Как настроить защиту от DDoS ?
В данной инструкции, мы обсудим очень важный момент в работе каждого сайта, а именно инструкцию по настройке защиты от DDoS атак используя сервис DDoS-GUARD.
Что такое DDoS атака ?
Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.
В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.
Зачем настраивать защиту от DDoS атак ?
Представьте ситуацию, вы создали сайт, который набрал за определенное количество времени существования свою аудиторию, в определенный момент у сайта появляются конкуренты, которые имеют средства заказать DDoS на ваш сайт в целях выбить ваш сайт с топ позиций в поиске и занять позиции вашего сайта.
В результате DDoS атаки на ваш сайт, перестает работать не лишь ваш сайт, но и все сайты на сервере конструктора или хостинга на котором ваш сайт расположен.
Когда хостинг / конструктор определяет на ваш сайт DDoS атаку, при необходимости отключают ваш сайт в целях борьбы с DDoS атакой, чтобы лишь из-за одного сайта не перестал работать весь сервер. Это все правильно так как часто именно один сайт становится причиной DDoS атаки на целый сервер на котором расположены сотни (тысячи) сайтов и если вовремя не отреагировать и не отключить сайт который стал причиной атаки, весь сервер перестанет работать.
Как подключить защиту от DDoS используя сервис DDoS-GUARD ?
1. Купить домен второго уровня. Рекомендуем покупать с панели управления сайтом. Крайний случай, когда атака уже осуществлена на ваш сайт и он недоступен, тогда можно купить у регистратора Domain uCoz: https://domain.ucoz.com/AB/domains_add_bulk.khtml
Важно! Если у вас уже был приобретен домен на вашем сайте и он был прикреплен к сайту, не нужно покупать еще один домен. Защиту стоит настроить именно в рамках домена, который у вас уже был ранее приобретен.
2. Зарегистрироваться на: https://ddos-guard.net/ru/store/web
Настройка и подключение защиты для домена
Прописать DNS DDoS-GUARD для домена
2.1. Прописать на стороне регистратора для вашего домена site-name.ru DNS ddos-guard:
- ns1.ddos-guard.net
- ns2.ddos-guard.net
- ns3.ddos-guard.net
- ns4.ddos-guard.net
- ns5.ddos-guard.net
- ns6.ddos-guard.net
Важно! При подключении домена к защите, в большей части достаточно к домену прописать лишь первых два DNS. Если у вас доступно на стороне регистратора домена больше 3-х полей для добавления DNS, тогда можете все 6 прописать. Если же регистратор дает прописать лишь 2-3 днс не больше, тогда пишите лишь первых два, третье поле можно оставить пустым.
Выбрать тариф
2.2. Далее перейти на сайт https://ddos-guard.net/ru/store/web выбрать тариф и нажать кнопку "Подключить".
Добавляем защищаемый домен и целевой айпи
3.1 Далее в поле "Добавьте домен" прописать домен который вы купили site-name.ru и жмем кнопку Сохранить, после в поле "Целевой айпи" пропишите айпи сервера (если он автоматически не определился) на котором расположен ваш сайт, и нажмите кнопку "Далее".
Как узнать айпи сервера на котором сайт расположен?
Айпи можно узнать в панели управления сайтом в вкладке общие или на форуме.
4. Завершите добавление домена оплатив заказ.
5. После когда завершится настройка и активация услуги по защите домена, вам придет уведомление на почту. Далее нужно перейти в дашбоард https://my.ddos-guard.net/dashboard/
Как редактировать записи для защищаемого домена
6. Перейдите в настройки своего домена.
7. После перейти в вкладку "DNS".
8. После для своего домена в этой вкладке:
Важно! В данных записях к домену должен быть прописан ваш "Защищенный айпи". На нашем примере 185.178.208.163, его вам писать не нужно так как у вас будет свой. Не забудьте нажать кнопку сохранить по завершению изменения в вкладке DNS (если в этом есть необходимость ).
Приведем небольшой пример, как в действительности работает защита от DDoS когда ваш сайт DDoS-сят, смотрим скриншот с графиком и нагрузкой на сервер.
Настройка работы SSL в DDoS-GUARD
11.1 Последний пункт настройки, ниже в блоке "Безопасность" уберите отметку с пункта - Редирект HTTP HTTPS. Если у домена нет приобретенного сертификата (SSL), тогда эта опция должна быть отключена. Важно! Если SSL у домена не куплен, отключать редирект обязательно так как защита не заработает и сайт будет недоступен.
11.2 Чтобы защита корректно заработала, нужно перейти в Панель управления (сайта) - Настройки - Общие настройки, находим пункт: Автоматически перенаправлять с системного поддомена на прикреплённый домен, этот пункт нужно включить. Это нужно, чтобы трафик с системного домена ушел на прикрепленный, на котором настроена защита.
11.3 Когда все эти настройки выполните, вы можете прикрепить к сайту домен который купили используя Способ 3 как описано в инструкции.
11.4 В том случае если на ваш сайт была DDoS атака и сайт вам уже отключили, вы выполнили все эти настройки которые описаны выше, сообщите об этом сотруднику техподдержки через форму: https://www.ucoz.ru/contact
После сотрудник техподдержки прикрепит к вашему сайту домен на который вы настроили защиту и ваш сайт снова будет доступен.
Как подключить защиту от DDoS используя сервис Cloudflare ?
Регистрация в Cloudflare
Первое и самое основное, вы должны зарегистрироваться на сайте Cloudflare https://dash.cloudflare.com/sign-up
Добавление сайта в Cloudflare
После регистрации и авторизации в личном кабинете, жмем кнопку "Add site".
В поле где нужно ввести адрес сайта, вставляем ссылку на сайт вида site.ru и жмем кнопку "Add site".
Выбор Free тарифа в Cloudflare
Далее выбираем бесплатный "Free" тариф и жмем кнопку "Confirm plan".
Настройка записей домена в Cloudflare
После выбора тарифа CloudFlare вам отобразит все записи домена, которые он обнаружил, все эти записи CloudFlare автоматически скопировал на свои сервера. Жмем кнопку Continue.
Важно! Если случилось так, что Cloudflare не обнаружил никаких записей, значит ему что-то помешало их получить.
Вам нужно перейти в режим Эксперта в панели управления сайтом вашего домена в uCoz: https:// ваш-сайт/panel/?a=exeditzone&domain= и перекопировать все записи, что у вас там будут и добавить их вручную в кабинет Cloudflare в разделе DNS.
Основное, что вам нужно добавить, это А-запись с айпи сервера, перейти на сайт: https://dash.cloudflare.com/ перейти в раздел DNS, далее жмем кнопку Add Record, по умолчанию сразу же выбирается тип записи A. Вам остается лишь в поле Name (required) прописать ваш домен и в поле IPv4 address (required) прописать айпи вашего сервера и нажать кнопку Save. Готово.
Если не знаете где посмотреть айпи сервера на котором ваш сайт, перейдите в панель управления вашим сайтом, раздел Общие - IP сервера, копируем этот айпи и используем для А-записи.
Изменение текущих NS на сервера Cloudflare
После нажатия кнопки "Continue", Cloudflare предлагает нам изменить текущие DNS сервера которые у нас прописаны, на свои:
austin.ns.cloudflare.com ines.ns.cloudflare.com
Важно! В нашем примере выше приведены DNS сервера Cloudflare, которые предлагались нам на время написания статьи. Будьте внимательны, так как они регулярно изменяются и вам может потребоваться добавить новые DNS, которые вам будут предложены напрямую на сайте Cloudflare.
вам нужно перейти в панель управления регистратора домена где вы покупали домен для своего сайта и изменить текущие DNS на те которые в примере выше.
После как на стороне регистратора домена изменили текущие DNS:
ns1.ucoz.net ns2.ucoz.net ns3.ucoz.net
на DNS Cloudflare:
austin.ns.cloudflare.com ines.ns.cloudflare.com
на странице Cloudflare где вы начали добавление своего сайта, жмем кнопку "Done, check nameservers".
Важно! В нашем примере выше приведены DNS сервера Cloudflare, которые предлагались нам на время написания статьи. Будьте внимательны, так как они регулярно изменяются и вам может потребоваться добавить новые DNS, которые вам будут предложены напрямую на сайте Cloudflare.
Если вы все правильно выполнили, вы должны увидеть сообщение об успешной проверке DNS записей домена и поздравление, что ваш сайт теперь защищен:
Great news! Cloudflare is now protecting your site Here are some commonly used options to review.
Мы настроили защиту от DDOS.
Примечание по Cloudflare
- После подключения вашего домена к Cloudflare в панели управления вы будете видеть ошибку - Для домена установлены некорректные DNS-сервера: austin.ns.cloudflare.com, ines.ns.cloudflare.com.
- Это нормально и так должно быть, если домен прикреплен способом "ПЕРЕНЕСТИ СУЩЕСТВУЮЩИЙ ДОМЕН НА DNS-СЕРВЕРА UCOZ", для домена прописаны DNS Cloudflare, при добавлении домена в Cloudflare, все записи вашего домена автоматически копируются в Cloudflare.
- В процессе копирования всех записей домена, Cloudflare автоматически добавляет A-запись для вашего домена, так устроена работа Cloudflare.
- Если вы захотите прикрепить домен по А-записи, вам выдаст ошибку - Доменное имя определяется в неправильный IP-адрес, выдаст ее из-за того, что Cloudflare проксирует айпи, по которому вы к нему обращаетесь. Cloudflare будет подменять айпи вашей А-записи и выдавать свой айпи из-за активного проксирования.
- Чтобы не было ошибки, проксирование на время отключаем и крепим домен по А-записи. После как прикрепите, снова возвращайте проксирование (напротив А-записей желтая отметка в настройках ДНС).
- Если домен покупался с панели управления сайтом uCoz, DNS меняются напрямую с панели управления сайтом с помощью встроенных инструментов редактирования DNS.
- Отметим что вы будете видеть сообщение об ошибке, что неправильный DNS указан или не родной (будет выделено красным текстом), на это не стоит обращать внимание. Главное, вы должны понимать, что вы все правильно выполняете и следуете инструкции, тогда все будет работать.
Как подключить защиту от DDoS используя сервис Сloud-shield ?
Основное что нам нужно, впервую очередь зарегистрировать на сайте, перейдите на страницу: https://cloud-shield.ru/register.php и выполните регистрацию.
Далее для подключения защиты переходим на страницу: Ускорение и защита сайта от DDoS атак, и выбираем услугу нажав на кнопку Заказать.
- Вводим ваш домен вида sitename.ru (именно ваш, наш пример там вводить не нужно).
- Вводим айпи сервера на котором ваш сайт, его можно посмотреть в панели управления в вкладке общие.
- Далее платим услугу защиты, 15 рублей на один день, на 1 мес 2000 тыс руб.
В чем плюсы сервиса Сloud-shield, в том, что услугу можно продлевать не на месяц, а на тот период сколько вам нужно, баланс аккаунта пополнили и продлеваете частями.
Для активации защиты следует выполнить следующие шаги
На стороне регистратора вашего домена (или там, где покупали домен) замените (передайте делегирование управления DNS записями) NS серверы на:
ns1.cloud-shield.net ns2.cloud-shield.net
Проверьте и при необходимости добавьте/отредактируйте DNS записи в нашем DNS менеджере.
SSL/TLS сертификаты
Если ваш сайт использует HTTPS, то в течении ~15 минут после изменения IP, будет автоматически выпущен Let's Encrypt сертификат на основной домен, который вы добавили в админку для защиты.
При использовании NS серверов cloud-shield, сертификат будет выпущен на основной домен и все его поддомены (wildcard).
На тарифе PROXY-2 и выше возможна установка своего сертификата минуя Let's Encrypt.
Что важно запомнить при настройке Сloud-shield ?
После того когда днс обновится и защита активируется, вы попробуете открыть сайт по https протоколу, вы можете столкнуться с циклическим редиректом и ошибкой Too Many Redirects.
Для решения вопрос с данной ошибкой, вам нужно будет перейти в раздел Настройки:
далее выберите порт 443 и сохраните настройки по кнопке в самом низу.
Чтобы корректно работал редирект для вашего сертификата с протокола http на https, стоит выбрать такие настройки:
Если у вас возникнут сложности, вы всегда сможете задать вопрос в техподдержку по ссылке в верхнем меню Открыть тикет.
С опыта использования разных типов защит, можно делать выводы, что Сloud-shield лучше справляется с своей работой в сравнении с Cloudflare.