Защита от DDoS на уровне L7
DDoS-атака уровня L7 — это атака на уровне протокола приложений: HTTP, HTTPS, DNS и др. Как правило, DDoS L7 направлены на сайты, веб-приложения и сетевые сервисы.
Чтобы защититься от DDoS L7, в Рег.ру вы можете заказать услугу «Защита от DDoS на уровне L7».
Для чего нужна защита от DDoS L7
Все выделенные серверы Рег.ру защищены от DDoS-атак на уровнях L3-L4 по умолчанию. Защита реализована на уровне сети и активируется автоматически при заказе сервера. Подробнее об уровнях OSI и типах вредоносных атак вы можете узнать в статье.
Однако существует риск столкнуться с высокоуровневой DDoS-атакой на сайт или веб-приложение. Чаще всего злоумышленники реализуют такую атаку при помощи HTTP или HTTPS флуда — способа, который позволяет генерировать большое число запросов от нелегитимных ботов, которые имитируют реальных пользователей. От таких DDoS-атак требуется дополнительная защита уровня L7.
Как работает защита от DDoS L7
Защита от высокоуровневой DDoS реализована при помощи обратного проксирования (Reverse Proxy). Как это работает:
- Для сайта предоставляется защищенный IP-адрес. Его необходимо указать в A-записи для домена.
- После того как вы прописали IP, все запросы к сайту направляются на защищенный адрес и проходят через фильтры безопасности. Далее очищенный трафик направляется на целевой адрес — то есть на IP-адрес вашего сервера.
Как выбрать тариф
В Рег.ру доступно 3 тарифа защиты от DDoS-атак L7:
- Base,
- Normal,
- Profi,
- Max.
Условия по каждому тарифу вы можете узнать в разделе «Надежность и безопасность».
Если у вас возникнут вопросы по выбору тарифа, напишите заявку в службу поддержки.
Как подключить защиту от высокоуровневой DDoS
Чтобы подключить услугу, напишите заявку в службу поддержки. Укажите в ней:
- список доменов и поддоменов, которые необходимо защитить;
- данные SSL-сертификата (при наличии): сертификат, цепочку сертификатов и приватный ключ.
После отправки данных в ответном письме вы получите защищенный IP-адрес. Его нужно указать в A-записи домена.
Статистику по трафику и другие подробности работы защиты от DDoS вы можете получить при обращении в службу поддержки.
Возможные проблемы
Атака продолжается после подключения услуги
Если вы подключили защиту, но на сервер по-прежнему поступают нелегитимные запросы, скорее всего, атака ведется на целевой IP-адрес — тот, на котором расположен сайт. В этом случае рекомендуем ограничить доступ к веб-серверу при помощи системного файервола. Если на вашем сервере расположен один сайт или несколько сайтов с такой же защитой, используйте утилиту iptables. Для этого:
-
1.
Подключитесь к серверу по SSH.
-
2.
Поочередно выполните команды:
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT iptables -I INPUT -s 77.220.207.192/27 -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 77.220.207.192/27 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -p tcp --dport 443 -j DROP
Если на вашем сервере размещено несколько сайтов без защиты, ограничение нужно настроить на стороне веб-сервера. Например, веб-сервер Apache позволяет управлять доступами в файле .htaccess. Для настройки ограничений к сайту:
-
1.
Подключитесь к серверу по SSH.
-
2.
Откройте файл .htaccess с помощью одной из команд:
sudo nano /var/www/test.ru/.htaccess vim /var/www/test.ru/.htaccess
Вместо /var/www/test.ru/.htaccess укажите путь к файлу, который размещен в директории защищенного сайта.
-
3.
Добавьте строки:
order deny,allow deny from all allow from 186.2.160.0/24 allow from 77.220.207.192/27
После этого сохраните изменения и закройте файл.
В логах сервера отображаются неверные IP-адреса посетителей сайта
После того как вы защитили сайт от DDoS L7, в логах посещений будут отображаться IP-адреса сервиса защиты вместо пользовательских. Это связано с особенностями услуги: защита реализована методом проксирования, поэтому все клиентские запросы проходят через серверы фильтрации. IP одного из них вы можете увидеть в логах вместо пользовательского адреса.
Чтобы в статистике и логах веб-сервера отображались реальные IP посетителей, необходимо добавить настройки в конфигурацию веб-сервера. Для этого:
-
1.
Подключитесь к серверу по SSH.
-
2.
Выберите инструкцию для вашего веб-сервера.
Как отключить защиту от DDoS L7
Если вы хотите отказаться от защиты, подготовьте сервер: это нужно, чтобы ваш сайт продолжал работать. Для этого:
- Снимите ограничения на запросы к сайту.
- В зоне домена замените значение A-записи на IP-адрес сервера сайта.
После этого напишите заявку в службу поддержки с просьбой удалить услугу защиты от DDoS L7.
Помогла ли вам статья?
Спасибо за оценку. Рады помочь 😊