Базовая защита от DDoS

Описание услуги

Базовая защита от DDoS предоставляется как дополнительная услуга для следующих услуг Selectel:

• Выделенные серверы *
• Облако на базе VMware
• Облачная платформа Selectel (кроме floating IP **)
• Размещение оборудования
• Аренда серверных стоек

* Для выделенных серверов с IP-адресами из общей сети услуга не предоставляется.

** Для Облачной платформы Selectel услуга предоставляется только для виртуальных серверов, использующих публичные подсети IP-адресов, для floating IP — не предоставляется.

Техническая реализация

Сетевая инфраструктура Selectel подключена прямыми каналами к фильтрующим узлам, находящимся в Санкт-Петербурге и Москве. При подключении услуги по умолчанию трафик направляется через ближайший фильтрующий узел.

Входящий трафик из интернета и исходящий трафик от защищаемого сервера (или другого ресурса) проходят через сеть фильтрации, где проводится анализ и очистка трафика фильтрующими узлами в разных точках мира: России, Нидерландах, Германии, США, Китае, Казахстане и др. Близость узлов к источнику трафика минимизирует задержки для конечных пользователей.

Фильтрации подвергается каждый входящий пакет. Для каждого протокола существует свой каскад фильтров, в котором каждый следующий фильтр включается при превышении заданных порогов, пропускаемых предыдущим фильтром.

Тарификация

Стоимость услуги складывается из:

• оплаты полосы очищенного трафика — выбирается максимум от входящий и исходящий стойкости по 95% персентилю;
• оплаты за дополнительные защищенные IPv4-адреса — первый защищенный адрес предоставляется бесплатно.

Подключение услуги

Для подключения услуги требуется предоставить следующие данные:

• защищаемый IP-адрес;
• электронная почта для создания личного кабинета;
• номер телефона для оперативной связи.

Для подключения услуги:

1. Перейдите в раздел Сетевые сервисы на вкладку Защита от DDoS в панели управления.
2. Нажмите кнопку Заказать услуги.
3. Выберите необходимую услугу и нажмите кнопку Оплатить.
4. Укажите период оплаты и нажмите кнопку Оплатить.

Подключение защиты происходит в течение получаса с момента окончания обсуждения настроек защиты в рамках тикет-системы.

Возможно подключение к веб-сервису под атакой указав новый IP-адрес, при этом надо помнить, что могут наблюдаться перебои с доступом в течении последующих 24 часов из-за обновления клиентских DNS.

Если защищаемый адрес под атакой, то клиенту выделяется новый, а атакуемый IP переводится в BGP blackhole, чтобы убрать вредоносный трафик с сервера и сетевой инфраструктуры.

Параметры доступа к просмотру статистики отправляются уведомлением на электронную почту, указанную при регистрации.

Настройка

После того, как защищенный IP-адрес будет выделен, настройте его, применив алиас или используя loopback-интерфейс.

Для корректной работы услуги:

• настройте сервисы на сервере на работу с защищенным IP;
• уберите упоминания о защищаемых IP на внешних ресурсах.

В случае атаки на незащищенный IP, фильтрация трафика не будет осуществляться.

Для доступа к статистике перейдите на сайт.

Отключение услуги

Для того чтобы отключить услугу, выключите автопродление по кнопке Отключить ежемесячный платеж в выпадающем меню.

Примечание: при отказе от услуги, оплаченной на несколько месяцев вперед, деньги возвращаются только за полный неиспользованный месяц. Для этого необходимо отправить соответствующее заявление через тикет-систему.

Базовая защита веб-приложения (сайта)

С помощью услуги можно отслеживать и блокировать атаки на веб-приложения и сайты. Услуга предоставляется самостоятельно и не требует подключения услуги Базовая защита от DDoS.

Обратите внимание! Одна услуга защищает один домен, включая поддомены. Если необходимо защитить несколько доменов, то необходимо заказывать услугу для каждого домена.

Техническая реализация

Весь трафик, кроме того, что приходит на порты ⁸⁰⁄₄₄₃, отбрасывается.

Проверка пакета происходит в 3 этапа:

1. Предварительная проверка на уровнях L3-L4 OSI, а затем — проверка самого HTTP/HTTPS запроса по ряду критериев: соответствие запроса требованиям RFC, наличие и состав полей заголовка и так далее.
2. Проверка на основании накопленной по защищаемому домену информации — создание поведенческой модели и сопоставление текущей активности с ней.
3. Финальный ряд проверок: репутация IP, текущее состояние потока и прочее.

В стоимость защиты сайта включены следующие услуги:

• неограниченный объем/полосу легитимного трафика;
• неограниченная полосу фильтрации;
• защита поддоменов;
• кэширование и доставка статического контента (CDN);
• поддержка HTTP/2 и SPDY;
• поддержка SSL/TLS 1.2&1.3 шифрования;
• защита HTTPS;
• поддержка сторонних SSL-сертификатов.

Подключение услуги

Для подключения услуги:

1. Перейдите в панели управления в раздел Сетевые сервисы на вкладку Защита от DDoS.
2. Нажмите кнопку Заказать услуги.
3. Выберите Базовая защита веб-приложения (сайта) и нажмите кнопку Оплатить.
4. Укажите период оплаты и нажмите кнопку Оплатить.
5. В тикете придет запрос указать домен и электронную почту для создания личного кабинета.
6. После отправки домена и электронной почты в ответном тикете будут высланы ссылка на личный кабинет, логин и пароль.

Услуга подключается в течение 1-2 дней. Если подключение защиты требуется срочно — создайте тикет и продублируйте его звонком.

После подключения услуги Вам потребуется самостоятельное добавить необходимые записи в DNS.

Изменение A-записи у DNS-хостера

Для изменения А-записи перейдите в панель управления текущего сервис-провайдера, предоставляющего услуги DNS-хостинга (например, подробнее о настройках панели управления Selectel читайте в базе знаний):

1. Откройте интерфейс редактирования DNS-записей.
2. Измените значение А-записей всех защищаемых доменов и поддоменов, на защищенный IP-адрес, отображающийся в личном кабинете.
3. Обратите внимание, значение А-записи для почтового домена, например, mail.domainname.com, изменять не требуется. При изменении данной записи доменная почта может перестать корректно работать.

Настройка услуги

Для настройки защиты веб-приложения (сайта):

1. Перейдите по ссылке в личный кабинет, введите указанные логин и пароль и нажмите кнопку Войти.
2. В открывшемся окне на вкладке Управление proxy добавьте домен и IP-адрес сайта (целевой IP), который необходимо защитить и нажмите кнопку Добавить.
3. После обновления страницы станет доступна вкладка Dashboard, на которой можно просматривать статистику посещения защищенного приложения: запросы, время запросов, тепловую карту количества запросов и топ городов/стран.
4. В списке ниже отобразится ваш защищенный IP-адрес.

Дополнительные настройки задаются на вкладке Управление proxy.

Кэш

Для того чтобы активировать опцию CDN выберите строку Кэш и установите ползунок в положение ВКЛ. После сохранения внесенных изменений данные вашего веб-приложения кэшируются на наших веб-серверах. Дополнительных настроек не требуется.

После включения опции:

• уменьшается время ожидания — данные запрашиваются из кэша (который располагается “ближе” к клиенту), то есть требуется меньше времени для получения и отображения контента на стороне пользователя сайта;
• снижается сетевая нагрузка — повторное использование закэшированного контента снижает объем данных, передаваемых пользователю сайта, то есть экономит деньги, если пользователь платит за трафик и снижает нагрузку на пропускной канал.

Сжатие Gzip/Brotli

Brotli (или Brötli) — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь качества содержимого, благодаря чему ускоряется загрузка веб-страниц: файлов HTML, CSS, JavaScript.

Получаемый от веб-сервера контент хранится:

• в распакованном виде;
• в сжатом при помощи Gzip;
• в сжатом при помощи Brotli.

Если браузер пользователя поддерживает Brotli — то передаются данные, сжатые при помощи Brotli. Если Brotli не поддерживается, то данные передаются в Gzip. Данные передаются в исходном виде, если браузер пользователя не поддерживает распаковку контента совсем.

Эвристическая рекомпрессия

Эта услуга объединяет алгоритмы сжатия GZIP и Brotli.

Можно распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их более эффективно посредством Brotli — если браузер пользователя поддерживает более совершенный алгоритм. В конечном итоге, это ускорит загрузку веб-страниц.

HTTP Strict Transport Security (HSTS)

HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование.

Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом, что защитит сайт от атаки man-in-the-middle с подложным сертификатом. Пользователи не смогут зайти на сайт злоумышленника, выдающего себя за оригинальный сайт, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности “все равно перейти на небезопасный сайт”.

Примечание: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы и пользователи сайта вместо страницы увидят только сообщение о небезопасности соединения, а “откат” изменений в аварийном режиме может занять значительное время.

Редирект HTTP → HTTPS

Все запросы по протоколу HTTP перенаправляются на соответствующие HTTPS адреса через 301 редирект. Данное правило применяется к HTTP-запросам ко всем страницам сайта, а если включена поддержка поддоменов, то и к поддоменам.

Тип соединения с веб-сервером

Можно выбрать, по какому протоколу передавать данные между прокси-сервером и исходным веб-сервером. Трафик может передаваться без изменений, используя тот же протокол, что был в запросе пользователя:

• передача трафика по протоколу HTTP значительно ускоряет время обработки запросов благодаря тому, что не выполняется шифрование данных и исключается валидация сертификата SSL;
• выбор протокола HTTPS обеспечивает более высокий уровень безопасности, необходимый, например, для передачи платежной информации или персональных данных.

SSL-сертификат

Для добавления SSL-сертификата:

1. Переведите ползунок в положение ВКЛ и нажмите кнопку Загрузить свой SSL-сертификат.
2. В форме добавления сертификата вставьте содержимое файла сертификата и промежуточных сертификатов (bundle) в поле Сертификат.
3. Вставьте в поле Ключ содержимое файла с RSA-ключом и нажмите кнопку Проверить. При успешной проверке сертификата в окне отобразится информация о загруженном сертификате.
4. По окончанию добавления данных нажмите кнопку Проверить, чтобы изменения вступили в силу.

Примечание: если уже используется бесплатный сертификат, его потребуется отключить.

Черные и белые списки

Можно добавлять IP-адреса или подсети в «черный» или «белый» список. Для добавления условия фильтра выполните следующие действия:

1. Введите IP-адрес или адрес сети в поле IP.
2. Выберите префикс.
3. Нажмите на соответствующую кнопку для добавления записи в «черный» или «белый» список.
4. Нажмите кнопку Применить.

Настройка списков доступа для стран

Можно добавить некоторые страны в «черный» или «белый» список:

1. Выберите подходящее правило.
2. Выберите страну.
3. Нажмите кнопку Добавить.
4. Нажмите кнопку Применить.

Настройка уведомлений

Для того чтобы включить уведомления, создайте тикет с запросом.

Настройки уведомлений можно самостоятельно изменять в личном кабинете:

1. Перейдите в раздел Инциденты.
2. Откройте вкладку Настроить триггеры.
3. Настройте правила и сохраните параметры.

Отключение услуги

Для отключения услуги выполните следующие действия:

1. Отвяжите свой домен.
2. Смените A-запись.
3. Удалите запись в личном кабинете на вкладке Управление proxy, нажав кнопку Удалить домен.

В случае неоплаты производится удаление настроек из личного кабинета. Если Вы своевременно не делегируете домен на правильный ip-адрес после окончания оплаченного периода, ваш сайт перестанет быть доступным.