Защита DDoS-Guard L3-L4

Последнее изменение: 15 августа 2025

Защита DDoS-Guard L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.

Услуга действует на сетевом (L3) и транспортном (L4) уровнях и защищает от DDoS-атак, которые:

• направлены на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
• эксплуатируют слабые места протоколов TCP/IP.

Услуга не защищает от атак на уровне приложений (L7), для этого выберите другой тип защиты.

Услуга защищает только IP-адреса, которые назначены на оборудование в инфраструктуре Selectel. Услугу нельзя подключить для адресов из общей подсети (/32) или публичных IP-адресов. Ее можно подключить только для адресов из публичной выделенной подсети или публичной подсети.

Принцип работы

После заказа услуги вам выдается защищенный публичный IPv4-адрес, и вы настраиваете прием трафика на сервере через этот защищенный адрес. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.

По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.

Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводится его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.

Стоимость

Стоимость услуги складывается:

• из выбранного тарифа услуги Защита DDoS-Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с;
• стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
• стоимости новой подсети, если она нужна для подключения услуги.

Посмотреть цены на услугу Защита DDoS-Guard L3-L4 можно на selectel.ru.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.

Подключить услугу

1. Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
2. Закажите услугу Защита DDoS-Guard L3-L4.
3. Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
4. Настройте защищенный IP-адрес на сервере.
5. Если вы подключаете защиту для облачного сервера, добавьте защищенный IP-адрес как разрешенный IP-адрес на порт.

1. Заказать и настроить новую подсеть

Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

• для выделенного сервера используйте подраздел Подключить дополнительные публичные IP-адреса⁠ инструкции IP-адреса выделенного сервера;
• для облачного сервера используйте подраздел Настроить доступ в интернет и из интернета через публичную подсеть инструкции Настроить доступ в интернет и из интернета.

2. Заказать услугу

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

2. Нажмите Заказать услуги.

3. В строке услуги Защита DDoS-Guard от DDoS (L3-L4) с необходимой пропускной способностью (10, 20, 50, 100 Мбит/с) нажмите Оплатить.

4. Нажмите Оплатить услугу.

5. Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:

   • защищенный IP-адрес, который нужно будет настроить на сервере;
   • данные для входа в личный кабинет DDoS-Guard, где можно посмотреть статистику.

3. Заказать дополнительные защищенные IP-адреса

С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.

1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
2. Нажмите Заказать услуги.
3. В строке услуги Защита DDoS-Guard от DDoS (L3-L4) — дополнительный IP-адрес нажмите Оплатить.
4. Нажмите Оплатить услугу.

4. Настроить защищенный IP-адрес на сервере

Ubuntu

1. Подключитесь к серверу по SSH или через KVM-консоль.

2. Откройте конфигурационный файл утилиты netplan текстовым редактором vi:

   vi /etc/netplan/50-cloud-init.yaml

   или

   vi /etc/netplan/01-netcfg.yaml

3. Добавьте после содержимого файла данные дополнительного адреса:

   <eth_name>:0:
       addresses: [<ip_address>/32]

   Укажите:

   • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
   • <ip_address> — защищенный IP-адрес, который получили в тикете.

4. Нажмите клавишу ESC.

5. Выйдите из текстового редактора vi с сохранением изменений:

   :wq

6. Примените конфигурацию:

   netplan apply

7. Опционально: перезагрузите сервер.

8. Настройте все серверные приложения на работу с защищенным IP-адресом.

Debian

1. Подключитесь к серверу по SSH или через KVM-консоль.

2. Откройте конфигурационный файл сетевых интерфейсов текстовым редактором vi:

   vi /etc/network/interfaces/

3. Добавьте после содержимого данные дополнительного адреса:

   auto <eth_name>:0
   iface <eth_name>:0 inet static
   address <ip_address>/32
   mtu 1500

   Укажите:

   • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
   • <ip_address> — защищенный IP-адрес, который получили в тикете.

4. Нажмите клавишу ESC.

5. Выйдите из текстового редактора vi с сохранением изменений:

   :wq

6. Перезапустите сеть:

   service networking restart

7. Опционально: перезагрузите сервер.

8. Настройте все серверные приложения на работу с защищенным IP-адресом.

CentOS

1. Подключитесь к серверу по SSH или через KVM-консоль.

2. Выведите информацию о сетевых интерфейсах:

   ip address

3. Откройте конфигурационный файл сетевого интерфейса текстовым редактором vi:

   vi /etc/sysconfig/network-scripts/ifcfg-<eth_name>:0

   Укажите <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес.

4. Добавьте в файл данные дополнительного адреса:

   DEVICE=<eth_name>:0
   ONBOOT=yes
   BOOTPROTO=static
   IPADDR=<ip_address>
   NETMASK=255.255.255.255

   Укажите:

   • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
   • <ip_address> — защищенный IP-адрес, который получили в тикете.

5. Нажмите клавишу ESC.

6. Выйдите из текстового редактора vi с сохранением изменений:

   :wq

7. Перезапустите сеть:

   service network restart

8. Настройте все серверные приложения на работу с защищенным IP-адресом.

Windows

1. Подключитесь к серверу по RDP или через KVM-консоль.
2. Перейдите в настройки Ethernet → Change adapter settings.
3. Откройте настройки соединения и нажмите на нужное устройство правой кнопкой мыши.
4. Выберите пункт Properties → в списке дважды кликните на Internet Protocol Version 4 (TCP/IPv4).
5. Убедитесь, что выбрана опция Use the following IP address.
6. Нажмите Advanced.
7. Нажмите Add.
8. В поле IP address введите защищенный IP-адрес, который получили в тикете.
9. Нажмите Add.
10. Нажмите OK.
11. Настройте все серверные приложения на работу с защищенным IP-адресом.

5. Добавить защищенный IP-адрес как разрешенный IP-адрес на порт облачного сервера

Если вы подключаете защиту для облачного сервера и в его публичной подсети включена фильтрация трафика (port security), защищенный адрес нужно добавить в качестве разрешенного IP-адреса на порт, на котором вы настроили защищенный адрес.

1. Проверьте состояние фильтрации трафика (port security) в сети сервера:

   1.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

   1.2. Перейдите в раздел Сеть → вкладка Публичные сети.

   1.3. Посмотрите карточку публичной подсети, IP-адрес из которой вы настроили на сервере. Если подсеть отмечена , в сети включена фильтрация трафика (port security).

2. Если фильтрация трафика в подсети выключена, дополнительные настройки не требуются. Если фильтрация включена, добавьте защищенный IP-адрес в качестве разрешенного IP-адреса на порт облачного сервера:

   Панель управления

   2.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

   2.2. Откройте страницу сервера → вкладка Порты.

   2.3. В строке порта, на который вы назначили защищенный адрес, в поле Группы безопасности нажмите .

   2.4. Нажмите Добавить пару IP/MAC.

   2.5. Введите защищенный IP-адрес, который получили в тикете.

   2.6. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.

   2.7. Нажмите Сохранить.

   OpenStack CLI

   2.1. Откройте OpenStack CLI.

   2.2. Добавьте разрешенный адрес:

   openstack port set \
     --allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
     <port>

   Укажите:

   • <ip_address> — защищенный IP-адрес, который получили в тикете;
   • опционально: ,mac-address=<mac_address> — MAC-адрес, соответствующий IP-адресу. Параметр <mac_address> — значение MAC-адреса. Если не указать MAC-адрес, будет использоваться MAC-адрес порта по умолчанию;
   • <port> — ID порта, на который вы назначили защищенный IP-адрес, список портов можно посмотреть с помощью команды openstack port list.

Посмотреть статистику

1. Перейдите в личный кабинет DDoS-Guard. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
2. Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключить услугу

1. Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, который вам выдали при подключении услуги, будет отключен вместе с защитой.

2. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

3. В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.

4. Мы отключим услугу после окончания оплаченного периода.