Анти-DDoS – включение и настройка защиты от DDoS-атак уровня приложений

Защита от DDoS-атак уровня приложений является дополнением к функционалу защиты с применением правил ModSecurity. Поэтому часть настроек, необходимая защите Анти-DDoS, отнесена к настройкам F2B.

Защита от DDoS-атак уровня приложений основана на расчете трафика по системе баллов. Клиент осуществляет запросы к веб-приложению, в том числе переходы на страницы веб-приложения. Задается начальное значение баллов у клиента. Задается цена запроса. Дополнительно можно задать цены API-запросов по типам. Рассчитывается, сколько клиент истратил баллов на запросы. Когда при очередном запросе у клиента недостаточно баллов, сработает защита от DDoS-атак уровня приложений. Реакция защиты зависит от выбранного режима работы.

Можно задать цены API-запросов не только на веб-приложение в целом, но и на отдельные страницы веб-приложения, включающие вложенные подстраницы. При переходе на такую страницу (и обратно) количество баллов клиента восстанавливается до начального значения. Страницы веб-приложения с собственной системой баллов задаются в настройках «Weblock.» (раздел Настройка конфигурационного файла веб-сервера).

По кнопке Анти-DDoS открывается окно с параметрами защиты. В левом столбце окна показаны поля меню: веб-приложение и его страницы – переходя по ним, справа открываются соответствующие настройки. Первый пункт меню Общие для <имя сайта> позволяет задать параметры для всего сайта, включая цены перехода.

../_images/user_guide_114cl.png

В следующих пунктах меню перечислены страницы, для которых, включая их подстраницы, задаются специальные цены перехода. Если специальные цены перехода для такой страницы не заданы, то к этой странице будут применяться цены перехода из общих настроек для сайта.

../_images/user_guide_115cl.png

Для задания цен перехода требуется сначала включить опцию справа, тогда поле перейдет в режим редактирования и можно будет задать цену перехода, как это показано на скриншоте выше для поля Цена перехода на путь методом GET.

Режим работы – режим защиты от DDoS-атак уровня приложений. Список значений:

  • DISABLED – ограниченный режим, защита от DDoS-атак уровня приложений отключена.

  • QUIET – тихий режим. Если у клиента за сеанс использования файлов куки недостаточно баллов на очередной запрос, то защита считает это нарушением. Параметр Кол-во нарушений лимитов anti_ddos для блокировки клиента ограничений F2B регулирует, сколько раз клиент может допустить нарушение. При превышении нарушений по умолчанию выдается ошибка с кодом 418 и периодом блокировки доступа к веб-приложению, заданным параметром Время в секундах ограничений F2B.

    Режим доступен, если задано поле Начальное значение баллов у клиента.

  • ATTENTIVE – внимательный режим. При первом запросе или, если у клиента недостаточно баллов на очередной запрос, открывается сервис капчи и только после успешного решения капчи выполняется запрос. После успешного решения капчи количество баллов клиента восстанавливается. Защита считает недостаток баллов нарушением.

    Параметр Кол-во нарушений лимитов anti_ddos для перевода клиента в строгий режим ограничений F2B задает, через сколько нарушений клиент будет переведен в строгий режим, когда на каждый запрос клиенту будет предлагаться решить капчу.

    Также защита ограничивает число нарушений параметром Кол-во нарушений лимитов anti_ddos для блокировки клиента ограничений F2B. Т.е. когда у клиента n раз было недостаточно баллов, то защита каждый раз просила клиента решить капчу, а на (n+1)-й раз – выдаст ошибку с кодом 418 и периодом блокировки доступа к веб-приложению, заданным параметром Время в секундах ограничений F2B.

    Режим доступен, если настроена капча (раздел Настройка капчи).

  • PARANOID – параноидальный режим. При первом запросе, каждые n секунд, а также, когда у клиента недостаточно баллов на очередной запрос, открывается сервис капчи, только после успешного решения капчи выполняется запрос. Количество баллов клиента восстанавливается после успешного решения капчи. Период n секунд задается в конфигурации «Weblock.».

    Режим доступен, если настроена капча (раздел Настройка капчи).

Начальное значение баллов у клиента – целое число >=0. Если задано 0, то защита будет реагировать с первого запроса.

Цена перехода – количество баллов за переход на страницу веб-приложения или за запрос. Целое число >=1. Цена запроса, вернувшего ошибку с кодом 500, 502-504, равна 0.

Цена перехода на путь методом POST – количество баллов за POST-запрос API. При включенной опции задается целое число >=1.

Цена перехода на путь методом PATCH – количество баллов за PATCH-запрос API. При включенной опции задается целое число >=1.

Цена перехода на путь методом PUT – количество баллов за PUT-запрос API. При включенной опции задается целое число >=1.

Цена перехода на путь методом DELETE – количество баллов за DELETE-запрос API. При включенной опции задается целое число >=1.

Цена перехода на путь методом ERROR – количество баллов за запрос, вернувший ошибку с кодом 400 и выше, за исключением кодов 500, 502 - 504. При включенной опции задается целое число >=1.

Пример. Расчет допустимого количества запросов на основании заданной системы баллов.

Начальное значение баллов у клиента = 8

Цена перехода = 2

Цена перехода на путь методом POST = 5

Тогда клиент сможет открыть 4 страницы на сайте или выполнить 1 POST-запрос.

Конец примера.

../_images/Weblock_Logos_small.png