Защита DDoS Guard L3-L4

Последнее изменение: 28 марта 2024

Защита DDoS Guard L3-L4

Защита DDoS GuarD L3-L4 — решение на базе партнерского продукта от компании DDoS-Guard.

Услуга защищает от DDoS-атак на сетевом и транспортном уровне (L3-L4):

• на исчерпание полосы трафика и нарушение работы сетевой инфраструктуры;
• на слабые места протоколов TCP/IP.

Услуга защищает только IP-адреса, назначенные на оборудование в инфраструктуре Selectel. Услуга не защищает от атак на уровне приложения (L7), для этого выберите другой тип защиты.

Услуга защищает только IP-адреса, назначенные на оборудование в инфраструктуре Selectel. Услугу нельзя подключить для адресов из общей подсети (/32) или публичных IP-адресов, только для адресов из публичной выделенной подсети или публичной подсети.

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

Принцип работы⁠

После заказа услуги на ваш сервер назначается защищенный IPv4-адрес, сервисы переназначаются на прием трафика через защищенный адрес.

Входящий трафик проходит через узлы фильтрации в разных точках мира, где проводится его анализ и очистка. Фильтруется каждый входящий пакет. Очищенный трафик направляется на сервер.

Подключение услуги не защитит от DDoS-атаки, если злоумышленникам известен целевой IP-адрес. Перед подключением необходимо убрать с внешних ресурсов все упоминания IP-адресов, которые вы хотите защитить. Если на адреса уже идет атака, необходимо заказать новую подсеть и настроить ее на своих серверах.

Стоимость⁠

Стоимость услуги складывается из:

• выбранного тарифа услуги Защита DDoS Guard от DDoS L3-L4;
• стоимости дополнительных защищенных IPv4-адресов. Первый защищенный адрес предоставляется бесплатно, для каждого дополнительного сервера в пуле требуется дополнительный защищенный адрес;
• стоимости новой подсети, если она нужна для подключения услуги.

Для оплаты услуги в зависимости от типа баланса в аккаунте используется единый баланс или основной баланс. Услуга оплачивается ежемесячно, при заказе услуги платеж за первый месяц списывается с баланса, далее платежи списываются автоматически в начале каждого следующего периода. Начало коммерческого использования услуги согласуется индивидуально.

Подключить DDoS Guard L3-L4⁠

1. Если на вашем сервере есть только публичный общий адрес или публичный IP-адрес, либо на ваши серверы уже идет атака, закажите и настройте новую подсеть.
2. Закажите услугу Защита DDoS Guard от DDoS (L3-L4).
3. Если вам нужно защитить больше одного сервера в пуле, закажите дополнительные защищенные IP-адреса.
4. Настройте защищенный IP-адрес на сервере.

1. Заказать и настроить новую подсеть⁠

Новая подсеть требуется, если на вашем сервере есть только публичный общий адрес (/32), либо на ваши серверы уже идет атака, то есть целевой IP-адрес уже известен злоумышленникам.

Закажите подсеть и настройте адрес из нее на сервере:

• для выделенного сервера — публичную выделенную подсеть;
• для облачного сервера — публичную подсеть.

2. Заказать услугу⁠

Если вам нужно защитить оборудование в разных пулах, для каждого пула подключите отдельную услугу защиты.

1. В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.

2. Нажмите Заказать услуги.

3. Выберите услугу Защита DDoS Guard от DDoS (L3-L4) с необходимой пропускной способностью.

4. Нажмите Оплатить.

5. Нажмите Оплатить услугу.

6. Мы пришлем вам тикет, в котором уточним детали. Когда защита будет подключена, в том же тикете мы отправим:

   • защищенный IP-адрес, который необходимо будет настроить на сервере;
   • данные для входа в личный кабинет партнера, где можно посмотреть статистику.

3. Заказать дополнительные защищенные IP-адреса⁠

С услугой защиты предоставляется один защищенный IP-адрес. Если вам нужно защитить больше одного сервера в пуле, для каждого из них нужен дополнительный защищенный адрес.

1. В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
2. Нажмите Заказать услуги.
3. Выберите услугу Защита DDoS Guard от DDoS (L3-L4) — дополнительный IP-адрес.
4. Нажмите Оплатить.
5. Нажмите Оплатить услугу.

4. Настроить защищенный IP-адрес на сервере⁠

Ubuntu

1. Подключитесь к серверу по SSH или через KVM-консоль.

2. Откройте конфигурационный файл утилиты netplan текстовым редактором vi:

   vi /etc/netplan/50-cloud-init.yaml

   или

   vi /etc/netplan/01-netcfg.yaml

3. Добавьте после содержимого файла данные дополнительного адреса:

   <eth_name>:0:
       addresses: [<ip_address>/32]

   Укажите:

   • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
   • <ip_address> — защищенный IP-адрес, который получили в тикете.

4. Нажмите клавишу ESC.

5. Выйдите из текстового редактора vi с сохранением изменений:

   :wq

6. Примените конфигурацию:

   netplan apply

7. Опционально: перезагрузите сервер.

8. Настройте все серверные приложения на работу с защищенным IP-адресом.

Debian

1. Подключитесь к серверу по SSH или через KVM-консоль.

2. Откройте конфигурационный файл сетевых интерфейсов текстовым редактором vi:

   vi /etc/network/interfaces/

3. Добавьте после содержимого данные дополнительного адреса:

   auto <eth_name>:0
   iface <eth_name>:0 inet static
   address <ip_address>/32
   mtu 1500

   Укажите:

   • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
   • <ip_address> — защищенный IP-адрес, который получили в тикете.

4. Нажмите клавишу ESC.

5. Выйдите из текстового редактора vi с сохранением изменений:

   :wq

6. Перезапустите сеть:

   service networking restart

7. Опционально: перезагрузите сервер.

8. Настройте все серверные приложения на работу с защищенным IP-адресом.

CentOS

1. Подключитесь к серверу по SSH или через KVM-консоль.

2. Выведите информацию о сетевых интерфейсах:

   ip address

3. Откройте конфигурационный файл сетевого интерфейса текстовым редактором vi:

   vi /etc/sysconfig/network-scripts/ifcfg-<eth_name>:0

   Укажите <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес.

4. Добавьте в файл данные дополнительного адреса:

   DEVICE=<eth_name>:0
   ONBOOT=yes
   BOOTPROTO=static
   IPADDR=<ip_address>
   NETMASK=255.255.255.255

   Укажите:

   • <eth_name> — имя сетевого интерфейса, на который нужно добавить дополнительный адрес;
   • <ip_address> — защищенный IP-адрес, который получили в тикете.

5. Нажмите клавишу ESC.

6. Выйдите из текстового редактора vi с сохранением изменений:

   :wq

7. Перезапустите сеть:

   service network restart

8. Настройте все серверные приложения на работу с защищенным IP-адресом.

Windows

1. Подключитесь к серверу по RDP или через KVM-консоль.
2. Перейдите в настройки Ethernet → Change adapter settings.
3. Откройте настройки соединения и нажмите на нужное устройство правой кнопкой мыши.
4. Выберите пункт Properties → в списке дважды кликните на Internet Protocol Version 4 (TCP/IPv4).
5. Убедитесь, что выбрана опция Use the following IP address.
6. Нажмите Advanced.
7. Нажмите Add.
8. В поле IP address введите защищенный IP-адрес, который получили в тикете.
9. Нажмите Add.
10. Нажмите OK.
11. Настройте все серверные приложения на работу с защищенным IP-адресом.

Посмотреть статистику⁠

1. Перейдите в личный кабинет партнера. Данные для входа в кабинет можно посмотреть в тикете о подключении услуги.
2. Откройте вкладку IP-транзит. Здесь отображается статистика по общему трафику, до очистки фильтрами. Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключить DDoS Guard L3-L4⁠

1. Убедитесь, что вы перенастроили прием трафика на адрес из вашей подсети. Защищенный адрес, выданный при подключении услуги, будет отключен вместе с защитой.
2. В панели управления перейдите в раздел Сетевые сервисы → Защита от DDoS.
3. Напротив нужной услуги нажмите меню → Отключить ежемесячный платеж. Услуга проработает до конца оплаченного периода и будет отключена.