Защита от DDoS на уровне L7

DDoS-атака уровня L7 — это атака на уровне протокола приложений: HTTP, HTTPS, DNS и др. Как правило, DDoS L7 направлены на сайты, веб-приложения и сетевые сервисы.

Чтобы защититься от DDoS L7, в Рег.ру вы можете заказать услугу «Защита от DDoS на уровне L7».

Для чего нужна защита от DDoS L7

Все выделенные серверы Рег.ру защищены от DDoS-атак на уровнях L3-L4 по умолчанию. Защита реализована на уровне сети и активируется автоматически при заказе сервера. Подробнее об уровнях OSI и типах вредоносных атак вы можете узнать в статье.

Однако существует риск столкнуться с высокоуровневой DDoS-атакой на сайт или веб-приложение. Чаще всего злоумышленники реализуют такую атаку при помощи HTTP или HTTPS флуда — способа, который позволяет генерировать большое число запросов от нелегитимных ботов, которые имитируют реальных пользователей. От таких DDoS-атак требуется дополнительная защита уровня L7.

Как работает защита от DDoS L7

Защита от высокоуровневой DDoS реализована при помощи обратного проксирования (Reverse Proxy). Как это работает:

  1. Для сайта предоставляется защищенный IP-адрес. Его необходимо указать в A-записи для домена.
  2. После того как вы прописали IP, все запросы к сайту направляются на защищенный адрес и проходят через фильтры безопасности. Далее очищенный трафик направляется на целевой адрес — то есть на IP-адрес вашего сервера.

защита от ддос л7

Как выбрать тариф

В Рег.ру доступно 3 тарифа защиты от DDoS-атак L7:

  • Base,
  • Normal,
  • Profi,
  • Max.

Условия по каждому тарифу вы можете узнать в разделе «Надежность и безопасность».

Сравнение тарифов
ВозможностьBaseNormalProfiMax
Выделенный IP-адресНетЕстьЕстьЕсть
Количество доменов, доступных для защиты11510
Неограниченная полоса легитимного трафикаНетНетЕстьЕсть
Поддержка веб-сокетов (WebSockets)ЕстьЕстьЕстьЕсть
Глобальная доставка контента (CDN)ЕстьЕстьЕстьЕсть
Кэширование статического контентаЕстьЕстьЕстьЕсть
Максимальная частота обновления кэшаКаждый часКаждые 30 минутКаждую минутуКаждую минуту и чаще
Максимальный размер кэшируемого файла100 МБ200 МБ200 МБ500+ МБ
Поддержка HTTP/2 и SPDYЕстьЕстьЕстьЕсть
Возможность настроить дополнительные правила фильтрацииНетНетНетЕсть
Защита от атак OWASP TOP-10НетНетНетЕсть
Возможность подключения Web Application Firewall (WAF)НетНетНетЕсть
Возможность подключения Bot MitigationНетНетЕстьЕсть
Исключение запросов из фильтрации по дополнительному HTTP заголовкуНетНетЕстьЕсть
Черные и белые списки3/35/550/50100/100
Расширенная защита от DDoSНетНетНетЕсть
Гарантировано фильтруемая полоса3,2 Tbps / 700 Mpps3,2 Tbps / 700 Mpps3,2 Tbps / 700 Mpps3,2 Tbps / 700 Mpps
Работа с поддоменамиНетНетЕстьЕсть
Отдельные SSL-сертификаты для поддоменовНетЕстьЕстьЕсть
Бесплатный SSL-сертификат Let’s EncryptЕстьЕстьЕстьЕсть
Время активации SSLМгновенноМгновенноМгновенноМгновенно
Поддержка SSL/TLS 1.2&1.3 шифрованияЕстьЕстьЕстьЕсть
Сторонние SSL-сертификатыЕстьЕстьЕстьЕсть
Репутационный анализ источниковЕстьЕстьЕстьЕсть
Балансировка нагрузкиНетЕстьЕстьЕсть
Поддерживаемое количество веб-серверов1210Не ограничено
График активностиЕстьЕстьЕстьЕсть
Тепловая карта запросовЕстьЕстьЕстьЕсть
Список заблокированных угрозНетЕстьЕстьЕсть
Детализированные отчеты об атакахНетНетЕстьЕсть
Ускоренная валидация посетителейЕстьЕстьЕстьЕсть

Если у вас возникнут вопросы по выбору тарифа, напишите заявку в службу поддержки.

Как подключить защиту от высокоуровневой DDoS

Чтобы подключить услугу, напишите заявку в службу поддержки. Укажите в ней:

  • список доменов и поддоменов, которые необходимо защитить;
  • данные SSL-сертификата (при наличии): сертификат, цепочку сертификатов и приватный ключ.

После отправки данных в ответном письме вы получите защищенный IP-адрес. Его нужно указать в A-записи домена.

Обратите внимание
Защита от DDoS L7 распространяется только на поддомены, которые направлены на IP-адрес основного домена. Также для корректной работы услуги на всех поддоменах вам потребуется Wildcard-сертификат.

Статистику по трафику и другие подробности работы защиты от DDoS вы можете получить при обращении в службу поддержки.

Возможные проблемы

Атака продолжается после подключения услуги

Если вы подключили защиту, но на сервер по-прежнему поступают нелегитимные запросы, скорее всего, атака ведется на целевой IP-адрес — тот, на котором расположен сайт. В этом случае рекомендуем ограничить доступ к веб-серверу при помощи системного файервола. Если на вашем сервере расположен один сайт или несколько сайтов с такой же защитой, используйте утилиту iptables. Для этого:

  1. 1.
    Подключитесь к серверу по SSH.
  2. 2.

    Поочередно выполните команды:

    iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 77.220.207.192/27 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 77.220.207.192/27 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP

Если на вашем сервере размещено несколько сайтов без защиты, ограничение нужно настроить на стороне веб-сервера. Например, веб-сервер Apache позволяет управлять доступами в файле .htaccess. Для настройки ограничений к сайту:

  1. 1.
    Подключитесь к серверу по SSH.
  2. 2.

    Откройте файл .htaccess с помощью одной из команд:

    sudo nano /var/www/test.ru/.htaccess
vim /var/www/test.ru/.htaccess

    Вместо /var/www/test.ru/.htaccess укажите путь к файлу, который размещен в директории защищенного сайта.

  3. 3.

    Добавьте строки:

    order deny,allow
deny from all
allow from 186.2.160.0/24
allow from 77.220.207.192/27

    После этого сохраните изменения и закройте файл.

В логах сервера отображаются неверные IP-адреса посетителей сайта

После того как вы защитили сайт от DDoS L7, в логах посещений будут отображаться IP-адреса сервиса защиты вместо пользовательских. Это связано с особенностями услуги: защита реализована методом проксирования, поэтому все клиентские запросы проходят через серверы фильтрации. IP одного из них вы можете увидеть в логах вместо пользовательского адреса.

Чтобы в статистике и логах веб-сервера отображались реальные IP посетителей, необходимо добавить настройки в конфигурацию веб-сервера. Для этого:

  1. 1.
    Подключитесь к серверу по SSH.
  2. 2.
    Выберите инструкцию для вашего веб-сервера.
Apache
  1. 3.

    Откройте файл remoteip.conf с помощью одной из команд:

    sudo nano /etc/apache2/conf-available/remoteip.conf
vim /etc/apache2/conf-available/remoteip.conf
  2. 4.

    Добавьте строки:

    RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 186.2.160.0/24 77.220.207.192/27

    Затем сохраните изменения и закройте файл.

  3. 5.

    Проверьте синтаксис конфигурационного файла:

    apachectl -t

    Если в файле нет ошибок, перезагрузите веб-сервер с помощью одной из команд:

    systemctl restart apache2
systemctl restart httpd
Nginx
  1. 3.

    Откройте файл nginx.conf с помощью одной из команд:

    sudo nano /etc/nginx/nginx.conf
vim /etc/nginx/nginx.conf
  2. 4.

    В секцию «HTTP» добавьте строки:

    set_real_ip_from 186.2.160.0/24;
set_real_ip_from 77.220.207.192/27;

    Затем сохраните изменения и закройте файл.

  3. 5.

    Проверьте синтаксис конфигурационного файла:

    nginx -t

    Если в файле нет ошибок, перезагрузите веб-сервер с помощью команды:

    systemctl restart nginx

Как отключить защиту от DDoS L7

Если вы хотите отказаться от защиты, подготовьте сервер: это нужно, чтобы ваш сайт продолжал работать. Для этого:

  1. Снимите ограничения на запросы к сайту.
  2. В зоне домена замените значение A-записи на IP-адрес сервера сайта.

После этого напишите заявку в службу поддержки с просьбой удалить услугу защиты от DDoS L7.

Помогла ли вам статья?

Спасибо за оценку. Рады помочь 😊

 👍