DDoS-Guard: установка и настройка сервиса защиты сайта от DDoS-атак

К сожалению, DDoS-атаки – неизбежная реальность для популярных сайтов, которая может мешать работе бизнеса. Благо, существуют решения, помогающие противодействовать подобным атакам. Об одном из таких решений – DDoS-Guard – мы и поговорим в этой статье. Мы рассмотрим процесс подключения услуги, доступные тарифы, а также предоставляемый ими функционал.

Подключение DDoS-Guard к сайту

Итак, чтобы ваш сайт находился под защитой DDoS-Guard, в первую очередь потребуется зарегистрировать аккаунт, после чего воспользоваться пробным периодом услуги либо оплатить выбранный тариф. Пробный период на тарифе Basic доступен на 3 дня без дополнительных согласований, для других тарифов – по запросу. 

После регистрации и активации тарифа для подключения сервиса к сайту потребуется перейти в раздел “Домены” и добавить доменное имя сайта.

Заполните появившуюся форму.

В ней укажите:

1. Доменное имя сайта, для которого подключается защита.
2. Целевой IP-адрес – IP сервера, на котором будет располагаться сайт. Значение будет автоматически подставлено, если у домена есть А-запись, при необходимости можно изменить автоматически добавленное значение либо указать несколько для балансировки нагрузки (доступно, начиная с тарифа Medium). Узнать текущую А-запись домена, делегированного нам, вы можете в разделе DNS, а IP сервера – по запросу в техническую поддержку.
3. Регион защищенного IP – доступно на тарифах Normal и выше и позволяет указать предпочтительную локацию защищенного IP, доступны на выбор:
   1. Россия
   2. Белиз
   3. ОАЭ
   4. Нидерланды

От выбранной локации будет зависеть определяемая по GEO-IP страна защищенного IP, изменение защищенного IP после заказа возможно, но является дополнительной платной услугой.

4. Настройки соединения – при необходимости можно включить переадресацию с http на https на стороне DDoS-Guard, а также на тарифах Normal и выше настроить использование шифрования при передаче данных между DDoS-Guard и сервером, на котором расположен сайт.
5. SSL-сертификат – по умолчанию Let’s Encrypt, на тарифах Normal и выше доступна установка собственного сертификата.
6. Настройки DNS – позволяет подключить DDoS-Guard двумя способами:
   1. Полный перенос DNS – потребует изменения NS-записей на стороне регистратора домена, может занимать до 48 часов в зависимости от TTL кэша провайдера.
   2. Частичный перенос DNS – DNS-зона на стороне DDoS-Guard создана не будет, для подключения сервиса потребуется изменить А-запись домена на стороне NS-серверов, которым делегирован домен, указав в ней защищенный IP DDoS-Guard.

После указания всех данных для завершения настройки на стороне DDoS-Guard нажмите “Добавить домен”.

После добавления домена он отобразится в списке доменов:

Затем, в зависимости от выбранного способа настройки, потребуется изменить ресурсные записи домена – если был выбран частичный перенос DNS, укажите в А-записи домена защищенный IP-адрес, указанный в третьем столбце. Про управление ресурсными записями для доменов, делегированных нашим NS-серверам, вы можете прочитать в нашей статье.

Если вы выбрали полный перенос доменной зоны, потребуется изменить NS-записи на стороне регистратора вашего домена на следующие:

ns1.ddos-guard.net
ns2.ddos-guard.net

О том, как изменить NS-записи для домена, зарегистрированного в Бегете, вы можете прочитать в нашей статье.

Управление NS-записями после переноса будет доступно в разделе DNS настроек домена. Подробнее о доступных записях вы можете прочитать в документации сервиса.

После изменения NS-записей сайт начнет работать под защитой от DDoS-Guard. Если вам необходимо ограничить запросы с подсетей, не относящихся к прокси-сервису, вы можете обратиться в техническую поддержку.

Настройки и дополнительные возможности

Для перехода в раздел настроек сайта нажмите на домен в соответствующем списке в разделе “Домены” панели управления DDoS-Guard.

Настройки домена

В данном разделе можно проверить корректность настройки домена, а также изменить его параметры.

Диагностика позволяет проверить, корректно ли настроен домен, а также наличие проблем с доменом:

В подразделе “Адресация” указано доменное имя, присвоенный ему защищенный IP, а также переключатель настроек поддоменов – во включенном состоянии настройки основного домена будут автоматически применяться к поддоменам.

Подраздел “Безопасность” позволяет управлять настройками безопасности, в том числе работой сайта по HTTPS.

Здесь можно: 

• Включить/отключить автоматическое перенаправление с HTTP на HTTPS.
• Задать код ответа при перенаправлении. Доступные опции: 
  • 301 – Moved Permanently 
  • 302 – Found 
  • 307 – Temporary Redirect 
  • 308 – Permanent Redirect 
• Тип соединения между DDoS-Guard и вашим сервером – опция доступна начиная с тарифа Normal и позволяет выбрать протокол, используемый для передачи данных между DDoS-Guard и веб-сервером сайта. 
• HTTP Strict Transport Security (HSTS) – не позволяет пользователю игнорировать сообщение о невалидном сертификате SSL, ограничивая доступ к небезопасному ресурсу, тем самым повышая безопасность. 
• Запретить доступ из Tor-сетей – блокирует запросы с выходных узлов сети Tor. Сайт будет недоступен для пользователей анонимных сетей, опция доступна с тарифа Medium.

Раздел “Настройки CDN” позволяет управлять кэшированием и сжатием контента на стороне DDoS-Guard.

Здесь вы можете:

• Включать и отключать кэширование.
• Очистить кэш на стороне DDoS-Guard – для всех тарифов доступна очистка кэша для всего ресурса, а для тарифов Premium и Enterprise также есть преимущество в виде возможности сбросить кэш по маске, то есть только для нужных URL.
• Настроить уровень сжатия для контента – доступны алгоритмы Gzip и Brotli, также можно полностью отключить его.
• Для тарифов Normal и выше доступно включение эвристической компрессии, позволяя DDoS-Guard распаковывать упакованный Gzip-контент и сжимать его Brotli, если браузер пользователя поддерживает данный алгоритм, таким образом, можно снизить время загрузки сайта.

В подразделе “Управление” вы можете временно отключить фильтрацию, нажав на соответствующий переключатель – статистика при этом продолжит собираться. Также здесь вы можете удалить добавленный домен, если защита для него больше не требуется.

Аналитика

В разделе “Аналитика” доступна различная статистика по выбранному домену.

Фильтрация трафика

Черные/белые списки

Позволяет задать IP-адреса или подсети, для которых разрешен/запрещен доступ к вашему ресурсу. Количество доступных правил зависит от выбранного тарифа.

Для создания правила нажмите “Добавить правило”, после чего укажите нужный IP-адрес или подсети, а также тип правила. При необходимости можно добавить комментарий к правилу.

После добавления правило отобразится в списке:

Нажатие на иконку позволяет просмотреть статистику работы правила, а нажатие на меню – отредактировать либо удалить правило.

Список ботов

Раздел “Список ботов” доступен начиная с тарифа “Medium” и позволяет настроить правила посещения вашего сайта для популярных ботов – к примеру, ботов Яндекса, Google и других.

Для каждой группы ботов в списке доступно три режима: 

1. Пропускать – при использовании этого режима запросы не будут ограничиваться, работает подобно добавлению IP-адреса в белый список. 
2. Фильтровать – поступающие запросы будут проходить через ряд фильтров. Если запросы будут распознаны как подозрительные, им может быть предложено прохождение JS challenge и CAPTCHA. В случае провала проверки запросы будут заблокированы. 
3. Блокировать – все запросы для выбранной группы будут блокироваться.

По умолчанию установлена политика “пропускать” для всех групп ботов, чтобы избежать нежелательного нарушения их работы. 

Геоблокировка

Геоблокировка доступна на всех тарифах и может работать в двух режимах – в режиме белого списка либо в режиме черного списка. В первом случае доступ к ресурсу будет разрешен только для стран в белом списке, а во втором – разрешен для всех, кроме стран из черного списка.

Для добавления страны в тот или иной список выберите ее в выпадающем меню соответствующего списка, а затем нажмите “Добавить”:

После добавления страна отобразится в соответствующем списке, для ее удаления достаточно нажать на иконку корзины и подтвердить действие. Количество правил для каждого из списков зависит от выбранного тарифа.

По умолчанию геоблокировка отключена – для ее включения переключите режим в верхней части страницы:

Правила защиты

На тарифах Premium и Enterprise доступны дополнительные правила защиты, их количество зависит от тарифа и составляет 10 и 20 правил соответственно. Они позволяют гибко настроить защиту или исключения на основе большого количества параметров. Например, таким образом можно разрешить доступ для конкретного User-Agent при запросах к нужному URL. Для добавления правила нажмите соответствующую кнопку, после чего заполните появившуюся форму:

В ней выберите действие, которое будет выполняться при совпадении условий правила: 

• Пропускать – трафик будет игнорировать другие фильтры.
• JS Challenge – клиенту будет показана страница проверки браузера для выполнения JS Challenge.
• Блокировать – запросы будут заблокированы.

Затем укажите название правила и задайте условия для правила. В нашем примере нам потребуется проверить User-Agent на точное соответствие, а также применять правило только к определенному URL. После чего при необходимости добавьте комментарий, описывающий правило, а также приоритет – от него будет зависеть, какое правило будет выполняться при попадании запросов под несколько правил одновременно (0 – наименьший приоритет, 65 000 – наибольший).

Для сохранения правила нажмите соответствующую кнопку.

После добавления правила оно отобразится в общем списке:

Для просмотра статистики по работе правила нажмите на кнопку . Редактирование и удаление правила доступны при нажатии на кнопку меню справа от кнопки статистики.

Фильтры DDoS

Данный раздел позволяет настроить уровень защиты сайта, на выбор доступны от 3 до 5 уровней чувствительности в зависимости от тарифа:

1. Минимальная
2. Пониженная
3. Стандартная (обычная чувствительность защиты, которая по умолчанию применяется ко всем новым доменам)
4. Повышенная
5. Максимальная

По мере повышения чувствительности будет увеличиваться количество запросов, отправляемых на дополнительную валидацию. Начиная с тарифа Medium доступна сегментация, позволяющая настроить чувствительность для каждого типа сегментов (API/Static/Default). В настройках чувствительности появится два дополнительных пункта для сегментов API и Static, а для сегментов Default будет действовать Общая чувствительность защиты. Подробнее о настройке сегментации вы можете прочитать в документации сервиса.

Дополнительно

Кастомные страницы

Данная опция доступна только на тарифе Enterprise и позволяет изменить страницы, отображаемые пользователям при проверке или блокировке на собственные. Для этого потребуется загрузить их в html-формате. Требования к файлам:

• Только HTML-страницы
• Файл должен соответствовать стандартам W3C
• Размер файла не более 100 КБ

Подробнее о настройке кастомных страниц вы можете прочитать в документации сервиса. 

Триггеры

Триггеры – пороговые значения трафика, по достижении которых автоматически формируются и отправляются сообщения об инцидентах.

Для настройки уведомлений нажмите “Настроить триггеры”, а затем укажите пороговые значения:

По умолчанию уведомления отправляются на контактный email аккаунта DDoS-Guard, также доступна настройка уведомлений на вебхук. 

Атаки

Во вкладке “Атаки” отображается тепловая карта DDoS-атак (например, проводимых конкурентами) за год. Чем темнее цвет на тепловой карте, тем больше атакующих запросов было в этот день. При наведении на день показывается количество запросов.

Под тепловой картой расположены: 

• график запросов во время DDoS-атаки на сервер;
• топ локаций сайта под атакой;
• топ атакующих IP;
• топ стран;
• топ AS.

Указанные данные доступны для загрузки в виде отчета о DDoS-атаках на компанию. Для создания отчета за выбранный период нажмите “Создать отчет” над тепловой картой, после чего выберите интересующий вас сайт или сайты, а также временной период (доступный временной период зависит от выбранного тарифа), в течение которого была DDoS-атака.

Отчет будет выглядеть следующим образом:

Заключение

В данной статье мы рассмотрели процесс подключения и функционал панели управления сервиса DDoS-Guard для защиты от DDoS. Более подробно о доступных опциях вы можете прочитать в документации сервиса, а о тарифах – на официальном сайте.

Если возникнут вопросы, напишите нам, пожалуйста, тикет из панели управления аккаунта (раздел “Помощь и поддержка”), а если вы захотите обсудить эту статью, наш хостинг, защиту от DDoS и вредоносных программ или поделиться пожеланиями по будущим материалам (например, если вам будет полезен разбор аналогов DDoS-Guard) – ждем вас в нашем сообществе в Telegram.