Защита выделенных серверов и размещаемого оборудования от DDoS на сетевом уровне

К выделенным серверам и размещаемым серверам можно подключить защиту от DDoS-атак на сетевом уровне (L3-L4).

Принцип защиты основан на том, что весь входящий трафик поступает не напрямую к серверу клиента, а проходит через узлы фильтрации в разных точках мира, где проводится анализ и очистка трафика. Фильтрации подвергается каждый входящий пакет.

Из-за того что трафик надо пропускать через фильтрующие узлы, для выделенных серверов услуга предоставляется только при использовании публичной выделенной подсети. Для использования услуги нужно предварительно заказать дополнительную публичную выделенную подсеть, которая и будет использоваться для приема очищенного трафика.

Примечание: если в вашем выделенном сервере используется публичный общий адрес, то закажите публичную выделенную подсеть. Тип используемого адреса можно посмотреть в карточке сервера на вкладке Порты.

На стороне сервера клиента надо указать адрес из этой дополнительной IP-подсети и перенастроить сервисы на прием трафика через указанный адрес.

Обратите внимание! Так как фильтруется только новая подсеть, атака по прежнему адресу остается возможной. При перенастройке сервисов убедитесь, что наличие старого адреса (если вы его оставляете активным) не будет мешать работе основного сервиса.

Тарификация

Стоимость услуги складывается из:

  • оплаты полосы очищенного трафика — выбирается максимум от входящей и исходящей скорости по 95% персентилю;
  • оплаты за дополнительные защищенные IPv4-адреса — первый защищенный адрес предоставляется бесплатно.

Для подключения услуги рекомендуется предварительно заказать дополнительно публичную выделенную подсеть, которая будет использоваться для поступления очищенного трафика.

Подключение услуги

Для подключения услуги оставьте заявку на сайте или закажите в панели управления:

  1. Перейдите в раздел Сетевые сервисы на вкладку Защита от DDoS.
  2. Нажмите кнопку Заказать услуги.
  3. Выберите услугу Базовая защита от DDoS с необходимой пропускной способностью.
  4. Нажмите кнопку Оплатить.
  5. Укажите период оплаты.
  6. Нажмите кнопку Оплатить услугу.

О подключении защиты придет уведомление в тикете.

Настройка

Для приема очищенного трафика на стороне клиентского сервера надо изменить сетевые настройки. Обычно достаточно настроить сетевой интерфейс на использование адреса из выделенной дополнительной подсети. Он может быть дополнительным (рекомендуемый вариант) или заменить основной.

Windows

Рассмотрим пример добавления к серверу выделенного IP-адреса в ОС Windows:

  1. Перейдите в настройки EthernetНастройки параметров адаптера.
  2. Откройте настройки соединения и для нужного устройства разверните параметры.
  3. В открывшемся окне нажмите кнопку Properties (Свойства).
  4. Если вы хотите использовать в качестве основного IP-адреса защищенный, то в открывшемся окне замените адреса на новые. На этом настройка завершена.

    Если вам нужно использовать старый адрес, то можно указать его дополнительным, для этого:

  5. Нажмите кнопку Advanced (Расширенные).

  6. Нажмите кнопку Add (Добавить).

  7. В открывшемся окне введите полученный IP-адрес и нажмите кнопку Add (Добавить).

Linux

В нижеописанном примере используется ручной режим настройки на основе утилиты iproute2. Для внесения постоянных настроек через конфигурационные файлы, обратитесь к официальной документации используемого дистрибутива.

В примере для Linux используется адрес a.b.c.d/24 в качестве основного.

В качестве дополнительной подсети используется подсеть X.X.X.0/29, из неё мы используем адрес X.X.X.7.

Для просмотра текущих сетевых настроек на интерфейсе введите:

ip a show dev eth07: eth0

В ответе должно быть примерно следующее:

@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000	   link/ether 00:16:3e:ad:1e:62 brd ff:ff:ff:ff:ff:ff 

​      link-netnsid 0	inet a.b.c.d/24 brd a.b.c.255 scope global dynamic eth0  

​      valid_lft 3083sec preferred_lft 3083sec	
​      inet6 fd42:6af8:107:438e:216:3eff:fead:1e62/64 scope global mngtmpaddr noprefixroute  
​      valid_lft forever preferred_lft forever inet6 fe80::216:3eff:fead:1exx/64 scope link  
​      valid_lft forever preferred_lft forever

Добавьте адрес с маской дополнительной подсети:

sudo ip addr add X.X.X.7/29 dev eth0

Используйте шлюз дополнительной подсети для маршрута по умолчанию:

sudo ip route add default via 172.24.150.1

Проверьте, что настройки активны — можно просмотреть дополнительный адрес на интерфейсе:

sudo ip addr show dev eth0

В ответе должно быть примерно следующее:

7: eth0@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000	
   link/ether 00:16:3e:ad:1e:62 brd ff:ff:ff:ff:ff:ff link-netnsid 0	
   inet a.b.c.d/24 brd a.b.c.255 scope global dynamic eth0  
   valid_lft 2999sec preferred_lft 2999sec	
   inet X.X.X.7/29 scope global eth0  
   valid_lft forever preferred_lft forever	
   inet6 fd42:6af8:107:438e:216:3eff:fead:1e62/64 scope global mngtmpaddr noprefixroute  
   valid_lft forever preferred_lft forever	
   inet6 fe80::216:3eff:fead:1e62/64 scope link  
   valid_lft forever preferred_lft forever

Проверьте таблицу маршрутизации на наличие нового маршрута:

sudo ip route

В ответе должно быть примерно следующее:

default via X.X.X.1 dev eth0
default via a.b.c.1 dev eth0 proto dhcp src a.b.c.d metric 100 
a.b.c.0/24 dev eth0 proto kernel scope link src a.b.c.d
a.b.c.1 dev eth0 proto dhcp scope link src a.b.c.d metric 100
X.X.X.0/29 dev eth0 proto kernel scope link src X.X.X.7

При необходимости удалите старый маршрут:

sudo ip route del default via 10.91.38.1 dev eth0

Для сохранения сетевых настроек между перезагрузками, необходимо обратиться к документации вашего дистрибутива и внести изменения в соответствующие файлы. Например, для debian-based систем чаще всего используется /etc/network/interfaces.

Просмотр статистики

В личном кабинете на вкладке IP-транзит можно просмотреть статистику по общему трафику (до очистки фильтрами). Графики строятся на основе пятиминутных замеров трафика, поэтому пики могут быть сглажены.

Отключение услуги

Для того чтобы отключить услугу, выключите автопродление по кнопке Отключить ежемесячный платеж в выпадающем меню.

Примечание: при отказе от услуги, оплаченной на несколько месяцев вперед, деньги возвращаются только за полный неиспользованный месяц. Для этого необходимо отправить соответствующее заявление через тикет-систему.