Вкладка Фильтры DDoS-атак включает себя все настройки, которые позволяют влиять на работу основных фильтров DDoS-атак.
Чувствительность защиты
Правила чувствительности защиты определяют, насколько подозрительным должен оказаться запрос, чтобы отправиться на проверку JS challenge и CAPTCHA. В зависимости от тарифа на выбор доступны 3–5 уровней чувствительности:
- Минимальная
- Пониженная
- Стандартная (обычная чувствительность защиты, которая по умолчанию применяется ко всем доменам)
- Повышенная
- Максимальная
Правило может задавать уровень чувствительности для основного домена, основного домена и всех поддоменов, конкретного поддомена. Чем выше чувствительность, тем больше запросов будет отправлено на дополнительную валидацию.
Если для домена доступна Сегментация и добавлен хотя бы один сегмент, в каждом правиле появляется возможность выбрать сегмент домена, на который оно будет действовать.
Рекомендации по настройке
Чтобы настроить общую чувствительность защиты, создайте правило для домена и всех его поддоменов.
Настройка общей чувствительности зависит от стабильности вашего сайта и инфраструктуры под нагрузкой. Если сайт способен переживать всплески нагрузки, вы можете понизить чувствительность защиты, чтобы минимизировать влияние защиты на легитимных пользователей во время атаки. Обычно это актуально для крупных проектов.
Если даже небольшой всплеск трафика может вызвать проблемы в работе вашего сайта, рекомендуется повысить чувствительность, чтобы уменьшить влияние подозрительных запросов.
Чувствительность API можно установить ниже общей чувствительности, чтобы уменьшить эффект защиты на легитимные запросы к API, которые зачастую не способны пройти дополнительную проверку.
Повышение чувствительности для сегментов API рекомендуется в том случае, если API часто становится целью атак.
Чувствительность Static можно установить выше общей чувствительности, если целью атакующих часто становятся именно статические файлы сайта.
Снижение чувствительности для сегментов Static может помочь в том случае, если защита блокирует загрузку некоторых файлов для легитимных пользователей.
Чтобы настроить чувствительность защиты для отдельных URL, разметьте их в разделе Сегментация, а после создайте правило чувствительности для сегментов соответствующего типа
Сегментация сайта
Сегментация — разделение сайта на сегменты по типу контента для более точного срабатывания алгоритмов защиты. Доступны три типа:
- Default — стандартный тип сегмента, к которому по умолчанию относится любой URL без сегментации
- Static — сегмент со статическим контентом
- API — сегмент с REST API
Атаки на каждый тип сегментов фиксируются отдельно, то есть атака на Static не будет влиять на фильтрацию запросов к API и наоборот. Если для домена доступна настройка чувствительности защиты, для каждого типа сегментов ее можно настроить отдельно.
Чтобы добавить сегмент, введите URL без названия домена (path) и выберите тип сегмента. Теперь все URL, путь которых начинается с указанной вами строки, будут относиться к выбранному типу сегмента.
Пример настройки
Например, мы хотим увеличить чувствительность защиты для example.com, но при этом уменьшить влияние защиты на API api.example.com и статический контент, расположенный на example.com/cdn/…
Для этого нам потребуется добавить один сегмент и три правила чувствительности защиты. Создадим первое из них:
Для домена example.com и всех поддоменов (сегмент Default) чувствительность Повышенная (+1)Это общее правило, которое увеличит чувствительность защиты для всех запросов к example.com.
Добавим правило, которое уменьшит влияние защиты на API:
Для поддомена api.example.com (сегмент Default) чувствительность Минимальная (-2)Это правило более конкретное, чем первое, поэтому оно будет иметь приоритет для запросов к api.example.com.
Наконец, последнее правило для статического контента на example.com/cdn/…. Мы не можем создать правило чувствительности защиты для URL, поэтому сначала выделим example.com/cdn в сегмент сайта с типом Static.
Теперь с точки зрения защиты example.com/cdn становится как бы виртуальным поддоменом: атаки на него определяются отдельно от основного домена, а чувствительность защиты может управляться другим правилом. Создадим его:
Для домена example.com (сегмент Static) чувствительность Пониженная (-1)Настройка завершена: большая часть запросов к example.com и его поддоменам обрабатывается по общему правилу с чувствительностью защиты Повышенная (+1), запросы к API — с чувствительностью Минимальная (-2), а статический контент на example.com/cdn функционирует как отдельный поддомен с чувствительностью Пониженная (-1).