Экстренная защита сервисов в Application Load Balancer от DDoS на уровне L7

1. В консоли управления выберите каталог, в котором находятся защищаемые ресурсы.
2. В списке сервисов выберите Smart Web Security.
3. На панели слева выберите Профили безопасности.
4. Нажмите Создать профиль и выберите По преднастроенному шаблону.
5. Введите имя профиля, например anti-ddos.
6. В поле Действие для базового правила по умолчанию выберите Запретить.
7. В списке SmartCaptcha оставьте значение По умолчанию.
8. Нажмите Создать.

1. На странице свойств профиля безопасности вверху справа нажмите кнопку Подключить к хосту.

2. Последовательно выберите:

   • Балансировщик.

   • HTTP-роутер.

   • Виртуальный хост. Вы можете подключить профиль безопасности сразу к нескольким хостам.

     Чтобы подключить другой L7-балансировщик, нажмите кнопку Добавить балансировщик.

3. Нажмите кнопку Подключить.

   На вкладке Подключенные хосты появятся подключенные виртуальные хосты.

1. В списке сервисов выберите Smart Web Security.
2. Выберите раздел Мониторинг.
3. Посмотрите информацию на графиках:
   • Denied by Security Profile RPS — количество входящих запросов в секунду, которые были проверены и заблокированы профилем безопасности.
   • Redirected to SmartCaptcha RPS — количество входящих запросов в секунду, направленных в SmartCaptcha для дополнительной верификации.
   • Denied by ARL Profile RPS — количество входящих запросов в секунду, превысивших лимит профиля ARL и заблокированных.

1. Убедитесь, что для L7-балансировщика настроено логирование.

2. В списке сервисов выберите Application Load Balancer.

3. Выберите балансировщик, к которому привязан профиль безопасности.

4. Выберите раздел Логи.

5. Выберите количество сообщений на одной странице и период. Например, 1 час.

6. В строке Запрос укажите запрос на языке фильтрующих выражений и нажмите кнопку Выполнить.

   Примеры запросов:

   • Показать запросы, для которых сработало правило Smart Protection с отправкой на капчу:

     json_payload.smartwebsecurity.matched_rule.rule_type = SMART_PROTECTION and json_payload.smartwebsecurity.matched_rule.verdict = CAPTCHA
     

   • Показать запросы, заблокированные правилами профиля ARL:

     json_payload.smartwebsecurity.advanced_rate_limiter.verdict = DENY
     

1. В списке сервисов выберите Smart Web Security.

2. На панели слева выберите Профили ARL.

3. Нажмите кнопку Создать профиль ARL.

4. Введите имя профиля, например anti-ddos-arl.

5. Нажмите кнопку Добавить правило и укажите:

   • Имя — arl-rps.
   • Приоритет — 1000.
   • Трафик — Весь трафик.
   • Группировать запросы — Без группировки.
   • Лимит запросов — укажите типовое количество запросов для вашего сервиса с небольшим запасом. Все запросы сверх лимита будут заблокированы.

6. Нажмите кнопку Сохранить правило.

7. Нажмите Создать.

8. На панели слева выберите Профили безопасности.

9. Напротив профиля anti-ddos нажмите и выберите Редактировать.

10. В списке профилей ARL выберите anti-ddos-arl.

11. Нажмите кнопку Сохранить.

1. В списке сервисов выберите Smart Web Security.
2. На панели слева выберите Профили безопасности.
3. Выберите профиль безопасности anti-ddos.
4. Нажмите кнопку Добавить правило.
5. Введите Имя, например, block-by-list.
6. Укажите параметры правила:
   • Приоритет — выше, чем у правила sp-rule-1. Например, 1000.
   • Тип — Базовое.
   • Действие — Запретить или Показать капчу.
   • Трафик — При условии.
   • Условия — IP.
   • Условия на IP — IP принадлежит списку.
   • Выберите списки адресов. Запросы с этих адресов будут блокироваться:
     • is_ddoser — список IP-адресов, которые участвовали в DDoS-атаках.
     • Нажмите кнопку + или и выберите is_tor — IP-адреса сети TOR, которая используется для анонимизации трафика.
     • Нажмите кнопку + или и выберите is_anonimous — IP-адреса анонимных сетей, которые часто используются для сокрытия личности.
7. Нажмите кнопку Добавить.

Заблокируйте запросы из региона, откуда происходит атака. Если ваш сервис не работает в определенных регионах, можно сразу заблокировать трафик из этих регионов. Часто DDoS-атаки происходят с IP-адресов нецелевых стран.

1. Выберите профиль безопасности anti-ddos.

2. Нажмите кнопку Добавить правило.

3. Введите Имя, например, block-by-geo.

4. Укажите параметры правила:

   • Приоритет — выше, чем у правила sp-rule-1, но ниже, чем у block-by-list. Например, 2000.

   • Тип — Базовое.

   • Действие — Запретить или Показать капчу.

   • Трафик — При условии.

   • Условия — IP.

   • Условия на IP — IP принадлежит региону.

   • Выберите регион, из которого происходит атака. Например, CN, US, IN.

     Чтобы добавить еще регион, нажмите кнопку + или.

   Совет

   Если ваш сервис работает только в некоторых регионах, выберите условие IP не принадлежит региону. В списке укажите целевой регион, например, RU. Трафик из других регионов будет блокироваться.

   Уточнить регион по IP-адресу можно на сайте ipinfo.io или с помощью ASN провайдера.

5. Нажмите кнопку Добавить.