DDOS-GUARD PROTECTION · DDoS-Guard Protection - ПО предназначенное для защиты ресурсов, ... E-mail адрес - адрес электронной

DDOS-GUARD PROTECTION Руководство пользователя Версия 1.2

Содержание

1

Содержание

Перечень сокращений, условных обозначений, символов, единиц и терминов ...... 2

Введение ........................................................................................................................... 6

Общая информация о программном обеспечении ............................................. 6

Глава 1. Начало работы................................................................................................. 10

1.1 Вход в систему............................................................................................... 10

1.2 Восстановление пароля ................................................................................ 11

1.3 Структура панели управления ..................................................................... 11

Глава 2. Работа с системой ........................................................................................... 15

2.1 Панель DDoS-GUARD .................................................................................. 15

2.2 Параметры аномалий .................................................................................... 19

2.3 Фильтрация .................................................................................................... 22

2.4 Статистика ..................................................................................................... 28

2.4 Отчеты ............................................................................................................ 37

2.5 История работы ............................................................................................. 39

2.6 Профиль ......................................................................................................... 41

Приложение №1. Описание взаимодействия с API DDoS-Guard Protection. .......... 44

Перечень сокращений, условных обозначений, символов, единиц

2

Перечень сокращений, условных обозначений,

символов, единиц и терминов API (Application Programming Interface) - интерфейс прикладного

программирования. набор готовых классов, процедур, функций, структур и

констант, предоставляемых программным обеспечением для использования во

внешних программных продуктах.

API-ключ - авторизационные данные для взаимодействия с API.

BPS/IP (bits per second on IP) - характеристика трафика, отражающая

количество данных, передаваемых с одного IP-адреса, в секунду.

DDoS-Guard Protection - ПО предназначенное для защиты ресурсов,

размещенных в Интернет, от атак вида "отказ в обслуживании".

DNS - сервер доменных имен в Интернет, предназначенный для хранения

связок Домен - IP-адрес.

E-mail адрес - адрес электронной почты.

GRE (Generic Routing Encapsulation) - общая инкапсуляция маршрутов.

Протокол туннелирования сетевых пакетов, разработанный компанией Cisco

Systems.

IP-адрес - уникальный сетевой адрес узла в компьютерной сети,

построенной по протоколу IP.

PPS/IP (packets per second on IP) - характеристика трафика, отражающая

количество пакетов, передаваемых с одного IP-адреса, в секунду.

SYN-запрос - запрос на подключение по протоколу TCP.

UDP Flood - тип атаки вида «отказ в обслуживании», во время которой

сервер-жертва получает огромное количество «мусорных» UDP пакетов в

единицу времени от широкого диапазона IP-адресов. Сервер-жертва или сетевое

оборудование перед ним оказывается переполненным поддельными UDP


3

пакетами. Атака провоцирует перегрузку сетевых интерфейсов путем занятия

всей полосы пропускания.

ICMP Flood - тип атаки вида «отказ в обслуживании», во время которой на

сервер-жертву посылается большое количество поддельных ICMP пакетов с

широкого диапазона IP-адресов. Цель злоумышленника - заполнение канала и

перегрузка сервера-жертвы потоком поддельных запросов.

SYN-Flood - тип атаки вида «отказ в обслуживании», во время которой

атакуемый сервер с большой скоростью получает «мусорные» SYN-запросы,

содержащие поддельный IP-адрес источника. SYN-флуд поражает сервер,

занимая всю память таблицы соединений (Transmission Control Block (TCB) table),

обычно используемую для хранения и обработки входящих пакетов. Это

вызывает значительное падение производительности и, как итог, отказ в работе

сервера.

HTTP Flood - тип атаки вида «отказ в обслуживании», во время которой

атакующие боты генерируют большое количество HTTP запросов к серверу

жертвы. В большинстве случаев это GET запросы на получение максимально

больших элементов сайта. Кроме GET запросов также могут посылаться POST

запросы и осуществляться другие HTTP действия, приводящие к одному и тому

же результату - перегрузке веб-серввера жертвы и его недоступности.

IP-Spoof - техника генерации атакующего трафика с поддельными IP-

адресами источника.

TCP Connect Flood - тип атаки вида «отказ в обслуживании», во время

которой злоумышленник эмулирует открытие TCP-сессий на сетях с

ассиметричной маршрутизацией

URL-адрес - универсальный указатель ресурса в Интернет;

Авторизация - предоставление определённому лицу или группе лиц прав на

выполнение определённых действий;

Аномалия - нештатная ситуация, подлежащая протоколированию;


4

«Белый» список IP-адресов - список IP-адресов, запросы с которых не

блокируются системой фильтрации;

Геофильтрация - механизм фильтрации трафика, основанный на

использовании географической принадлежности IP-адресов.

Домен - группа ресурсов информационной сети, которые работают или под

одним компьютером, или под одной сетевой рабочей машиной или сетевым

узлом;

Забаненный (заблокированный) IP-адрес - IP-адрес, HTTP и HTTPS запросы

с которого блокируются системой фильтрации.

Легитимный трафик - трафик, классифицируемый системой фильтрации,

как легальный, реальный.

Маска подсети - битовая маска, определяющая, какая часть IP-адреса узла

сети относится к адресу сети, а какая — к адресу самого узла в этой сети;

Мбит/с, Гбит/с, Тбит/с - скорость передачи данных. Отражает количество

переданных бит в секунду.

Мониторинг трафика - отслеживание изменения трафика во времени;

Нелегитимный (мусорный) трафик - трафик, классифицируемый системой

фильтрации, как нелегальный, передаваемый с целью причинения вреда

защищаемому ресурсу.

ПО - программное обеспечение.

Проксирование - технология перенаправления трафика в компьютерных

сетях, позволяющая клиентам выполнять косвенные запросы (от имени прокси-

сервера) к другим сетевым службам.

Сервер - компьютер, выделенный из группы персональных компьютеров

(или рабочих станций) для выполнения какой-либо сервисной задачи без

непосредственного участия человека.

Технологии Redirect, Cookies – технологии проверки легитимности HTTP

запросов в системах фильтрации трафика.


5

Трафик - информация, передаваемая через компьютерную сеть.

Формат CIDR - метод бесклассовой адресации в компьютерных сетях на

основе IP-протокола.

«Черный» список IP-адресов - список IP-адресов, формируемый

пользователем, запросы с которых блокируются системой фильтрации.

Введение

6

Введение

В данном руководстве содержится информация о работе с системой DDoS-

Guard Protection. Данная система предназначена для защиты от DDoS-атак (атак

типа «отказ в обслуживании») путем фильтрации и глубокого анализа трафика.

Система использует алгоритмы интеллектуального анализа трафика и

эвристического обучения с целью максимизации точности фильтрации.

Пропускная способность системы составляет 1,5 Тбит/с. Топология защищенной

сети DDoS-Guard Protection включает в себя точки присутствия в Японии,

Нидерландах, Германии и России. Система разработана Российским

производителем ПО и активно развивается командой DDoS-Guard.

Общая информация о программном обеспечении Данное ПО предназначено для защиты ресурсов, размещенных в сети

Интернет, от атак вида "отказ в обслуживании". Программное обеспечение

представляет собой веб-сервис.

Ниже перечислены возможности программного обеспечения по защите от

DDoS-атак:

1. Фильтрация трафика, при обеспечении следующих условий:

− пропускная способность фильтрующих мощностей до 1,5 Тбит/с или

120 000 000 пакетов в секунду;

− очистка трафика от паразитной составляющей на уровне 98% на

атаках типа UDP Flood, ICMP Flood, SYN-Flood, HTTP Flood и др.;

− фильтрация трафика в реальном времени.

2. Использование различных методов для анализа и фильтрации трафика:

− на уровнях 2-4 модели OSI:

− проверка заголовков входящих пакетов на соответствие

требованиям RFC;

Введение

7

− мониторинг работы ресурсов и сбор статистики для принятия

решения о фильтрации входящего трафика;

− слежение за TCP сессиями для фильтрации соединений,

занимающих значительное время;

− установка ограничения на количество DNS запросов на каждый IP-

адрес;

− установка ограничения на количество ответов NXdomain на

каждый IP-адрес;

− установка ограничения трафика на каждый IP-адрес;

− установка ограничения на количество TCP/UDP сессий для одного

IP;

− на уровне 7 модели OSI:

− обнаружение и блокировка ботов с использованием механизма

HTTP Challenge;

− защита от атак типа SlowLoris;

− ограничение количества cipher suite;

− ограничение максимального количества SSL сессий;

− фильтрация «пустых» SSL сессий;

− фильтрация «битых» SIP сообщений.

3. Возможности фильтрации:

− использование «черных» и «белых» списков IP-адресов, задаваемых

вручную через программный интерфейс, задаваемых с помощью API

и создаваемых автоматически;

− геофильтрация с использованием «черных» и «белых» списков стран;

− использование машинного обучения для фильтрации трафика в

статистические параметры которого входят: входящий и исходящий

трафик, количество соединений и пр.;

Введение

8

− сигнатурная фильтрация, на основании шаблонов;

− использование SYN-проксирования;

− использование «белого» списка протоколов транспортного уровня

модели OSI;

− использование механизмов поведенческой фильтрации, в т.ч. с

возможностью перенаправления трафика пользователя при помощи

механизмов redirect, cookie.

4. Аналитика сетевого обмена с защищаемыми ресурсами с целью

выявления аномалий;

5. Оповещение об аномалиях;

6. Использование следующих пороговых значений для выявления аномалий:

− входящее количество пакетов в секунду;

− входящий объем данных в секунду;

− соотношение Исходящего и Входящего трафика/TCP-сессию;

− скорость входящего трафика в пакетах;

− скорость исходящего трафика в пакетах;

− скорость входящего трафика в битах;

− скорость исходящего трафика в битах;

− кол-во уникальных IP-адресов, взаимодействующих с ресурсом;

− количество попыток установить соединение с ресурсом;

− усредненное число Бит/соединение;

− усредненное число Пакетов/соединение;

− усредненное число Соединений/IP;

− усредненное число Pps/IP;

− усредненное число Bps/IP.

7. Транспорт перенаправленного для очистки трафика до защищаемых

ресурсов, по протоколу GRE или с использованием выделенного канала;

Введение

9

8. Конфиденциальности передаваемой информации на участке прохождения

трафика через центры очистки;

9. Пользовательский интерфейс для получения информации о работе

защищаемых ресурсов;

10. Формирование следующих отчетов:

− об истории работы защищаемого ресурса за промежуток времени с

интервалом 5 минут с предоставлением характеристик трафика и

параметров отклика ресурса;

− об атаках за промежуток времени;

− о заблокированных автоматически и добавленных пользователем в

«черный» и «белый» списки IP-адресах для каждого защищаемого

ресурса.

Срок хранения журналов составляет 2 месяца для ординарной

информации и 1 год для информации об атаках.

11. Аутентификация с использование пары логин/пароль для доступа к

пользовательскому интерфейсу;

12. Мониторинг степени очистки трафика;

13. Информирование о прекращении DDoS-атаки.

Глава 1. Начало работы

10


1.1 Вход в систему Взаимодействие пользователя с системой DDoS-Guard Protection

происходит через web-интерфейс, расположенный по адресу https://client.ddos-

guard.net. Для работы с системой через web-интерфейс рекомендуется

использовать один из следующих браузеров:

− Mozilla Firefox;

− Google Chrome;

− Яндекс.Браузер;

− Opera;

− Internet Explorer, начиная с 10 версии;

− Microsoft Edge;

− Chromium-браузеры.

После перехода по ссылке вы увидите страницу авторизации пользователя

(рис. 1.1), где необходимо ввести логин/пароль.

Рисунок 1.1 – Страница авторизации пользователя


11

Для входа в панель управления системой DDoS-Guard Protection

необходимо выполнить следующие действия:

1. Ввести свой логин в поле «ЛОГИН» и пароль в поле «ПАРОЛЬ»;

2. Вы можете активировать опцию «Запомнить меня», для сохранения

авторизационных данных в cookies;

3. Нажать кнопку «Войти»;

4. В случае ввода верной пары логин/пароль вы будете перенаправлены на

страницу панели управления системой DDoS-Guard Protection.

В случае неверного ввода логина или пароля, система выдаст ошибку

«Неверный пароль». В этом случае необходимо проверить корректность

вводимых учетных данных и повторить попытку входа. В случае утраты пароля

пользователь может восстановить его с помощью процедуры восстановления. Для

восстановления, замены, добавления логина необходимо обратиться в

техническую поддержку, написав письмо на [email protected].

1.2 Восстановление пароля Для восстановления пароля перейдите по ссылке "Сбросить" и следуйте

указаниям мастера восстановления пароля. Обращаем ваше внимание, что для

восстановления пароля от учетной записи с несколькими пользователями,

необходимо обратиться в техническую поддержку, написав письмо на tech@ddos-

guard.net. Для таких учетных записей функция автоматического восстановления

пароля заблокирована с целью повышения уровня безопасности.

1.3 Структура панели управления Навигационная структура web-интерфейса управления системой DDoS-

Guard Protection изображена на рисунке 1.2.


12

Рисунок 1.2 – Навигационная структура web-интерфейса управления системой

DDoS-Guard Protection


13

Web-интерфейс состоит из разделов:

− Раздел DDoS-GUARD панель содержит графики, отражающих историю

изменения трафика:

− График, отражающий изменение общего и очищенного трафика во

времени;

− График, отражающий изменение исходящего и входящего трафика во

времени;

− Раздел Параметры аномалий содержит интерфейс для установки и

редактирования условий срабатывания системы оповещения об

аномалиях. При выполнении любого из условий, в журнале об атаках

создается соответствующая запись, свидетельствующая о возникновении

аномалии;

− Раздел Фильтрация содержит инструменты для ручного управления

системой фильтрации трафика:

− Блокировка по IP. Во вкладке находится интерфейс для редактирования

«черного» и «белого» списков IP-адресов;

− Геофильтрация. Во вкладке находится интерфейс для установки и

редактирования правил фильтрации на основе географической

принадлежности IP-адресов;

− Раздел Статистика содержит информацию о работе системы

фильтрации, представленную в виде вкладок:

− Статистика инцидентов. Во вкладке приведена история срабатывания

триггеров, заданных в разделе «Параметры аномалий»;

− Забаненные адреса. Во вкладке приведена история блокировок

атакующих IP-адресов.

− Раздел Отчеты содержит интерфейс для скачивания автоматически

генерируемых суточных отчетов, разделенных по содержанию на:


14

− История работы. Во вкладке содержатся суточные отчеты о трафике

защищаемого ресурса, приведенная с интервалом записей 5 минут;

− Об атаках. Во вкладке содержатся суточные отчеты об истории

срабатывания триггеров, заданных в разделе «Параметры аномалий»;

− Черные/белые списки IP. Во вкладке содержатся суточные отчеты о

заблокированных системой и добавленных пользователем в «черные» и

«белые» списки IP-адресах ;

− История работы. В разделе находится информация о трафике

защищаемого ресурса, приведенная с интервалом 5 минут.

− Профиль. В разделе приведена информация о профиле клиента,

защищаемых доменах и интерфейс получения API-ключа.

Глава 2. Работа с системой

15


2.1 Панель DDoS-GUARD Раздел содержит два графика, отражающих историю изменения трафика по

каждому защищаемому домену:

− График, отражающий изменение общего и очищенного трафика во

времени (рис. 2.1а и 2.1б);

Рисунок 2.1а – График, отражающий изменение общего и очищенного

трафика во времени, бит/с


16

Рисунок 2.1б – График, отражающий изменение общего и очищенного

трафика во времени, пакеты/с

− График, отражающий изменение исходящего и входящего (очищенного)

трафика во времени (рис. 2.2а и 2.2б).

Рисунок 2.2а – График, отражающий изменение исходящего и входящего

трафика во времени, бит/с


17

Рисунок 2.2б – График, отражающий изменение исходящего и входящего трафика во времени, пакеты/с

Для получения информации об истории изменения трафика выполните

следующие действия:

1. Из выпадающего списка в верхней части страницы выберите

защищаемый домен (рис. 2.3);

Рисунок 2.3 – Выпадающий список выбора защищаемого домена


18

2. Из выпадающего списка выберите режим отображения в битах или

пакетах в секунду (рис. 2.4);

Рисунок 2.4 – Выпадающий список выбора режим отображения в битах в

секунду или пакетах в секунду

3. Далее необходимо выбрать период времени, за который требуется

отобразить графики (рис. 2.5);

Рисунок 2.5 – Выпадающий список выбора периода времени


19

4. Нажать кнопку «Ок» (рис. 2.6);

Рисунок 2.6 – Кнопка «ОK»

Графики будут сформированы и выведены на панель в течение нескольких

секунд.

2.2 Параметры аномалий Параметрами аномалий, устанавливаемыми в этом разделе, являются

условия срабатывания системы оповещения об аномалиях. При выполнении

любого из условий, в журнале об атаках создается соответствующая запись,

свидетельствующая о возникновении аномалии. Мы рекомендуем устанавливать

пороговые значения условий, исходя из фактических параметров трафика

(паттернов трафика), которые являются уникальными для каждого ресурса.

Установка оптимальных пороговых значений минимизирует вероятность ложных

срабатываний системы оповещения, не снижая при этом уровень

чувствительности системы к аномалиям. Для корректировки условий

срабатывания системы оповещения об аномалиях, необходимо выполнить

следующие действия:


20

1. Выбрать в выпадающем списке защищаемый ресурс (рис. 2.7);

Рисунок 2.7 – Выпадающий список выбора защищаемого ресурса

2. Выбрать в выпадающем списке тип условия срабатывания системы

оповещения: «Больше» для срабатывания при повышении или «Меньше»

для срабатывания при понижении фактического значения относительно

установленного (рис. 2.8);

Рисунок 2.8 – Выпадающий список выбора типа условия срабатывания

системы оповещения


21

3. Ввести числовое значение условия (рис. 2.9). Дробные значения

устанавливаются через «.», а не через «,»;

Рисунок 2.9 – Поле ввода числового значения условия

4. Активировать срабатывание триггера (рис. 2.10);

Рисунок 2.10 – Активация срабатывания триггера

5. Нажать кнопку «Сохранить» (рис. 2.11).

Рисунок 2.11 –Сохранение изменений


22

2.3 Фильтрация В данном разделе представлен интерфейс для установки и редактирования

параметров фильтрации на основе «черного» и «белого» списков IP-адресов, а

также установки фильтрации IP-адресов по географическому признаку.

Блокировка по IP. Во вкладке «Блокировка по IP» находится интерфейс для

установки и редактирования параметров фильтрации на основе «черного» и

«белого» списков IP-адресов.

Для добавления IP-адреса в список необходимо:

1. Выбрать домен ресурса, для которого необходимо настроить фильтрацию

(рис. 2.12);

Рисунок 2.12 – Выпадающий список выбора домена


23

2. Ввести IP-адрес, в поле ввода «IP» (рис. 2.13);

Рисунок 2.13 – Поле ввода IP-адреса

3. Выбрать маску подсети из выпадающего списка (рис. 2.14);

Рисунок 2.14 – Выпадающий список выбора маски подсети


24

4. Нажать на кнопку внесения в «белый» / «черный» список (рис. 2.15).

Рисунок 2.15 – Кнопки выбора списка

Для удаления записи необходимо нажать на кнопку в соответствующей

строке (рис. 2.16).

Рисунок 2.16 – Кнопка удаления записи


25

Вы можете воспользоваться API для выполнения данной операции.

Информация о взаимодействии с API изложена в Приложении №1 к данному

руководству.

Геофильтрация. Во вкладке «Геофильтрация» находится интерфейс для

установки и редактирования фильтрации IP-адресов по географическому

признаку, выполненный по принципу формирования «черного» и «белого»

списков стран. Внесение страны в один из списков соответствует установке

условия фильтрации «Принимать только из указанных стран» («белый» список),

«Отклонять только из указанных стран» («черный» список). Для внесения страны

в список необходимо:

1. Выбрать домен ресурса, для которого необходимо настроить фильтрацию

(рис. 2.17);

Рисунок 2.17 – Выпадающий список выбора домена


26

2. В выпадающем меню выбрать тип списка, в который необходимо внести

страну (рис. 2.18);

Рисунок 2.18 – Выпадающий список выбора типа списка

3. В выпадающем списке выбрать страну (рис. 2.19);

Рисунок 2.19 – Выпадающий список выбора страны


27

4. Нажать кнопку «Добавить» (рис. 2.20).

Рисунок 2.20 – Кнопка «Добавить»

Для удаления записи необходимо нажать на кнопку в соответствующей

строке (рис. 2.21).

Рисунок 2.21 – Кнопка удаления записи


28

2.4 Статистика В данном разделе представлен интерфейс мониторинга срабатывания

триггеров системы оповещения об аномалиях. Также, доступен интерфейс

просмотра списка забаненных IP-адресов и истории блокировок.

Статистика инцидентов

В данной вкладке представлена история срабатывания триггеров системы

оповещения об аномалиях. По каждому событию срабатывания триггера (по

каждой аномалии) доступны следующие данные:

− Дата. Дата и время срабатывания триггера - выход фактического

значения за пределы установленного диапазона;

− Дата окончания. Дата и время обратного срабатывания триггера –

возврат фактического значения в пределы установленного диапазона;

− Параметр. Тип сработавшего триггера;

− Значение. Фактическое значение, по которому было зафиксировано

срабатывание;

− Порог. Установленное значение триггера срабатывания системы

оповещения об аномалиях.


29

Для просмотра истории срабатывания триггеров системы оповещения об

аномалиях необходимо выполнить следующие действия:

1. Выбрать текущий домен (рис. 2.22);

Рисунок 2.22 - Выпадающий список выбора текущего домена

2. Опционально возможен выбор фильтра по типу сработавшего триггера в

выпадающем списке «Все инциденты» (рис. 2.23).

Рисунок 2.23 – Выпадающий список выбора фильтра по типу сработавшего

условия


30

3. Выбрать диапазон времени с помощью календаря, доступного по

нажатию на поля ввода «Выбрать с» и «Выбрать по» (рис. 2.24а и 2.24б).

Рисунок 2.24а – Поля ввода «Дата начала» и «Дата окончания»

Рисунок 2.24б – Выбор даты для обозначения начала диапазона времени


31

4. Нажать кнопку «Поиск» (рис. 2.25).

Рисунок 2.25 – Кнопка «Поиск»

В разделе Статистика инцидентов доступен экспорт таблиц, в форматы

CSV, Excel 95+, Excel 2007+, HTML. Для экспорта необходимо:


нажатию на поля ввода «Выбрать с» и «Выбрать по» (рис. 2.26)

Рисунок 2.26 – Выбор даты для обозначения начала диапазона времени


32

2. Нажать кнопку «Поиск» (рис. 2.27);

Рисунок 2.27 – Кнопка «Поиск»

3. Открыть выпадающий список «Экспорт» и выбрать необходимый тип

файла (рис. 2.28);

Рисунок 2.28 – Выпадающий список выбора типа файла для экспорта


33

4. Подтвердить скачивание в диалоге сохранения файла.

Забаненные адреса.

В данной вкладке приведена история внесения IP-адресов, в черные и белые

списки доступа, а также список IP-адресов, заблокированных системой защиты в

данный момент. Красным цветом выделяются заблокированные на данный

момент адреса. О каждом адресе доступны следующие данные:

− Дата начала блокировки;

− Дата окончания блокировки;

Для получения интересующих данных необходимо выполнить следующие

действия:


Рисунок 2.29 – Выпадающий список выбора текущего домена


34

2. В выпадающем списке выбрать интересующий список: «История

блокировок» или «Заблокированные сейчас» (рис. 2.30);

Рисунок 2.30 – Выбор списка


нажатию на поля ввода «Дата начала» и «Дата окончания»;


35

4. Нажать кнопку «Найти» (рис. 2.31).

Рисунок 2.31 – Кнопка «Найти»


36

Также, доступен экспорт таблицы в форматы CSV, Excel 95+, Excel 2007+,

HTML. Для экспорта необходимо:

1. Выбрать диапазон времени и нажать кнопку «Найти»;




3. Подтвердить скачивание в диалоге сохранения файла.


37

2.4 Отчеты В данном разделе представлен интерфейс для скачивания автоматически

генерируемых суточных отчетов, разделенных по содержанию на:

1. История работы. Отчеты о трафике защищаемого ресурса, с интервалом

записей 5 минут. В нем содержатся следующие данные:

− Дата, время;

− Средний входящий трафик, Мбит/с;

− Средний исходящий трафик, Мбит/с;

− Средний входящий трафик, пакеты/с;

− Средний исходящий трафик, пакеты/с.

Для загрузки отчета нажмите на кнопку загрузки .

Рисунок 2.33 – Вкладка «История работы»


38

2. Об атаках. Отчеты об истории срабатывания триггеров системы

оповещения об аномалиях. Для загрузки отчета нажмите на кнопку

загрузки .

Рисунок 2.34 – Вкладка «Об атаках»

3. Черные/белые списки IP. Содержит суточные отчеты о заблокированных

системой и добавленных пользователем в «черные» и «белые» списки IP-

адресах. Для загрузки отчета нажмите на кнопку загрузки отчета .

Рисунок 2.35 – Вкладка «Черные/белые списки IP»


39

2.5 История работы В разделе находится информация о трафике защищаемого ресурса,

приведенная с интервалом 5 минут. По каждому ресурсу доступны следующие

параметры:

− Дата, время;

− Средний входящий трафик, Мбит/с;

− Средний исходящий трафик, Мбит/с;

− Средний входящий трафик, пакеты/с;

− Средний исходящий трафик, пакеты/с.

Для просмотра информации о трафике защищаемого ресурса необходимо

выполнить следующие действия:


Рисунок 2.36 – Выпадающий список выбора текущего домена


40


нажатию на поля ввода «Дата начала» и «Дата окончания» (рис. 2.37);

Рисунок 2.37 – Выбор начальной даты диапазона времени


41

В разделе История работы доступен экспорт таблицы в форматы CSV,

Excel 95+, Excel 2007+, HTML. Для выполнения экспорта необходимо:

1. Выбрать диапазон времени и нажать кнопку «Найти»;




2.6 Профиль В данном разделе доступен следующий функционал:

− Просмотр информации о профиле:

− Имя;

− Фамилия;

− E-mail;

− Телефон;

− Адрес;

− Изменение часового пояса;

− Просмотр списка защищаемых доменов;

− Генерация API-ключа. Под API-ключом понимаются авторизационные

данные для использования API DDoS-Guard Protection.


42

Для изменения часового пояса выберите соответствующий пункт из

выпадающего списка (рис. 2.39).


Для генерации API-ключа необходимо выполнить следующие действия:

1. Ввести пароль пользователя, от имени которого будет использоваться API

в поле ввода «Пароль» (рис. 2.40);

Рисунок 2.40 – Поле ввода пароля пользователя

2. Нажать на кнопку «Получить API-ключ» (рис. 2.41);

Рисунок 2.41 – Кнопка получения API-ключа


43

3. Результатом успешного выполнения операции станет вывод данных об

авторизации в новом окне (рис. 2.42).

Рисунок 2.42 – Окно данных об авторизации

Приложение №1. Описание взаимодействия с API DDoS-Guard Protection

44

Приложение №1. Описание взаимодействия с API

DDoS-Guard Protection.

API DDoS-Guard Protection предусматривает следующий функционал:

− Получение списка черных и белых IP-адресов;

− Добавление IP-адреса в черный и белый список;

− Удаление IP-адреса из черного и белого списка.

Взаимодействие производится по протоколу HTTPS с сервером client.ddos-

guard.net по URL https://client.ddos-guard.net/ip-list/. Сервер возвращает ответ в

виде структуры в формате JSON. Для взаимодействия с API, необходимо

получить данные для авторизации. Данные возможно получить в разделе сайта

«Профиль». Внизу страницы находится поле для ввода пароля пользователя, от

которого будет вестись взаимодействие. Необходимо ввести пароль и нажать на

кнопку «Получить API-ключ». При успешном выполнении данной операции

система выведет на экран значения «API-ключ» и «clientId», необходимые для

корректного взаимодействия. Более подробная инструкция по получению

авторизационных данных находится в разделе «Профиль» главы «Работа с

системой».

Получение списка черных и белых IP-адресов

Для получения списка необходимо использовать метод GET c параметрами

client_Id, api_key и destination_ip в URL.

https://client.ddos-guard.net/ip-list


45

Таблица 1 - Описание параметров метода GET

Параметр Значение Тип Возможные значения

client_id Id клиента Число --- api_key API-ключ клиента Строка ---

destination_ip IP-адрес ресурса, которому

принадлежит список, который необходимо получить

Строка ---

Пример правильно сформированного запроса:

“https://client.ddos-guard.net/ip-list?api_key=e9af1kls3b2e9e5241444qnci5aae2f1&

client_id=14&destination_ip=103.5.149.23”

Пример ответа API в случае успешного выполнения операции: {

"status": "ok" "ip": {

"white": [6] 0: "0.0.1.2/32" 1: "15.13.19.13/32" 2: "15.78.18.178/32" 3: "2.2.9.2/28" 4: "3.3.7.3/32" 5: "45.12.19.46/32"

- "black": [5]

0: "87.10.10.10/32" 1: "98.16.18.17/32" 2: "154.121.212.121/32" 3: "111.222.222.222/32" 4: "123.15.172.11/32"

- }

- }

Пример ответа API о неправильном IP-адресе {

"status": "error" "error": "Destination Not Found"

}


46

Пример ответа API о неправильных авторизационных данных: {

"status": "error" "error": "Authentication failed"

} Пример ответа API о неправильно сформированном запросе:

{ "status": "error" "error": "Params error"

}

Внесение IP-адреса в черный/белый список

Для добавления IP-адреса необходимо использовать метод POST с

параметрами api_key, client_id, destination_ip, type, ip.

Таблица 2 - Описание параметров метода POST




принадлежит список, который необходимо изменить

Строка ---

type Тип списка, в который вносится IP-адрес Строка white/black

ip IP-адрес, который необходимо удалить из списка Строка ---

Допускается ввод нескольких IP-адресов для внесения в список, например:

ip=127.0.0.1,127.0.0.2. Также возможно указать маску подсети в формате CIDR,

например: ip=127.0.0.2/26,127.0.0.5/31. Разрешены 24-32 подсети.


47

Алгоритм работы API при добавлении IP-адреса представлен на рисунке 1.

Рисунок 1 - Алгоритм работы API при добавлении IP-адреса


“https://client.ddos-guard.net/ip-list?api_key=e9af1aee3b2e9e2265483cbad5aae2f1&

client_id=11&destination_ip=103.5.149.23&type=white&ip=127.0.0.1,127.0.0.2/26”.

Пример ответа API об успешном выполнении операции: {

"status": "ok" }

Пример ответа API о неверном IP-адресе: {

"status": "error" "error": "Invalid IP-address: 1.0.2"

} Пример ответа API о неправильном имени списка:

{ "status": "error" "error": "Invalid list type"

}


48

Пример ответа API о неправильных авторизационных данных: {

"status": "error" "error": "Authentication failed"



}

Удаление IP-адреса из черного/белого списка

Для удаления IP-адреса из списка необходимо использовать метод DELETE

с параметрами api_key, client_id, destination_ip, type, ip.

Таблица 3 - Описание параметров метода DELETE




принадлежит список, который необходимо изменить

Строка ---

type Тип списка, в который вносится IP-адрес Строка white/black

ip IP-адрес, который необходимо удалить из списка Строка ---

Допускается ввод нескольких IP-адресов для внесения в список, например:

ip=127.0.0.1,127.0.0.2. Ввод IP-адреса с маской стандарта CIDR недопустим.


“https://client.ddos-guard.net/ip-list?api_key=e9af1aee3b2e9e4531237cbad5aae2f1&

client_id=77&destination_ip=186.2.163.54&type=white&ip=127.0.0.1, 127.0.0.2/26”.

Пример ответа API об успешном выполнении операции: {

"status": "ok" }


49

Пример ответа API о неверном IP-адресе: {

"status": "error" "error": "Invalid IP-address: 1.0.2"

} Пример ответа API о неправильном имени списка:

{ "status": "error" "error": "Invalid list type"

} Пример ответа API о неправильных авторизационных данных:

{ "status": "error" "error": "Authentication failed"



}

Documents

DDOS-GUARD PROTECTION · DDoS-Guard Protection - ПО предназначенное для защиты ресурсов, ... E-mail адрес - адрес электронной