Guard — действует на уровне приложений (L7). Позволяет блокировать атаки на веб-приложения и сайты, ускоряет приложение или сайт с помощью CDN и балансировки нагрузки. Услугу можно подключить в комплексе с услугой Защита DDoS-Guard L3-L4 или отдельно.
Защита DDoS-Guard L3-L4
Принцип работы
Услуга защищает только IP-адреса, которые назначены на оборудование в инфраструктуре Selectel.
Услугу можно подключить только для адресов из публичной выделенной подсети или публичной подсети.
Для адресов из общей подсети (/32
) или публичных IP-адресов подключение недоступно.
После заказа услуги вы получаете защищенный публичный IPv4-адрес и настраиваете через него прием трафика на сервере. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.
По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.
Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводится его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.
Стоимость
Стоимость услуги складывается:
- из выбранного тарифа услуги Защита DDoS-Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с. Посмотреть цены на тарифы услуги Защита DDoS-Guard L3-L4 можно на selectel.ru;
- стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
- стоимости новой подсети, если она нужна для подключения услуги.
Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс.
Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.
Подключить услугу
- Закажите и настройте новую подсеть, если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо ваши серверы уже под атакой.
- Закажите услугу Защита DDoS-Guard L3-L4.
- Опционально: закажите дополнительные защищенные IP-адреса, если вам нужно защитить больше одного сервера в пуле.
- Настройте защищенный IP-адрес на сервере.
- Опционально: добавьте защищенный IP-адрес как разрешенный IP-адрес на порт, если вы подключаете защиту для облачного сервера.
1. Опционально: заказать и настроить новую подсеть
Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32
), либо ваши серверы под атакой и целевой IP-адрес уже известен злоумышленникам.
Закажите подсеть и настройте адрес из нее на сервере:
- для выделенного сервера используйте подраздел Подключить дополнительные публичные IP-адреса инструкции IP-адреса выделенного сервера;
- для облачного сервера используйте подраздел Настроить доступ в интернет и из интерн ета через публичную подсеть инструкции Настроить доступ в интернет и из интернета.
2. Заказать услугу
Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.
Перед подключением услуги пополните баланс на необходимую сумму.
-
В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
-
Перейдите в раздел Защита от DDoS.
-
Нажмите Заказать услуги.
-
В строке услуги Защита DDoS-Guard от DDoS (L3-L4) с необходимой пропускной способностью (10, 20, 50, 100 Мбит/с) нажмите Оплатить.
-
Проверьте данные и нажмите Оплатить услугу.
-
Мы создадим тикет на подключение услуги.
-
В этом тикете отправьте нам:
- IP-адрес, который нужно поставить под защиту;
- email для регистрации в личном кабинете DDoS-Guard. Данные для входа в личный кабинет будут отправлены на этот email.
-
Мы обработаем заказ и укажем в тикете защищенный IP-адрес, который нужно будет настроить на сервере.
3. Опционально: заказать дополнительные защищенные IP-адреса
С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.
- В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
- Перейдите в раздел Защита от DDoS.
- Нажмите Заказать услуги.
- В строке услуги Защита DDoS-Guard от DDoS (L3-L4) — дополнительный IP-адрес нажмите Оплатить.
- Нажмите Оплатить услугу.
4. Настроить защищенный IP-адрес на сервере
Ubuntu
Debian
CentOS
Windows
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Откройте конфигурационный файл утилиты
netplan
текстовым редакторомvi
:vi /etc/netplan/50-cloud-init.yaml
или
vi /etc/netplan/01-netcfg.yaml
-
Добавьте после содержимого файла данные дополнительного адреса:
<eth_name>:0:
addresses: [<ip_address>/32]Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Примените конфигурацию:
netplan apply
-
Опционально: перезагрузите сервер.
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Откройте конфигурационный файл сетевых интерфейсов текстовым редактором
vi
:vi /etc/network/interfaces/
-
Добавьте после содержимого данные дополнительного адреса:
auto <eth_name>:0
iface <eth_name>:0 inet static
address <ip_address>/32
mtu 1500Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Перезапустите сеть:
service networking restart
-
Опционально: перезагрузите сервер.
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Выведите информацию о сетевых интерфейсах:
ip address
-
Откройте конфигурационный файл сетевого интерфейса текстовым редактором
vi
:vi /etc/sysconfig/network-scripts/ifcfg-<eth_name>:0
Укажите
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес. -
Добавьте в файл данные дополнительного адреса:
DEVICE=<eth_name>:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=<ip_address>
NETMASK=255.255.255.255Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Перезапустите сеть:
service network restart
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
- Подключитесь к серверу по RDP или через KVM-консоль.
- Перейдите в настройки Ethernet → Change adapter settings.
- Откройте настройки соединения и нажмите на нужное устройство правой кнопкой мыши.
- Выберите пункт Properties → в списке дважды кликните на Internet Protocol Version 4 (TCP/IPv4).
- Убедитесь, что выбрана опция Use the following IP address.
- Нажмите Advanced.
- Нажмите Add.
- В поле IP address введите защищенный IP-адрес, который получили в тикете.
- Нажмите Add.
- Нажмите OK.
- Настройте все серверные приложения на работу с защищенным IP-адресом.
5. Опционально: добавить защищенный IP-адрес как разрешенный IP-адрес на порт облачного сервера
Если вы подключаете защиту для облачного сервера и в его публичной подсети включена фильтрация трафика (port security), добавьте защищенный адрес в качестве разрешенного IP-адреса на порт, на котором вы настроили защищенный адрес.
-
Проверьте состояние фильтрации трафика (port security) в сети сервера:
1.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
1.2. Перейдите в раздел Сеть → вкладка Публичные сети.
1.3. Посмотрите карточку публичной подсети, IP-адрес из которой вы настроили на сервере. Если подсеть отмечена , в сети включена фильтрация трафика (port security).
-
Если фильтрация трафика в подсети выключена, дополнительные настройки не требуются. Если фильтрация включена, добавьте защищенный IP-адрес в качестве разрешенного IP-адреса на порт облачного сервера:
Панель управления
OpenStack CLI
2.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
2.2. Откройте страницу сервера → вкладка Порты.
2.3. В строке порта, на который вы назначили защищенный адрес, в поле Группы безопасности нажмите .
2.4. Нажмите Добавить пару IP/MAC.
2.5. Введите защищенный IP-адрес, который получили в тикете.
2.6. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.
2.7. Нажмите Сохранить.
2.1. Откройте OpenStack CLI.
2.2. Добавьте разрешенный адрес:
openstack port set \
--allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
<port>Укажите:
<ip_address>
— защищенный IP-адрес, который получили в тикете;- опционально:
,mac-address=<mac_address>
— MAC-адрес, соответствующий IP-адресу. Параметр<mac_address>
— значение MAC-адреса. Если не указать MAC-адрес, будет использоваться MAC-адрес порта по умолчанию; <port>
— ID порта, на который вы назначили защищенный IP-адрес. Список портов можно посмотреть с помощью командыopenstack port list
.
Посмотреть статистику
- Перейдите в личный кабинет DDoS-Guard. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
- Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.
Отключить услугу
-
Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вы получили при заказе услуги, будет отключен вместе с защитой.
-
В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
-
Перейдите в раздел Защита от DDoS.
-
В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
-
Мы отключим услугу после окончания оплаченного периода.
Защита и ускорение веб-сайтов DDoS-Guard
Принцип работы
После заказа услуги вы получаете защищенный адрес, на который нужно перенаправить свой трафик. Весь трафик на защищенный адрес отправляется на узлы фильтрации DDoS-Guard, где анализируется и проходит очистку, а затем перенаправляется на защищенный сервер в инфраструктуре Selectel.
Защита работает с HTTP- и HTTPS-запросами только на порты 80 и 443, запросы на другие порты не обрабатываются.
Подключение услуги не защитит от DDoS-атаки, если злоумышленникам известен целевой IP-адрес. Перед подключением необходимо убрать с внешних ресурсов упоминания всех IP-адресов, которые вы хотите защитить. Если IP-адреса уже под атакой, необходимо заказать новую подсеть и настроить ее на своих серверах.
Стоимость
Для заказа услуги доступны тарифы: Normal, Medium, Premium, Enterprise. Их основные отличия:
- количество защищенных доменов;
- количество серверов для балансировки нагрузки;
- количество правил для ограничения доступа по IP-адресам. К любому тарифу можно приобрести дополнительный пакет правил через тикет;
- возможность гибкой настройки правил фильтрации.
Полоса фильтрации и объем трафика, включая легитимный, не ограничены.
Посмотреть подробное сравнение тарифов и их стоимость можно на selectel.ru.
Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс.
Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.
Подключить услугу
Минимальный срок подключения — 1-2 дня. Если подключение защиты требуется срочно — создайте тикет, в нем укажите домен и IP-адрес, которые нужно поставить под защиту, и email для регистрации в личном кабинете DDoS-Guard. После создания тикета позвоните нам.
- Закажите и настройте новую подсеть, если IP-адрес домена уже известен злоумышленникам.
- Закажите услугу Защита и ускорение веб-сайтов DDoS-Guard.
- Укажите защище нный адрес в A-записи домена.
- Опционально: ограничьте подключение к серверу с IP-адресов.
- Опционально: настройте дополнительную защиту.
1. Заказать и настроить новую подсеть
Новая подсеть требуется, если ваши серверы под атакой и целевой IP-адрес уже известен злоумышленникам.
Закажите подсеть и настройте адрес из нее на сервере:
- для выделенного сервера используйте подраздел Подключить дополнительные публичные IP-адреса инструкции IP-адреса выделенного сервера;
- для облачного сервера используйте подраздел Создать публичную подсеть инструкции Публичные подсети.
2. Заказать услугу
Перед подключением услуги пополните баланс на необходимую сумму.
-
В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
-
Перейдите в раздел Защита от DDoS.
-
Нажмите Заказать услуги.
-
В строке нужного тарифа DDoS-Guard. Защита и ускорение веб-сайтов (Normal, Medium, Premium, Enterprise) нажмите Оплатить.
-
Проверьте данные и нажмите Оплатить услугу.
-
Мы создадим тикет на подключение услуги и уточним дату подключения.
-
В этом тикете отправьте нам:
- домен, который требуется поставить под защиту;
- IP-адрес домена. Можно указать несколько IP-адресов, если они указывают на один домен и нужна балансировка нагрузки между ними;
- email для регистрации в личном кабинете DDoS-Guard.
-
Мы обработаем заказ и сообщим о подключении услуги.
3. Указать защищенный IP-адрес в A-записи домена
- Перейдите в личный кабинет DDoS-Guard.
- Введите логин и пароль, которые получили на email при заказе услуги.
- Откройте страницу услуги Защита и ускорение сайта.
- Откройте вкладку Домены.
- Сохраните защищенный IP-адрес, который указан в поле Защищенный IP.
- Перейдите в панель управления доменного регистратора, где хранятся записи вашего домена.
- В A-записях измените значение на защищенный IP-адрес, который сохранили на шаге 5. Если A-запись предназначена не для веб-трафика, например для почтового или FTP-сервера, не меняйте ее значение.
- Если для домена указаны AAAA-записи, удалите их. DDoS-Guard не работает с IPv6-адресами, их могут атаковать в обход защиты.
- Если вы хотите защитить поддомены, для каждого добавьте A-запись с защищенным IP-адресом. Можно защитить неограниченное количество поддоменов.
4. Опционально: ограничить подключение к серверу с IP-адресов
Вы можете ограничить подключение к серверу со всех IP-адресов, кроме доверенных IP-адресов DDoS-Guard. Подробнее о настройке в подразделе Настройка фаервола инструкции Настройка защиты на уровне L7 документации DDoS-Guard.
5. Опционально: настроить дополнительную защиту
Вы можете настроить дополнительную защиту в личном кабинете DDoS-Guard. Например, настроить правила фильтрации трафика, включить геоблокировку или другие опции. Полный список опций в разделе Защита сайта документации DDoS-Guard.
Чтобы настроить дополнительную защиту:
- Войдите в личный кабинет. Для входа используйте логин и пароль, которые получили на email при заказе услуги.
- Выполните настройку по необходимым инструкциям в разделе Защита сайта документации DDoS-Guard.
Посмотреть статистику
- Перейдите в личный кабинет. Для входа используйте логин и пароль, которые получили на email при заказе услуги.
- Посмотрите статистику по инструкции Атаки L7 и отчеты об атаках документации DDoS-Guard.
Отключить услугу
- Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вы получили при заказе услуги, будет отключен вместе с защитой.
- Перейдите в панель управления доменного регистратора, где хранятся записи вашего домена.
- В A-записи домена измените значение на адрес из вашей подсети.
- В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
- Перейдите в раздел Защита от DDoS.
- В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
- Мы отключим услугу после окончания оплаченного периода.