Финансовый риск
От 50 000 до 300 000 рублей в час из-за недоступности сайта для клиентов при атаке на прикладном уровне (L7), перерасхода ресурсов CPU/RAM хостинга.
Влияние на KPI
Снижение конверсии заказов. Медленный отклик сайта (TTFB) ухудшает поведенческие факторы и пессимизирует поисковый трафик из Google и Яндекса.
Уровень критичности
Высокий
Кому поручить
DevOps-инженер / Бэкенд-разработчик
TL;DR: Не паникуйте. За 15 минут вы можете снизить ущерб в 10 раз. Действуйте по чек-листу ниже.
Время чтения: 8 мин | Уровень: Любой (написано для стресса)
⚡ Первые 5 минут: диагностика
Прежде чем что-то делать — убедитесь, что это DDoS, а не:
- Падение базы данных
- Ошибка в коде после деплоя
- Закончилось место на диске
- DNS-проблемы
Быстрая проверка
# 1. Сервер отвечает?
ping your-server-ip
# 2. SSH доступен?
ssh user@server "uptime"
# 3. Нагрузка на CPU
ssh user@server "top -bn1 | head -5"
# 4. Свободное место
ssh user@server "df -h"
# 5. Количество соединений
ssh user@server "netstat -an | wc -l"
Признаки DDoS (а не сбоя):
- ✅ Сервер отвечает на ping, но сайт не открывается
- ✅ Тысячи соединений в netstat
- ✅ CPU/сеть загружены на 100%, но RAM в норме
- ✅ В логах — тысячи запросов с разных IP
Если сервер НЕ отвечает на ping — возможно, канал забит полностью. Переходите сразу к «Уровень 3: облачная защита».
🛡 Уровень 1: Быстрые меры (можете сделать сами)
1.1 Включите SYN Cookies (если ещё не включены)
# Подключитесь к серверу
ssh root@your-server
# Включите защиту от SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
echo 65535 > /proc/sys/net/ipv4/tcp_max_syn_backlog
1.2 Базовый rate limiting в iptables
# Ограничить новые соединения: 50/сек с одного IP
iptables -A INPUT -p tcp --syn -m limit --limit 50/s --limit-burst 100 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
# Ограничить ICMP (ping flood)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
1.3 Заблокировать явных атакующих
# Найти топ-10 IP по количеству соединений
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -10
# Заблокировать конкретный IP
iptables -A INPUT -s 1.2.3.4 -j DROP
# Заблокировать подсеть
iptables -A INPUT -s 1.2.3.0/24 -j DROP
⚠️ Осторожно: не блокируйте свой IP и IP важных сервисов!
1.4 Проверить логи nginx
# Топ запрашиваемых URL
tail -10000 /var/log/nginx/access.log | awk '{print $7}' | sort | uniq -c | sort -rn | head -10
# Если атака на конкретный URL — временно отключите его
# В nginx.conf:
location /attacked-url {
return 503;
}
🌐 Уровень 2: Cloudflare "Under Attack" Mode
Если у вас есть Cloudflare (даже бесплатный план):
Шаг 1: Включите режим «Under Attack»
1. Зайдите в Cloudflare Dashboard
2. Выберите домен
3. Security → Settings
4. Security Level → I'm Under Attack!
Это добавит JavaScript challenge для всех посетителей. Боты отсеются, реальные пользователи подождут 5 секунд.
Шаг 2: Включите Rate Limiting
1. Security → WAF → Rate limiting rules
2. Create rule:
- If incoming requests match
URI Path contains /(все) - Then Block for 10 seconds
- When rate exceeds 100 requests per 10 seconds
Шаг 3: Заблокируйте страны (если применимо)
Если ваш бизнес только для РФ:
1. Security → WAF → Custom rules
2. Create rule:
- Expression:
(ip.geoip.country ne "RU" and ip.geoip.country ne "BY" and ip.geoip.country ne "KZ") - Action: Block или Challenge
☁️ Уровень 3: Срочное подключение защиты
Если атака сильнее ваших возможностей — нужна внешняя помощь.
Вариант A: Cloudflare (если ещё не подключены)
Время подключения: 15-30 минут
1. Зарегистрируйтесь на cloudflare.com
2. Добавьте домен
3. Смените NS-записи у регистратора на Cloudflare
4. Подождите распространения DNS (5-30 минут)
5. Включите режим «Under Attack»
Преимущество: Бесплатный план даёт базовую защиту до 10 Гбит/с
Вариант B: Включить защиту хостера
Многие хостеры предлагают DDoS-защиту:
- Hetzner: DDoS Protection включена по умолчанию
- OVH: Anti-DDoS автоматический
- AWS: Shield Standard бесплатно, Shield Advanced за $3000/мес
- DigitalOcean: Свяжитесь с поддержкой
Напишите в саппорт хостера: «We are under DDoS attack, please enable mitigation».
Вариант C: Профессиональная защита
Если атака серьёзная (>10 Гбит/с):
📊 Что делать ПОСЛЕ атаки
1. Соберите логи
# Сохраните логи для анализа
cp /var/log/nginx/access.log /root/attack-logs/
cp /var/log/nginx/error.log /root/attack-logs/
cp /var/log/syslog /root/attack-logs/
# Статистика по атаке
cat /root/attack-logs/access.log | \
awk '{print $1}' | sort | uniq -c | sort -rn | head -100 > attack-ips.txt
2. Оцените ущерб
- Сколько времени сайт был недоступен?
- Сколько заказов/заявок потеряно?
- Есть ли репутационный ущерб?
3. Настройте постоянную защиту
Атака повторится. Подготовьтесь заранее:
🚨 Чек-лист действий при атаке
Минуты 0-5: Диагностика
Минуты 5-10: Первая помощь
Минуты 10-15: Усиление
Если не помогло:
📞 Нужна помощь прямо сейчас?
Если вы под атакой и не справляетесь:
Экстренная диагностика — 15 минут, бесплатно →
Мы посмотрим на вашу ситуацию и дадим конкретные рекомендации.
Связанные материалы
- 📖 SYN Flood: анатомия атаки
- 📖 HTTP Flood: распознавание ботов
- 📖 Как выбрать AntiDDoS-провайдера
- 🔍 Scrubbing Center — что это
- 🔍 Unmetered Mitigation — почему важно
- Эта страница написана для людей в стрессе. Мы понимаем, каково это.*
Практическая экспертиза AntiDDoS.su
Практическая экспертиза AntiDDoS.su Этот материал подготовлен инженерами безопасности AntiDDoS.su. Мы специализируемся на отражении распределенных атак любой сложности, аудите безопасности инфраструктуры и настройке отказоустойчивых систем. 🛡️ Важная информация: Если ваш ресурс находится под атакой или нуждается в профессиональном аудите защиты — обратитесь к экспертам AntiDDoS.su для оперативной помощи.
Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:
- Настроена ли WAF-фильтрация для отсечения ботов с помощью JS-челленджей без показа капчи реальным пользователям?
- Защищен ли веб-сервер от атак типа Slowloris путем оптимизации HTTP Keep-Alive таймаутов?
- Проверено ли наше приложение на защиту от атак типа HTTP Request Smuggling и отравления кэша?
Словарь по теме
Cloudflare Enterprise
Корпоративный тарифный план Cloudflare с расширенными возможностями защиты от DDoS, WAF с custom rules, приоритетной поддержкой 24/7, SLA 100% uptime и неограниченной защитой от DDoS-атак любого масштаба.
Unmetered Mitigation
Модель тарификации DDoS-защиты, при которой провайдер не взимает дополнительную плату за объём отражённого атакующего трафика. Cloudflare первыми ввели этот подход для всех тарифов, включая бесплатный.
Under Attack Mode
Экстренный режим защиты в Cloudflare. Все посетители проходят JavaScript-проверку перед доступом к сайту. Блокирует большинство ботов.
Scrubbing Center
Выделенный центр очистки трафика, куда перенаправляется весь входящий поток во время DDoS-атаки. Трафик фильтруется, легитимные запросы возвращаются на сервер, вредоносные — отбрасываются. Используется Akamai Prolexic, NETSCOUT Arbor Cloud и другими провайдерами enterprise-уровня.
Rate Limiting
Ограничение количества запросов с одного IP-адреса за определённый период времени. Первая линия защиты от ботов, брутфорса и простых DDoS-атак.
Cloudflare
Популярный сервис CDN и защиты от DDoS. Бесплатный план включает базовую защиту, SSL, и ускорение загрузки через глобальную сеть из 300+ дата-центров.
SYN Flood
Атака на сетевом уровне (L4), при которой атакующий отправляет множество SYN-пакетов, не завершая TCP-рукопожатие. Исчерпывает таблицу соединений сервера.
Prolexic
Платформа DDoS-защиты от Akamai, работающая через глобальную сеть скрабинг-центров. Обеспечивает защиту на сетевом уровне (L3/L4) с SLA на мгновенную митигацию. Изначально отдельная компания, приобретена Akamai в 2013 году за $370 млн.