Защита DDoS Guard L3-L4

Защита DDoS Guard L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.

Услуга защищает от DDoS-атак на сетевом и транспортном уровнях (L3-L4):

на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
слабые места протоколов TCP/IP.

Услуга не защищает от атак на уровне приложения (L7), для этого выберите другой тип защиты.

Услуга защищает только IP-адреса, назначенные на оборудование в инфраструктуре Selectel. Услугу нельзя подключить для адресов из общей подсети (/32) или публичных IP-адресов, только для адресов из публичной выделенной подсети или публичной подсети.

Принцип работы⁠

После заказа услуги вам выдается защищенный публичный IPv4-адрес, и вы настраиваете прием трафика на сервере через этот защищенный адрес. Адрес нужно назначить на сетевой интерфейс публичной сети в качестве дополнительного.

По умолчанию с услугой предоставляется один защищенный IP-адрес. Если вам нужно защитить несколько серверов в пуле — для них нужно заказать дополнительные защищенные IP-адреса.

Входящий трафик, который направляется на защищенный адрес, проходит через узлы фильтрации в разных точках мира, где проводятся его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на основной адрес сервера.

Подключение услуги не защитит от DDoS-атаки, если злоумышленникам известен целевой IP-адрес. Перед подключением нужно убрать с внешних ресурсов все упоминания IP-адресов, которые вы хотите защитить. Если на адреса уже идет атака, нужно заказать новую подсеть и настроить ее на своих серверах.

Стоимость⁠

Стоимость услуги складывается:

из выбранного тарифа услуги Защита DDoS Guard L3-L4 с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с;
стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле нужно заказать дополнительный защищенный адрес;
стоимости новой подсети, если она нужна для подключения услуги.

Посмотреть цены на услугу Защита DDoS Guard L3-L4 можно на selectel.ru.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода.

Подключить DDoS Guard L3-L4⁠

Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
Закажите услугу Защита DDoS Guard L3-L4.
Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
Настройте защищенный IP-адрес на сервере.

1. Заказать и настроить новую подсеть⁠

Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

для выделенного сервера используйте подраздел Подключить дополнительные IP-адреса⁠;
для облачного сервера используйте подраздел Настроить доступ в интернет и из интернета через публичную подсеть.

2. Заказать услугу⁠

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
Нажмите Заказать услуги.
Выберите услугу Защита DDoS Guard от DDoS (L3-L4) с необходимой пропускной способностью — 10, 20, 50 или 100 Мбит/с.
Нажмите Оплатить.
Нажмите Оплатить услугу.
Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:
- защищенный IP-адрес, который нужно будет настроить на сервере;
- данные для входа в личный кабинет партнера, где можно посмотреть статистику.

3. Заказать дополнительные защищенные IP-адреса⁠

С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них закажите дополнительный защищенный адрес.

В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
Нажмите Заказать услуги.
Выберите услугу Защита DDoS Guard от DDoS (L3-L4) — дополнительный IP-адрес.
Нажмите Оплатить.
Нажмите Оплатить услугу.

4. Настроить защищенный IP-адрес на сервере⁠

Ubuntu
Debian
CentOS
Windows

Подключитесь к серверу по SSH или через KVM-консоль.
Откройте конфигурационный файл утилиты netplan текстовым редактором vi:
```
vi /etc/netplan/50-cloud-init.yaml
```
или
```
vi /etc/netplan/01-netcfg.yaml
```
Добавьте после содержимого файла данные дополнительного адреса:
```
<eth_name>:0:
    addresses: [<ip_address>/32]
```
Укажите:
- <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
- <ip_address> — защищенный IP-адрес, который получили в тикете.
Нажмите клавишу ESC.
Выйдите из текстового редактора vi с сохранением изменений:
```
:wq
```
Примените конфигурацию:
```
netplan apply
```
Опционально: перезагрузите сервер.
Настройте все серверные приложения на работу с защищенным IP-адресом.

Подключитесь к серверу по SSH или через KVM-консоль.
Откройте конфигурационный файл сетевых интерфейсов текстовым редактором vi:
```
vi /etc/network/interfaces/
```
Добавьте после содержимого данные дополнительного адреса:
```
auto <eth_name>:0
iface <eth_name>:0 inet static
address <ip_address>/32
mtu 1500
```
Укажите:
- <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
- <ip_address> — защищенный IP-адрес, который получили в тикете.
Нажмите клавишу ESC.
Выйдите из текстового редактора vi с сохранением изменений:
```
:wq
```
Перезапустите сеть:
```
service networking restart
```
Опционально: перезагрузите сервер.
Настройте все серверные приложения на работу с защищенным IP-адресом.

Подключитесь к серверу по SSH или через KVM-консоль.
Выведите информацию о сетевых интерфейсах:
```
ip address
```
Откройте конфигурационный файл сетевого интерфейса текстовым редактором vi:
```
vi /etc/sysconfig/network-scripts/ifcfg-<eth_name>:0
```
Укажите <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес.
Добавьте в файл данные дополнительного адреса:
```
DEVICE=<eth_name>:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=<ip_address>
NETMASK=255.255.255.255
```
Укажите:
- <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
- <ip_address> — защищенный IP-адрес, который получили в тикете.
Нажмите клавишу ESC.
Выйдите из текстового редактора vi с сохранением изменений:
```
:wq
```
Перезапустите сеть:
```
service network restart
```
Настройте все серверные приложения на работу с защищенным IP-адресом.

Посмотреть статистику⁠

Перейдите в личный кабинет партнера. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключить DDoS Guard L3-L4⁠

Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, выданный при подключении услуги, будет отключен вместе с защитой.
В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
Напротив нужной услуги нажмите меню → Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода.
Мы отключим услугу после окончания оплаченного периода.

Защита DDoS Guard L3-L4

Принцип работы⁠​

Стоимость⁠​

Подключить DDoS Guard L3-L4⁠​

1. Заказать и настроить новую подсеть⁠​

2. Заказать услугу⁠​

3. Заказать дополнительные защищенные IP-адреса⁠​

4. Настроить защищенный IP-адрес на сервере⁠​

Посмотреть статистику⁠​

Отключить DDoS Guard L3-L4⁠​