Киберугрозы

Как устроены DDoS-атаки и что поможет защитить бизнес

9
Последнее обновление: 9 августа 2025

В последние годы число DDoS-атак растёт в геометрической прогрессии. По данным центра очистки трафика StormWall за 2024 их количество увеличилось на 108%.

DDoS (Distributed Denial of Service) — это когда злоумышленники запускают с разных компьютеров или устройств лавину запросов к вашему сайту или серверу. В результате сервер занят «мусорными» запросами, и обычные посетители не могут открыть страницу или оформить заказ.

При атаке используют сети заражённых компьютеров — ботнеты — чтобы «затопить» ваш сайт или сервер запросами. Допустим, вы продаёте товары в интернете и в пиковые часы на сайт заходят десятки тысяч пользователей. Если атака лишит пользователей доступа к корзине, каждый потерянный заказ — это прямые убытки, а жалобы в соцсетях и отказы от повторных покупок подрывают доверие к бренду.

А для сервисов, где работают платные подписки или онлайн-услуги, простой даже в несколько минут приводит к штрафам по SLA и перерасходу бюджета на исправление ситуации.

Чем DDoS отличается от классической DoS

DoS (Denial of Service) — это единичная атака с одного источника. Злоумышленник посылает запросы сам, и сервер перегружается. DDoS же использует сеть устройств (ботнет), чтобы одно и то же случилось сразу с десятков, сотен или тысяч компьютеров.

Если DoS-атака похожа на поток машин, едва въезжающих на узкую дорогу, то DDoS — как если бы одновременно выскочили сотни машин, и дорога моментально перекрылась.

Чтобы разобраться, как устроена DDoS-атака, нужно изучить три понятия:

  • Ботнет

Сеть заражённых компьютеров или «умных» устройств (например, IP-камеры), которыми управляют удалённо. Каждый «бот» по отдельности не вреден, но вместе создаёт мощный поток запросов.

  • Бот-мастер

Человек или группа, контролирующая ботнет. Через специальное программное обеспечение они отдают команде «атаковать» выбранную цель.

  • Целевые ресурсы

Сайт, сервер или сервис, к которым направлен поток запросов. Цель — сделать эти ресурсы недоступными для реальных пользователей.

Виды DDoS-атак и их особенности

— Объёмные атаки (UDP-флуд, ICMP-флуд)

В таких атаках злоумышленники просто заливают сайт лишним трафиком. Серверам приходится обрабатывать огромный поток пакетов, а в конечном счёте канал связи полностью загружается. Например, если за нормальный час на сайт заходят 1000 человек, при UDP-флуде их может быть 50 000 за ту же минуту. Понятно, что реальным посетителям становится невозможно загрузить страницу.

— Протокольные атаки (SYN-flood, ACK-flood)

Здесь бьют по ресурсам серверов и сетевого оборудования. В классе SYN-flood атак ботнет отправляет множество запросов на установку соединения (TCP-handshake), но не завершает его. Сервер «замораживает» память под каждую незавершённую сессию, и через короткое время все ресурсы оказываются заняты. ACK-flood работает схожим образом: сервер получает подтверждения пакетов, которые он фактически не отправлял, и тоже расходует память и вычислительную мощность на проверку фантомных запросов.

— Прикладные атаки (HTTP-flood)

Этот тип сложнее заметить, потому что он имитирует поведение обычного пользователя. Боты отправляют HTTP-запросы к страницам или скриптам, запрашивая сначала главную, потом оформление заказа, поиск товара и так далее. Сайт считает, что это живые клиенты, и запускает бизнес-логику, базы данных и прочие ресурсоёмкие операции. В итоге нагрузка создаётся на прикладном уровне, а не на уровне сети, что требует более тонких методов фильтрации.

Можно ли распознать тип атаки на раннем этапе? Есть несколько тревожных сигналов:

  • внезапный резкий рост входящего трафика без видимых маркетинговых причин;
  • повышенная загрузка ЦП и памяти на веб-серверах при стабильном числе реальных подключений;
  • потоки запросов к одному и тому же порту (80/443) vs. пинг-запросы на уровне сети;
  • несоответствие характеристик трафика обычному поведению пользователей: сотни одновременных запросов к корзине или API.

Отслеживая эти признаки в реальном времени, вы сможете понять, какой именно тип DDoS-атаки идёт и выбрать наиболее эффективную тактику защиты.

Последствия DDoS-атак для бизнеса

  • Финансовые потери

Когда сайт или сервис недоступны, продажи сразу падают. Например, интернет-магазин, в котором в обычный час оформляется 50 заказов, во время атаки может не принять ни одного. Если средний чек — 3 000 ₽, потери за пару часов простоя легко превысят сотни тысяч рублей.

  • Репутационные риски

Клиенты привыкли к быстрому и надёжному сервису. Если они видят «404» или «сайт не отвечает», вероятность, что они вернутся, стремится к нулю. Пара негативных отзывов в социальных сетях быстро разойдутся по целевой аудитории, и доверие к вашему бренду пострадает.

  • Операционные издержки

В разгар атаки часто приходится подключать резервные каналы связи и платить за сверхнормативный трафик. К тому же в договорах с контрагентами может быть пункт о штрафах за недоступность сервиса — их тоже придётся оплатить. Всё это выливается в лишние расходы и уменьшает чистую прибыль.

Ключевые этапы защиты от DDoS-атак

Аудит инфраструктуры и оценка рисков

Первым делом нужно понять, где у вас «узкие места». Проверьте, какие сервисы вы считаете критичными: сайт с корзиной, API для сторонних приложений или корпоративный портал. Соберите статистику по трафику и изучите пиковые нагрузки. Если вы видите, что в обычный час к сайту обращаются 500–1 000 пользователей, а сервер в эти моменты загружен на 70 %, это повод задуматься. Оцените, какие убытки вы можете понести при различной продолжительности простоя — это поможет приоритетизировать защиту.

Настройка сетевого экрана и WAF

Сетевой экран (firewall) отсекает подозрительную активность на уровне сети. Он блокирует пакеты с некорректными заголовками и заражённые IP-адреса. WAF (Web Application Firewall) смотрит глубже — фильтрует HTTP-запросы к вашему приложению. Вместо громоздких правил на десятки строк можно использовать готовые шаблоны для популярных платформ (например, для сайтов на 1C-Битрикс или OpenCart). Это позволит быстро начать защиту без долгой ручной настройки.

Подключение CDN и распределение нагрузки

Сеть доставки контента (CDN) хранит копии ваших статичных файлов — изображений, скриптов, стилей — на серверах по всей России. Когда пользователь открывает страницу, запрос идёт не на ваш основной сервер, а к ближайшей точке CDN. Так уменьшается нагрузка на главный ресурс и создаётся дополнительный буфер против объёмных атак. Для динамического контента можно настроить умный роутинг: часть запросов обрабатывается локально у вас, часть — в облаке.

Лимиты на трафик и системы обнаружения аномалий

Чтобы не дать ботнету залить сайт, в настройках маршрутизатора или облачного провайдера указывают максимальное число соединений с одного IP и общий порог трафика. При достижении границы запросы начинают отклоняться или к ним применяется дополнительная проверка (Captcha, JavaScript-челлендж). Параллельно настраивают систему мониторинга, которая в реальном времени оповещает о всплесках трафика и необычном поведении. Это позволяет оперативно подключать резервные механизмы защиты.

Регулярные стресс-тесты

Планово проверяйте эффективность защиты, имитируя атаки собственными средствами или через внешних подрядчиков. Запускайте нагрузочные скрипты по сценарию: сначала создайте объёмный трафик, затем отработайте сочетание UDP-, SYN- и HTTP-флудов. После каждого теста анализируйте отчёты: сколько запросов прошло, сколько фильтров сработало, где «протекла» система. Так вы не только проверите текущие настройки, но и на практике отточите порядок действий команды при реальной атаке.

Превентивные меры: чек-лист для бизнеса

Чтобы снизить риск простоя и быстро справиться с последствиями DDoS-атаки, пройдите по этому списку и отметьте выполненные пункты.

  • Ведение реестра критичных сервисов и точек отказа

Определите, какие сервисы самые важные: сайт с корзиной, онлайн-оплата, CRM-портал сотрудников. Зафиксируйте их в одном документе вместе с описанием возможных точек отказа — например, единичный сервер базы данных или узкий канал связи. Если в процессе атаки любой из этих узлов выходит из строя, реестр поможет понять, где искать проблему.

  • Регулярные бэкапы и план аварийного восстановления

Настройте автоматическое сохранение копий данных и конфигураций не реже раза в сутки. Храните резервные копии на удалённом носителе или в облаке. Разработайте простой алгоритм восстановления: где взять бэкап, как быстро переехать на резервный сервер, кто отвечает за каждый шаг. Это позволит вернуть сервис в работу за часы, а не дни.

  • Использование облачных решений с автомасштабированием

Облачные платформы умеют поднимать дополнительные ресурсы при росте нагрузки. Подключите приложение к облачному кластеру с автоматическим расширением — так ваш сайт выдержит резкий скачок запросов. Если вечером у вас обычно 100 активных пользователей, а при акции их станет 1000, система сама добавит мощности и не даст серверу упасть.

  • Мониторинг трафика в реальном времени

Включите сбор метрик по входящим запросам, загрузке процессора и памяти. Сервисы покажут графики и уведомят при отклонении от нормы. Если число запросов вырастет в несколько раз за минуту, вы сразу увидите аномалию и сможете запустить фильтрацию.

  • Настройка уведомлений и эскалации инцидентов

Договоритесь, кто из команды отвечает за инциденты ночью и в выходные. Настройте оповещения в мессенджерах или по SMS. Например, при превышении порога трафика больше 200% от базового автоматически придёт сообщение в общий чат IT-отдела и личное — системному администратору. Так никто не пропустит критическую ситуацию.

Обзор инструментов и сервисов для защиты от DDoS

— On-premise и облачные решения

Вариант on-premise (локальная установка на своём сервере) предполагает установку защиты у вас в дата-центре или офисе. Вы платите единоразово за оборудование и лицензии, а остальная настройка лежит на вашей IT-команде. Облачные (SaaS) решения подключаются за пару кликов через личный кабинет провайдера. Вы сразу получаете централизованную фильтрацию трафика без забот о железе и обновлениях.

При выборе сервиса обратите внимание на:

  • время реакции на атаку, от обнаружения до начала фильтрации;
  • гарантии доступности (SLA) — какой процент времени сервис обязуется быть онлайн;
  • наличие подробной отчётности с метриками атак и очищенного трафика;
  • стоимость, включая оплату за фильтрацию трафика и дополнительные опции.

Среди российских сервисов можно выделить:

Yandex.Cloud DDoS Protection

Лёгкое подключение в один клик при создании виртуальной машины или резервировании IP. Сервис автоматически мониторит трафик на уровнях 3 и 4 OSI, а в расширенном тарифе добавляет фильтрацию L7 и интеграцию с WAF от Qrator Labs. В личном кабинете доступны графики нагрузки и отчёты по каждому инциденту

Selectel DDoS Protection

Защита уровней L3–L7 через партнёров (DDoS-Guard, StormWall, Curator). Базовая фильтрация L3/L4 включена бесплатно, а за L7-защиту платят по использованному трафику. Управление — в панели my.selectel, есть API для автоматизации и подробная аналитика по каждому типу атаки

Ростелеком Anti-DDoS

Сервис с распределённой сетью очистки трафика по всей России. Отражает атаки до 1 Тбит/с на всех уровнях OSI. Подключается через личный кабинет «Единый абонент», есть круглосуточная поддержка.

Ответы на часто задаваемые вопросы

Чем DDoS отличается от хакерской атаки?

Хакерская атака обычно подразумевает взлом системы, кражу данных или изменение контента. DDoS направлена на блокировку доступа: злоумышленники «штормят» ваш сайт массой запросов, чтобы сломать его работу. При хакерской атаке страдает безопасность данных, при DDoS — доступность сервиса.

Сколько стоит защита и окупается ли она?

Цена зависит от выбранного решения. Базовая облачная фильтрация начинается от нескольких тысяч рублей в месяц. On-premise оборудование обойдётся дороже, но без постоянных платежей за трафик. Окупаемость наступает уже при первом серьёзном сбое: если за час простоя вы теряете 200 000 ₽, защита за 20 000 ₽ в месяц оправдывает себя многократно.

Как узнать, что атака уже началась?

Симптомы похожи на резкий скачок трафика: график запросов взлетает в несколько раз за считанные минуты. Параллельно растёт загрузка процессора и памяти, а реальные пользователи жалуются на «вечную» загрузку страниц. Настроенные системы мониторинга и уведомлений в мессенджерах сразу оповестят IT-отдел о критическом росте входящего трафика.

Нужно ли держать «про запас» дополнительные каналы связи?

Да, это помогает уменьшить риски. Если основной канал перегрузится, можно переключиться на резервный — например, другого оператора или мобильный интернет. Дополнительный канал не отменяет защиту от DDoS, но даёт время на настройку фильтрации и восстановление нормального трафика.

 


Попробуете систему в деле? (это бесплатно)

👉 Щелкните здесь, чтобы создать аккаунт 👈

Пробная версия доступна сразу же после создания аккаунта + мы пришлем письмо с подробными инструкциями.

СпрутМонитор главный экран

Похожие записи:

DevSecOps простыми словами: интеграция безопасности в бизнес-процессы ПрофайлингПрофайлинг для бизнеса: как читать поведение сотрудников и беречь компанию от рисков Промышленный шпионаж: как бизнесу не допустить утечек и чем поможет внедрение DLP-системы Как правильно рассчитать премию сотрудникам: примеры и частые ошибки Обновление СпрутМонитор: 5 сентября 2025 10 инструментов для блокировки сайтов — что выбрать бизнесу и как не демотивировать сотрудников

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *