Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
Yandex Virtual Private Cloud
  • Начало работы
  • Пошаговые инструкции
    • Все инструкции
    • Облачная сеть
      • Создать облачную сеть
      • Удалить облачную сеть
      • Изменить облачную сеть
      • Перенести облачную сеть между каталогами
    • Подсеть
      • Создать подсеть
      • Удалить подсеть
      • Изменить подсеть
      • Перенести подсеть между каталогами
      • Посмотреть список используемых адресов
    • IP-адрес
      • Зарезервировать статический публичный IP-адрес
      • Сделать динамический публичный IP-адрес статическим
      • Сделать статический публичный IP-адрес динамическим
      • Перенести адрес между каталогами
      • Удалить статический публичный IP-адрес
    • Статическая маршрутизация
      • Создать статический маршрут
      • Включить NAT в интернет
      • Создать и настроить NAT-шлюз
      • Перенести таблицу маршрутизации между каталогами
      • Перенести NAT-шлюз между каталогами
    • Группы безопасности
      • Создать группу безопасности
      • Изменить имя и описание
      • Добавить новое правило
      • Удалить правило
      • Перенести группу безопасности между каталогами
      • Удалить группу безопасности
    • Включить программно-ускоренную сеть
    • Защита от DDoS-атак
      • Включить защиту от DDoS-атак
    • График сетевых соединений
  • Практические руководства
    • Все руководства
    • Архитектура и защита базового интернет-сервиса
    • Маршрутизация с помощью NAT-инстанса
    • Создание туннеля IPSec VPN
    • Установка виртуального роутера Cisco CSR 1000v
    • Установка виртуального роутера Mikrotik CHR
    • Соединение с облачной сетью при помощи OpenVPN
    • Создание и настройка шлюза UserGate в режиме прокси-сервера
    • Настройка сети для Yandex Data Proc
  • Концепции
    • Взаимосвязь ресурсов сервиса
    • Облачные сети и подсети
    • Адреса облачных ресурсов
    • Статические маршруты
    • Группы безопасности
    • Шлюзы
    • Мониторинг сетевых соединений
    • Диапазоны публичных IP-адресов
    • MTU и MSS
    • Настройки DHCP
    • Программно-ускоренная сеть
    • Квоты и лимиты
  • DDoS Protection
  • Рекомендации
    • Использование публичных IP-адресов
  • Управление доступом
  • Правила тарификации
    • Действующие правила
    • Архив
      • До 1 января 2019 года
  • Справочник API
    • Аутентификация в API
    • REST (англ.)
      • Overview
      • Address
        • Overview
        • create
        • delete
        • get
        • getByValue
        • list
        • listOperations
        • move
        • update
      • Gateway
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • move
        • update
      • Network
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • listRouteTables
        • listSecurityGroups
        • listSubnets
        • move
        • update
      • RouteTable
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • move
        • update
      • SecurityGroup
        • Overview
        • create
        • delete
        • get
        • list
        • listOperations
        • move
        • update
        • updateRule
        • updateRules
      • Subnet
        • Overview
        • addCidrBlocks
        • create
        • delete
        • get
        • list
        • listOperations
        • listUsedAddresses
        • move
        • removeCidrBlocks
        • update
      • Operation
        • Overview
        • get
    • gRPC (англ.)
      • Overview
      • AddressService
      • GatewayService
      • NetworkService
      • RouteTableService
      • SecurityGroupService
      • SubnetService
      • OperationService
  • Вопросы и ответы
  1. DDoS Protection

Yandex DDoS Protection в Virtual Private Cloud

Статья создана
Yandex Cloud
  • Расширенная защита
    • См. также

Yandex DDoS Protection — это компонент сервиса VPC для защиты облачных ресурсов от DDoS-атак. DDoS Protection предоставляется в партнерстве с Qrator Labs.

Активация сервиса Yandex DDoS Protection для ВМ или сетевых балансировщиков позволит вам эффективно бороться с атаками, направленными на исчерпание емкости канала и вычислительных ресурсов ваших ВМ. Такие атаки отличаются широкой полосой пропускания и большим количеством пакетов в секунду. Организация этих атак относительно проста: чаще всего они подразумевают отправку большого количества пакетов TCP SYN (SYN Flood) или трафика прикладных протоколов на основе UDP (DNS, NTP, SSDP, CLDAP и многие другие).

Для предотвращения таких атак сервис DDoS Protection:

  • постоянно анализирует весь входящий трафик;
  • обнаруживает описанные выше аномалии на сетевом и транспортном уровне;
  • автоматически отсекает нежелательный трафик, когда его количественные показатели угрожают работоспособности вашего сервиса в Yandex Cloud.

Защита от DDoS применяется к публичным IP-адресам виртуальных машин, сетевых балансировщиков и хостов баз данных. Защиту можно включить только в момент создания облачного ресурса или при резервировании статического адреса. При этом защита не ограничивает работу с IP-адресами: защищенный адрес можно сделать статическим и зарезервировать. Если виртуальную машину с защищенным динамическим адресом остановить, при следующем запуске ее адрес поменяется, но останется под защитой.

Ширина полос пропускания паразитного и очищенного трафика не ограничены. Тарифицируется каждый гигабайт очищенного входящего трафика.

Обратите внимание, что при включении DDoS Protection рекомендуется уменьшить значения MTU и TCP MSS.

Необходимо учитывать, что данный сервис не предназначен для защиты веб-сайтов и мобильных приложений от DDoS-атак более высокого уровня, которые используют:

  • валидные TCP-соединения;
  • HTTP и HTTPS-запросы;
  • узкие места атакуемого приложения.

Если вам требуется защита на прикладном уровне, вы можете запросить подключение расширенной защиты через техническую поддержку.

Расширенная защита

Расширенная защита работает на 3 и 7 уровнях модели OSI. Помимо этого вы сможете отслеживать показатели нагрузки, параметры атак и подключить Solidwall WAF в личном кабинете Qrator Labs. Чтобы включить расширенную защиту, обратитесь к вашему менеджеру или в техническую поддержку.

При запросе услуги сообщите следующие параметры:

Характеристики услуги:

  • Количество ресурсов (веб-сайтов, доменов, сервисов), которые требуется защитить.
  • Нужно ли подключение WAF (Web Application Firewall) — да или нет.
  • Требуется ли защита сервисов с шифрованием (SSL/TLS/HTTPS) — с раскрытием шифрования или без.
  • Время простоя, критичное для бизнеса.
  • Нужна ли организация выделенного канала для повышения SLA — да или нет.

Характеристики легитимного трафика:

  • Максимальные значения объемов входящего и исходящего трафика приложения.
  • Максимальный рейт пакетов (PPS).
  • Максимальный рейт запросов (RPS).

Также желательно приложить:

  • Карту-схему сетевой инфраструктуры: расположение площадок, аплинки, внутреннее устройство от граничного роутера до приложения.
  • Пример статистики по трафику (скриншоты графиков) за суточный интервал.

См. также

  • Включить защиту от DDoS-атак
  • Включить расширенную защиту от DDoS-атак

Была ли статья полезна?

Language / Region
Проект Яндекса
© 2023 ООО «Яндекс.Облако»
В этой статье:
  • Расширенная защита
  • См. также