Перейти к основному содержимому

Защита DDoS Guard L3-L4

Последнее изменение:

Защита DDoS Guard L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.

Услуга защищает от DDoS-атак на сетевом и транспортном уровнях (L3-L4):

  • на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
  • слабые места протоколов TCP/IP.

Услуга не защищает от атак на уровне приложения (L7), для этого выберите другой тип защиты.

Услуга защищает только IP-адреса, назначенные на оборудование в инфраструктуре Selectel. Услугу нельзя подключить для адресов из общей подсети (/32) или публичных IP-адресов, только для адресов из публичной выделенной подсети или публичной подсети.

Принцип работы

После заказа услуги вам выдается защищенный публичный IPv4-адрес, и вы настраиваете прием трафика на сервере через этот защищенный адрес. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.

По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.

Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводятся его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.

Подключение услуги не защитит от DDoS-атаки, если злоумышленникам известен целевой IP-адрес. Перед подключением нужно убрать с внешних ресурсов все упоминания IP-адресов, которые вы хотите защитить. Если на адреса уже идет атака, нужно заказать новую подсеть и настроить ее на своих серверах.

Стоимость

Стоимость услуги складывается:

  • из выбранного тарифа услуги Защита DDoS Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с;
  • стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
  • стоимости новой подсети, если она нужна для подключения услуги.

Посмотреть цены на услугу Защита DDoS Guard L3-L4 можно на selectel.ru.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.

Подключить DDoS Guard L3-L4

  1. Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
  2. Закажите услугу Защита DDoS Guard L3-L4.
  3. Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
  4. Настройте защищенный IP-адрес на сервере.

1. Заказать и настроить новую подсеть

Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

2. Заказать услугу

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.

  2. Нажмите Заказать услуги.

  3. В строке услуги Защита DDoS Guard от DDoS (L3-L4) с необходимой пропускной способностью (10, 20, 50, 100 Мбит/с) нажмите Оплатить.

  4. Нажмите Оплатить услугу.

  5. Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:

3. Заказать дополнительные защищенные IP-адреса

С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
  2. Нажмите Заказать услуги.
  3. В строке услуги Защита DDoS Guard от DDoS (L3-L4) — дополнительный IP-адрес нажмите Оплатить.
  4. Нажмите Оплатить услугу.

4. Настроить защищенный IP-адрес на сервере

  1. Подключитесь к серверу по SSH или через KVM-консоль.

  2. Откройте конфигурационный файл утилиты netplan текстовым редактором vi:

    vi /etc/netplan/50-cloud-init.yaml

    или

    vi /etc/netplan/01-netcfg.yaml

  3. Добавьте после содержимого файла данные дополнительного адреса:

    <eth_name>:0:
        addresses: [<ip_address>/32]

    Укажите:

    • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
    • <ip_address> — защищенный IP-адрес, который получили в тикете.

  4. Нажмите клавишу ESC.

  5. Выйдите из текстового редактора vi с сохранением изменений:

    :wq

  6. Примените конфигурацию:

    netplan apply

  7. Опционально: перезагрузите сервер.

  8. Настройте все серверные приложения на работу с защищенным IP-адресом.

Посмотреть статистику

  1. Перейдите в личный кабинет партнера. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
  2. Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключить DDoS Guard L3-L4

  1. Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, выданный при подключении услуги, будет отключен вместе с защитой.
  2. В панели управления в верхнем меню нажмите Продукты и выберите Защита от DDoS.
  3. В меню услуги выберите Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
  4. Мы отключим услугу после окончания оплаченного периода.