Полное руководство по услуге DDoS-Guard: защита сайта от DDoS-атак

Что такое защита от DDoS-атак для веб-сайта

Защита сайта от DDoS-атак на уровне L7  — это комплекс мер, направленных на предотвращение негативного воздействия на веб-ресурс. Есть разные способы защиты от вредоносного трафика, основные из них:

1. Фильтрация трафика 
Метод, при котором используются специальное оборудование и программное обеспечение, которое анализирует входящий трафик на предмет аномальной активности и блокирует подозрительные запросы.

2. Распределение нагрузки
Метод, при котором используется несколько серверов, распределенных по различным точкам в сети, они работают вместе, чтобы принимать большие нагрузки и объемы трафика. Тем самым обеспечивая стабильную работу сайта даже в случае DDoS.

3. Использование CDN (Content Delivery Network)
Геораспределенная сеть серверов хранит копии веб-сайта и загружает контент от ближайшего к пользователю сервера. Это позволяет улучшить скорость загрузки страниц и частично снижает нагрузку на серверы клиентов, поэтому во время атаки они легче переносят всплески вредоносного трафика. Таким образом повышается устойчивость веб-ресурса к DDoS-атакам.

Все перечисленные методы включены в сервис DDoS-Guard, что позволяет обеспечить устойчивую защиту от DDoS-атак и гарантировать стабильность работы веб-ресурса.

Как работает L7-защита DDoS-Guard

1. Анализ HTTP-запросов

Защита построена на анализе HTTP-запросов с помощью программного обеспечения собственной разработки. Все запросы проверяются на соответствие требованиям стандартов интернета, RFC, а также оцениваются по ряду параметров. Анализ выявляет некорректно составленные запросы, а также позволяет обнаружить DDoS или другие атаки. После этого все вредоносные и атакующие запросы блокируются.

Благодаря тому, что защита активна 24/7, анализ запросов идет непрерывно. При обнаружении аномалий или подозрительных запросов проводятся дополнительные проверки.

Это позволяет сделать защиту от DDoS-атак безопасной для легитимных посетителей: если они по каким-то причинам были оценены как подозрительные, после успешного прохождения дополнительной проверки доступ к сайту для них будет открыт.

2. Технология обратного проксирования (Reverse Proxy) 

Чтобы эффективно защищать веб-ресурсы от угроз на уровне приложений, мы анализируем и очищаем трафик на собственных узлах. Маршрутизация anycast для защищенных IP-адресов позволяет обрабатывать запросы к сайту на ближайшем к посетителю узле фильтрации. А для того, чтобы доставить запросы к нашим серверам, используется технология Reverse Proxy. Она представляет собой метод настройки сетевой инфраструктуры, который позволяет скрыть реальный адрес сервера, обрабатывающего запросы, и предоставить клиентам доступ к ресурсу через промежуточный сервер (прокси-сервер).

Работа обратного проксирования строится таким образом:

1. DDoS-Guard выделяет IP-адрес для защищаемого домена из своих сетей.
2. Владелец защищаемого домена указывает в качестве А-записей IP-адрес, выделенный DDoS-Guard, после чего HTTP-запросы посетителей начинают идти к целевому веб-серверу через посредника в виде проксирующего сервера.

Таким образом, проксирующий сервер выступает агрегатором входящих запросов от посетителей сайта. Это позволяет разгрузить целевой сервер от вредоносных и атакующих запросов.

Технология обратного проксирования имеет ряд преимуществ, которые положительно влияют на производительность и работу сайта.

• Ускоряет открытие сайта и оптимизирует контент

Чтобы обеспечить быструю загрузку страниц сайта, мы используем технологию геораспределенной доставки контента — CDN. Благодаря CDN пользователи получают контент с ближайшего к ним проксирующего сервера, а не с целевого.

• Снижает нагрузку на целевой сервер

Технология проксирования берет на себя обслуживание вредоносных запросов. Также благодаря ей можно избавить целевой сервер от необходимости обрабатывать ресурсоемкие TLS-соединения, организовав соединение между прокси и целевым сервером без HTTPS.

• Скрывает реальный IP-адрес целевого веб-сервера

Технология обратного проксирования позволяет скрыть реальный IP путем изменения А-записи домена. Для этого сразу после активации услуги DDoS-Guard выдает клиенту новый, защищенный IP-адрес.

• Предоставляет возможность распределения нагрузки между несколькими серверами

Запросы пользователей идут сразу к нескольким целевым серверам. Если какой-то из них выйдет из строя, то прокси переключит поток запросов между несколькими серверами и распределяет нагрузку.

Какие проблемы решает защита сайта от DDoS-атак

1. Недоступность сервиса

DDoS-атаки могут привести к полной или частичной недоступности серверов и всего сайта. Это может нанести серьезный финансовый и репутационный ущерб проекту.

2. Падение производительности

Вредоносный трафик создает серьезную нагрузку на серверы и сеть, что приводит к снижению производительности, медленной загрузке страниц или же полной недоступности сервиса.

Ключевые преимущества L7-защиты DDoS-Guard

• Отсутствие скрытых платежей. Никаких доплат за отраженные атаки.
• Безлимитная полоса пропускания. Доступ к сайту не ограничивается объемом полученного трафика.
• Умная система фильтрации трафика. Анализ трафика 24\7 в режиме реального времени позволяет точечно определять нелегитимные запросы и блокировать только их.
• Удобный личный кабинет. Клиентам доступна детальная аналитика трафика и тонкая настройка фильтрации.

+ Бесплатно

Как правильно выбрать подходящий тариф

Клиентам доступно 5 тарифов: Basic, Normal, Medium, Premium и Enterprise. Каждый из них создан для проектов разного масштаба — от небольших веб-сайтов до высоконагруженных веб-приложений. Например, маркетплейсов, досок объявлений и других. Чтобы выбрать подходящий тариф, определите:

• какое количество ресурсов должно быть под защитой;
• сколько выделенных защищенных IP-адресов вам потребуется;
• нужны ли вам дополнительные модули фильтрации.

Качество защиты DDoS-Guard обеспечивается на одинаково высоком уровне для всех тарифов, независимо от объема трафика.  Они отличаются лишь набором дополнительных возможностей.

Чем выше тарифный план, тем больше доменов можно защитить в рамках услуги, тем больше правил и настроек доступно. Каждый следующий тариф линейки включает все опции предыдущего. Также повышается приоритет обработки обращений в техническую поддержку.

Basic 

• защита 1 домена;
• геоблокировка;     
• бесплатный SSL-сертификат.

Услуга надежно защищает сайты с простой архитектурой. Basic подходит тем, кто только открывает для себя защиту от DDoS-атак и кто хотел бы познакомиться с услугой. Например, владельцам малого бизнеса, чей сайт выполняет функцию визитной карточки и кому удобно оплатить услугу от физического лица.

Normal

• защита 1 домена;    
• отчеты по атакам на уровне L7;
• поддержка кастомных сертификатов. 

Тариф Normal подойдет сайтам, для которых важно иметь выделенный защищенный IP-адрес и возможность выбрать конкретный регион, к которому он привязан. Клиентам доступны отчеты об атаках. Выборка включает пиковый объем, время, количество атак, отраженных за выбранный период, и многое другое.

Medium 

• защита 3 доменов;    
• сегментация домена;
• блокировка TOR-сетей.

Ключевая особенность плана Medium — в универсальности: клиентам доступна большая часть популярных опций. Если вашему проекту по требованиям безопасности важно исключить часть наборов шифров TLS, такая возможность появляется именно на данном тарифе.

Premium 

• защита 5 доменов;
• очистка кэша по маске;
• отчеты об атаках на уровне L3-4

Premium предоставляет продвинутые инструменты управления защитой. Клиенты могут регулировать количество запросов к веб-серверу и задавать правила фильтрации трафика с учетом особенностей защищаемого сайта. Гибкая работа с поддоменами позволяет настроить собственные правила обработки для поддоменов. Например, направить трафик части поддоменов на отдельные целевые серверы, настроить собственный Ч/Б список IP-адресов. Без этой опции добавление правила поддомена расценивается как отдельный домен на защите. Тариф Premium подходит для высоконагруженных проектов.

Enterprise 

• защита 10+ доменов;    
• кастомные страницы;
• высочайший приоритет обработки обращений.

Enterprise — это наиболее полный набор возможностей для оптимизации сайта и настройки фильтрации. Тариф поддерживает возможность указать доменное имя в качестве целевого IP сервера (FQDN). Подходит для крупных проектов, которым важно получить не только надежную защиту, но и индивидуальное решение. Клиентам доступна доработка существующего набора правил, а также разработка индивидуальных модулей фильтрации уровня L7.

Возможности личного кабинета

Личный кабинет DDoS-Guard — это платформа, которая создана, в первую очередь, для удобства наших клиентов и партнеров. Она позволяет задать гибкие настройки под проекты разной специфики. Специалисты DDoS-Guard постоянно выпускают обновления и улучшения, чтобы расширить возможности для клиентов.

Основные опции личного кабинета DDoS-Guard:

• статистика; 
• отчеты об атаках; 
• уведомления об инцидентах; 
• тикет-система техподдержки.

Статистика

Клиенты могут анализировать входящий и исходящий трафик в битах и пакетах в секунду за любой промежуток. Также доступна информация по количеству атакующих IP и их местоположению.

Отчеты об атаках

На тарифе Normal и выше доступны отчеты об атаках. Для удобства все данные можно выгрузить в формате PDF. Отчеты автоматически группируются в графики и блоки по различным показателям:

• день недели, когда атаковали чаще всего;
• доличество запросов во время атак;
• топ атакующих стран;
• топ атакующих IP;
• топ атакующих AS;
• топ атакованных локаций сайта и многое другое.

Уведомления об инцидентах 

На панели управления услугой защиты сайта можно выставить критические показатели трафика — триггеры — при достижении которых на почту клиента придет автоматическое уведомление об атаке.

Уведомления содержат следующую информацию:

• защищаемый домен; 
• точное время начала и конца атаки;
• пиковое значение по настроенному ранее триггеру. 

Техническая поддержка

Команда технических специалистов DDoS-Guard всегда готова ответить на вопросы, оказать помощь при выборе тарифного плана и подключении защиты, а также оперативно отреагировать в случае нештатной ситуации. Для удобной и эффективной коммуникации с клиентами мы используем тикет-систему в личном кабинете.

Как подключить услугу: путь клиента

1. Выбор тарифа и регистрация

Подключение услуги защиты сайта от DDoS-атак на уровне L7 займет около 20 минут. Для этого нужно перейти на сайт DDoS-Guard и выбрать подходящий тариф. Затем кликнуть кнопку «Подключить» и перейти к этапу регистрации.

Доступно несколько способов регистрации: 

• через социальные сети;
• через почту; 
• через Google аккаунт. 

После заполнения данных на указанный почтовый адрес придет ссылка для подтверждения регистрации.

Далее клиент может сразу перейти по ссылке в личный кабинет или сделать это позже. Для этого нужно перейти на сайт DDoS-Guard и кликнуть на кнопку «Личный кабинет» в верхнем правом углу . Главное на этом этапе — не пропустить подтверждения и перейти по ссылке регистрации, которая придет на почту.

2. Личный кабинет

В личном кабинете подключить и настроить защиту удобно, благодаря интуитивному интерфейсу. Помимо защиты сайта можно подключить защиту сети, арендовать хостинг или сервер.

3. Подключение услуги

На странице подключения клиенту потребуется ввести данные о защищаемом домене. IP-адрес будет определен автоматически, а позже заменен на защищенный IP DDoS-Guard.

Перед оформлением заказа можно выбрать валюту — рубли или доллары США. Затем период оплаты — один, три, шесть или двенадцать месяцев.

После подтверждения оплаты клиенту предстоит выполнить настройку своего веб-ресурса и сменить А-записи, чтобы система DDoS-Guard начала успешно фильтровать трафик.

4. Смена А-записей

Сразу после активации услуги клиенту приходит письмо, где указан новый защищенный IP-адрес. Чтобы защита работала корректно, веб-трафик должен проходить через сеть фильтрации DDoS-Guard. Перенаправить трафик можно двумя способами:

Изменить А-записи
Для этого клиенту необходимо перейти в личный кабинет регистратора домена и в поле А-записи домена прописать защищенный IP, выданный DDoS-Guard.

Следуйте следующим шагам:

• Зайдите на сайт вашего регистратора доменных имен и найдите раздел управления DNS-записями. Зачастую этот раздел находится в вашей учетной записи на сайте регистратора или доступен через специальную панель управления.
• Найдите существующие А-записи и скопируйте их значения. Рекомендуем сохранить их на случай необходимости.
• Измените значения А-записей на выданные IP-адреса DDoS-Guard, к которым вы будете привязывать ваш домен.
• Сохраните изменения, чтобы они вступили в силу.

Перенести DNS-записи на защищенный DNS-хостинг DDoS-Guard. Для этого также необходимо зайти в личный кабинет регистратора домена, однако сделать это нужно только один раз. Потом все DNS-записи можно настраивать в личном кабинете DDoS-Guard.

Скорость обновления зависит от распространения записей по DNS-серверам по всему миру. На это влияет значение TTL-записей. Оно указывает отдельным серверам, в течение какого времени можно хранить прежнюю запись, прежде чем проверить, не изменилась ли она на NS-сервере.

Для уменьшения возможной задержки в обновлении записей по миру рекомендуем уменьшить значение TTL и дождаться, пока записи с этим TTL распространятся по системе DNS.

Настройка защиты

После активации защиты клиент может приступить к более тонким настройкам. Например, ограничить доступ к своему ресурсу по региону или с определенных IP-адресов, загрузить сторонний SSL-сертификат или воспользоваться другими возможностями тарифного плана.

Полную инструкцию по подключению и настройке защиты сайта можно найти в Базе знаний DDoS-Guard.

Используя профессиональную защиту сайта от DDoS-атак, вы обеспечите не только безопасность вашему веб-ресурсу, но и получите удобный интерфейс, который позволит быстро настроить услугу в несколько кликов. При возникновении трудностей вы всегда сможете обратиться в техническую поддержку — команда специалистов готова помочь с разными вопросами и проблемами в любое время суток.