Защита DDoS Guard L3-L4
Защита DDoS Guard L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.
Услуга защищает от DDoS-атак на сетевом и транспортном уровнях (L3-L4):
- на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
- слабые места протоколов TCP/IP.
Услуга не защищает от атак на уровне приложения (L7), для этого выберите другой тип защиты.
Услуга защищает только IP-адреса, назначенные на оборудование в инфраструктуре Selectel. Услугу нельзя подключить для адресов из общей подсети (/32
) или публичных IP-адресов, только для адресов из публичной выделенной подсети или публичной подсети.
Принцип работы
После заказа услуги вам выдается защищенный публичный IPv4-адрес, и вы настраиваете прием трафика на сервере через этот защищенный адрес. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.
По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить нескол ько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.
Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводятся его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.
Подключение услуги не защитит от DDoS-атаки, если злоумышленникам известен целевой IP-адрес. Перед подключением нужно убрать с внешних ресурсов все упоминания IP-адресов, которые вы хотите защитить. Если на адреса уже идет атака, нужно заказать новую подсеть и настроить ее на своих серверах.
Стоимость
Стоимость услуги складывается:
- из выбранного тарифа услуги Защита DDoS Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с;
- стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
- стоимости новой подсети, если она нужна для подключения услуги.
Посмотреть цены на услугу Защита DDoS Guard L3-L4 можно на selectel.ru.
Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.
Подключить DDoS Guard L3-L4
- Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
- Закажите услугу Защита DDoS Guard L3-L4.
- Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
- Настройте защищенный IP-адрес на сервере.
1. Заказать и настроить новую подсеть
Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32
), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.
Закажите подсеть и настройте адрес из нее на сервере:
- для выделенного сервера используйте подраздел Подключить дополнительные IP-адреса;
- для облачного сервера используйте подраздел Настроить доступ в интернет и из интернета через публичную подсеть.
2. Заказать услугу
Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.
-
В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
-
Нажмите Заказать услуги.
-
Выберите услугу Защита DDoS Guard от DDoS (L3-L4) с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с.
-
Нажмите Оплатить.
-
Нажмите Оплатить услугу.
-
Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:
- защищенный IP-адрес, который нужно будет настроить на сервере;
- данные для входа в личный кабинет партнера, где можно посмотреть статистику.
3. Заказать дополнительные защищенные IP-адреса
С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.
- В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
- Нажмите Заказать услуги.
- Выберите услугу Защита DDoS Guard от DDoS (L3-L4) — дополнительный IP-адрес.
- Нажмите Оплатить.
- Нажмите Оплатить услугу.
4. Настроить защищенный IP-адрес на сервере
Ubuntu
Debian
CentOS
Windows
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Откройте конфигурационный файл утилиты
netplan
текстовым редакторомvi
:vi /etc/netplan/50-cloud-init.yaml
или
vi /etc/netplan/01-netcfg.yaml
-
Добавьте после содержимого файла данные дополнительного адреса:
<eth_name>:0:
addresses: [<ip_address>/32]Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Примените конфигурацию:
netplan apply
-
Опционально: перезагрузите сервер.
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Откройте конфигурационный файл сетевых интерфейсов текстовым редактором
vi
:vi /etc/network/interfaces/
-
Добавьте после содержимого данные дополнительного адреса:
auto <eth_name>:0
iface <eth_name>:0 inet static
address <ip_address>/32
mtu 1500Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Перезапустите сеть:
service networking restart
-
Опционально: перезагрузите сервер.
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
-
Подключитесь к серверу по SSH или через KVM-консоль.
-
Выведите информацию о сетевых интерфейсах:
ip address
-
Откройте конфигурационный файл сетевого интерфейса текстовым редактором
vi
:vi /etc/sysconfig/network-scripts/ifcfg-<eth_name>:0
Укажите
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес. -
Добавьте в файл данные дополнительного адреса:
DEVICE=<eth_name>:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=<ip_address>
NETMASK=255.255.255.255Укажите:
<eth_name>
— имя сетевого интерфейса, на который нужно добавить дополнительный адрес;<ip_address>
— защищенный IP-адрес, который получили в тикете.
-
Нажмите клавишу
ESC
. -
Выйдите из текстового редактора
vi
с сохранением изменений::wq
-
Перезапустите сеть:
service network restart
-
Настройте все серверные приложения на работу с защищенным IP-адресом.
- Подключитесь к серверу по RDP или через KVM-консоль.
- Перейдите в настройки Ethernet → Change adapter settings.
- Откройте настройки соединения и нажмите на нужное устройство правой кнопкой мыши.
- Выберите пункт Properties → в списке дважды кликните на Internet Protocol Version 4 (TCP/IPv4).
- Убедитесь, что выбрана опция Use the following IP address.
- Нажмите Advanced.
- Нажмите Add.
- В поле IP address введите защищенный IP-адрес, который получили в тикете.
- Нажмите Add.
- Нажмите OK.
- Настройте все серверные приложения на работу с защищенным IP-адресом.
Посмотреть статистику
- Перейдите в личный кабинет партнера. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
- Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.
Отключить DDoS Guard L3-L4
- Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, выданный при подключении услуги, будет отключен вместе с защитой.
- В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
- Напротив нужной услуги нажмите меню → Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
- Мы отключим услугу после окончания оплаченного периода.