Подключение и настройка защиты сайта

Самый быстрый способ подключить защиту сайта от DDoS — указать защищенный адрес DDoS-Guard в А-записи домена.

В этой инструкции рассказываем подробнее о том, как это сделать.

 

Чтобы подключить услугу, перейдите на страницу «Защита сайта», выберите подходящий тариф и нажмите Подключить.

Вас встретит мастер настройки, который поможет заказать услугу и настроить защиту первого домена. Все услуги в процессе оформления располагаются над таблицей подключенных услуг.

Личный кабинет, свернутый мастер настройки услуги Защита и ускорение сайта. Выделена кнопка Подключить
Свернутый мастер настройки услуги

Личный кабинет, развернут мастер настройки услуги Защита сайта

Для подключения услуги нужно знать:

  • Домен, который вы хотите защитить
  • IP-адрес (или адреса) сервера, на котором работает сайт
  • DNS-провайдера домена

 

Если у вас уже есть активная услуга «Защита сайта», поставить под защиту новый домен можно на вкладке Домены.

Личный кабинет, вкладка Домены. Видна кнопка Добавить домен

 

Есть несколько способов защитить поддомен основного домена от DDoS-атак:

  1. Включить опцию Поддомены в общих настройках основного домена
  2. Добавить поддомен с помощью гибкой настройки поддоменов
  3. Добавить поддомен на защиту как отдельный домен

Основным доменом считается домен выше уровнем, который поставлен под защиту. Например, для test.example.com основным доменом будет example.com, а для api.git.example.comgit.example.com или example.com

СпособУсловияДоступностьНастройки защитыЛимит
Опция ПоддоменыОсновной домен должен быть под защитой, поддомен должен располагаться на том же IPНа любом тарифе без ограниченийПрименяются настройки основного доменаНет лимита
Гибкая работа с поддоменамиОсновной домен должен быть под защитойНа старших тарифах или в качестве дополнительной услугиИспользуется защищенный IP основного домена, остальные настройки не зависят от других доменовЛимит связанных поддоменов, лимит родительских доменов
Как отдельный доменБез ограниченийНа тарифах, для которых доступна защита более 1 домена, или в качестве дополнительной услуги Не зависят от других доменовОбщий лимит защищаемых доменов

В большинстве ситуаций достаточно активировать опцию Поддомены в настройках основного домена — так запросы ко всем поддоменам будут обрабатываться с теми же настройками, что и запросы к основному домену. Только в том случае, когда необходимо изменить настройки защиты для конкретного поддомена, стоит воспользоваться 2-м или 3-м способом.

 

Чтобы защитить сайт, направьте трафик на защищенный IP DDoS-Guard, изменив IP-адрес в А-записях домена. 

Узнать свой защищенный IP-адрес DDoS-Guard можно на вкладке Домены

Для этого зайдите в личный кабинет DNS-провайдера — компании, которая хранит на своих DNS-серверах информацию о вашем домене.

Узнать DNS-провайдера можно с помощью WHOIS-утилиты или веб-сервиса

Чаще всего DNS-провайдером выступает регистратор домена. Информацию о нем можно найти в разделе Registrar info.

Сайт who.is, результат по запросу reg.ru. В графе Registrar info указан регистратор REGRU-RU

После входа в панель управления DNS-провайдера выполните следующие действия:

  1. В панели управления DNS-провайдера найдите интерфейс редактирования DNS-записей.

  2. Измените значение А-записей всех защищаемых доменов и поддоменов на защищенный IP-адрес DDoS-Guard. Его можно найти на вкладке Домены.

    Если вы используете А-записи для работы с не-веб трафиком (например, домен в качестве значения MX-записи), не направляйте их на защищенный адрес. Защита корректно работает только с HTTP/HTTPS запросами на 80/443 порт

  3. Удалите все АААА-записи — это аналог А-записей для адресов IPv6. Мы не используем IPv6 — а если в АААА останется настоящий адрес сервера, его могут использовать для атаки в обход защиты.

  4. Подождите, пока изменения вступят в силу. Обычно это занимает около двух часов, но некоторые DNS-серверы могут вести на старый адрес больше суток.

    Проверить, изменились ли записи, можно с помощью сервиса check-host или блока Диагностика в настройках домена (УслугаДоменыОбщие настройки).

    Личный кабинет, вкладка Домены. Общие настройки домена. В меню Диагностика в графе А-записи указано «В А-записях домена указан защищенный IP DDoS-Guard»

Если записи изменились — настройка завершена. Защита работает, трафик к вашему сайту проходит через сеть фильтрации

После настройки защиты рекомендуем убедиться, что на сервере есть SSL-сертификат для защищаемого домена (подойдет даже самоподписанный) и что сервер готов принимать проксированные запросы на порт 443.

 

Здесь собрали необязательные настройки, которые могут быть полезны для проекта под защитой.

Настройка фаервола

Фаервол сервера может блокировать проксированные запросы — тогда часть посетителей сайта увидит ошибку 504 (реже — 502). Чтобы избежать этого, рекомендуем добавить адреса DDoS-Guard в белый список фаервола

Настройка расшифровки реальных IP

При проксировании все запросы приходят на сервер с IP-адресов DDoS-Guard, а не с адресов пользователей. Чтобы видеть реальные IP-адреса посетителей сайта, настройте расшифровку заголовка X-Forwarded-For

Перенос DNS-зоны на серверы DDoS-Guard

Если возникла необходимость сменить DNS-провайдера, вы можете воспользоваться DNS-хостингом DDoS-Guard. Подробнее о переносе DNS-зоны — в инструкции Настройка DNS-записей

Наши решения

Защита сайта

Обеспечим защиту от DDoS-атак на уровне L7 OSI и быструю доставку контента с помощью CDN

Защита сети

Защитим инфраструктуру сети от DDoS-атак на уровнях L3-L7 OSI с неограниченным количеством префиксов

Защищенный выделенный сервер

Аренда физического сервера с защитой от DDoS-атак в ЦОДе уровня Tier III

Защищенный VDS/VPS

Аренда виртуальных выделенных серверов с защитой от DDoS-атак и гибкой настройкой конфигурации

Защищенный хостинг

Хостинг на серверах DDoS-Guard с защитой от всех известных DDoS-атак и ускоренной доставкой контента (CDN)

WAF

Отслеживайте попытки вредоносного вторжения и получайте подробную аналитику