Тема
Режим
Язык
Тема
Режим
Язык
Регистрация
FREE Бесплатный аудит сайта за 15 мин Заказать →

Вас атакуют прямо сейчас: пошаговый план действий

Не паникуйте. За 15 минут вы можете снизить ущерб в 10 раз. Действуйте по чек-листу ниже.

Executive Summary для руководителя
💰

Финансовый риск

От 50 000 до 300 000 рублей в час из-за недоступности сайта для клиентов при атаке на прикладном уровне (L7), перерасхода ресурсов CPU/RAM хостинга.

📈

Влияние на KPI

Снижение конверсии заказов. Медленный отклик сайта (TTFB) ухудшает поведенческие факторы и пессимизирует поисковый трафик из Google и Яндекса.

⚠️

Уровень критичности

Высокий

👤

Кому поручить

DevOps-инженер / Бэкенд-разработчик

TL;DR: Не паникуйте. За 15 минут вы можете снизить ущерб в 10 раз. Действуйте по чек-листу ниже.

Время чтения: 8 мин | Уровень: Любой (написано для стресса)


01

⚡ Первые 5 минут: диагностика

Прежде чем что-то делать — убедитесь, что это DDoS, а не:

  • Падение базы данных
  • Ошибка в коде после деплоя
  • Закончилось место на диске
  • DNS-проблемы

Быстрая проверка

# 1. Сервер отвечает?
ping your-server-ip

# 2. SSH доступен?
ssh user@server "uptime"

# 3. Нагрузка на CPU
ssh user@server "top -bn1 | head -5"

# 4. Свободное место
ssh user@server "df -h"

# 5. Количество соединений
ssh user@server "netstat -an | wc -l"

Признаки DDoS (а не сбоя):

  • ✅ Сервер отвечает на ping, но сайт не открывается
  • ✅ Тысячи соединений в netstat
  • ✅ CPU/сеть загружены на 100%, но RAM в норме
  • ✅ В логах — тысячи запросов с разных IP

Если сервер НЕ отвечает на ping — возможно, канал забит полностью. Переходите сразу к «Уровень 3: облачная защита».


02

🛡 Уровень 1: Быстрые меры (можете сделать сами)

1.1 Включите SYN Cookies (если ещё не включены)

# Подключитесь к серверу
ssh root@your-server

# Включите защиту от SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
echo 65535 > /proc/sys/net/ipv4/tcp_max_syn_backlog

1.2 Базовый rate limiting в iptables

# Ограничить новые соединения: 50/сек с одного IP
iptables -A INPUT -p tcp --syn -m limit --limit 50/s --limit-burst 100 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

# Ограничить ICMP (ping flood)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

1.3 Заблокировать явных атакующих

# Найти топ-10 IP по количеству соединений
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -10

# Заблокировать конкретный IP
iptables -A INPUT -s 1.2.3.4 -j DROP

# Заблокировать подсеть
iptables -A INPUT -s 1.2.3.0/24 -j DROP

⚠️ Осторожно: не блокируйте свой IP и IP важных сервисов!

1.4 Проверить логи nginx

# Топ запрашиваемых URL
tail -10000 /var/log/nginx/access.log | awk '{print $7}' | sort | uniq -c | sort -rn | head -10

# Если атака на конкретный URL — временно отключите его
# В nginx.conf:
location /attacked-url {
    return 503;
}

03

🌐 Уровень 2: Cloudflare "Under Attack" Mode

Если у вас есть Cloudflare (даже бесплатный план):

Шаг 1: Включите режим «Under Attack»

1. Зайдите в Cloudflare Dashboard
2. Выберите домен
3. Security → Settings
4. Security LevelI'm Under Attack!

Это добавит JavaScript challenge для всех посетителей. Боты отсеются, реальные пользователи подождут 5 секунд.

Шаг 2: Включите Rate Limiting

1. Security → WAF → Rate limiting rules
2. Create rule:

  • If incoming requests match URI Path contains / (все)
  • Then Block for 10 seconds
  • When rate exceeds 100 requests per 10 seconds

Шаг 3: Заблокируйте страны (если применимо)

Если ваш бизнес только для РФ:

1. Security → WAF → Custom rules
2. Create rule:

  • Expression: (ip.geoip.country ne "RU" and ip.geoip.country ne "BY" and ip.geoip.country ne "KZ")
  • Action: Block или Challenge


04

☁️ Уровень 3: Срочное подключение защиты

Если атака сильнее ваших возможностей — нужна внешняя помощь.

Вариант A: Cloudflare (если ещё не подключены)

Время подключения: 15-30 минут

1. Зарегистрируйтесь на cloudflare.com
2. Добавьте домен
3. Смените NS-записи у регистратора на Cloudflare
4. Подождите распространения DNS (5-30 минут)
5. Включите режим «Under Attack»

Преимущество: Бесплатный план даёт базовую защиту до 10 Гбит/с

Вариант B: Включить защиту хостера

Многие хостеры предлагают DDoS-защиту:

  • Hetzner: DDoS Protection включена по умолчанию
  • OVH: Anti-DDoS автоматический
  • AWS: Shield Standard бесплатно, Shield Advanced за $3000/мес
  • DigitalOcean: Свяжитесь с поддержкой

Напишите в саппорт хостера: «We are under DDoS attack, please enable mitigation».

Вариант C: Профессиональная защита

Если атака серьёзная (>10 Гбит/с):

Сравнение решений

Провайдер Время подключения Ёмкость
Cloudflare Enterprise 1-2 часа 100+ Тбит/с
Akamai Prolexic 2-4 часа 20+ Тбит/с
Qrator 1-2 часа 3+ Тбит/с
DDoS-Guard 30-60 мин 1.5+ Тбит/с

* Бесплатный план — базовая поддержка. Полная 24/7 поддержка на Pro+ тарифах.


05

📊 Что делать ПОСЛЕ атаки

1. Соберите логи

# Сохраните логи для анализа
cp /var/log/nginx/access.log /root/attack-logs/
cp /var/log/nginx/error.log /root/attack-logs/
cp /var/log/syslog /root/attack-logs/

# Статистика по атаке
cat /root/attack-logs/access.log | \
  awk '{print $1}' | sort | uniq -c | sort -rn | head -100 > attack-ips.txt

2. Оцените ущерб

  • Сколько времени сайт был недоступен?
  • Сколько заказов/заявок потеряно?
  • Есть ли репутационный ущерб?

3. Настройте постоянную защиту

Атака повторится. Подготовьтесь заранее:

Чек-лист готовности

0 / 5

06

🚨 Чек-лист действий при атаке

Минуты 0-5: Диагностика

Чек-лист готовности

0 / 10
Используйте Let's Encrypt или Cloudflare для бесплатных сертификатов
Лимитируйте /login, /api, /search — основные точки атак
Cloudflare WAF, ModSecurity или аналоги
Снижает нагрузку на origin в 5-10 раз
Grafana + Prometheus или встроенный в CDN
Быстрое переключение при атаке на основной
Телефон техподдержки для экстренных случаев
Блокировка регионов откуда не ждёте трафик
hCaptcha или Cloudflare Turnstile
Telegram/Slack уведомления при аномалиях

Минуты 5-10: Первая помощь

Чек-лист готовности

0 / 10
Используйте Let's Encrypt или Cloudflare для бесплатных сертификатов
Лимитируйте /login, /api, /search — основные точки атак
Cloudflare WAF, ModSecurity или аналоги
Снижает нагрузку на origin в 5-10 раз
Grafana + Prometheus или встроенный в CDN
Быстрое переключение при атаке на основной
Телефон техподдержки для экстренных случаев
Блокировка регионов откуда не ждёте трафик
hCaptcha или Cloudflare Turnstile
Telegram/Slack уведомления при аномалиях

Минуты 10-15: Усиление

Чек-лист готовности

0 / 10
Используйте Let's Encrypt или Cloudflare для бесплатных сертификатов
Лимитируйте /login, /api, /search — основные точки атак
Cloudflare WAF, ModSecurity или аналоги
Снижает нагрузку на origin в 5-10 раз
Grafana + Prometheus или встроенный в CDN
Быстрое переключение при атаке на основной
Телефон техподдержки для экстренных случаев
Блокировка регионов откуда не ждёте трафик
hCaptcha или Cloudflare Turnstile
Telegram/Slack уведомления при аномалиях

Если не помогло:

Чек-лист готовности

0 / 10
Используйте Let's Encrypt или Cloudflare для бесплатных сертификатов
Лимитируйте /login, /api, /search — основные точки атак
Cloudflare WAF, ModSecurity или аналоги
Снижает нагрузку на origin в 5-10 раз
Grafana + Prometheus или встроенный в CDN
Быстрое переключение при атаке на основной
Телефон техподдержки для экстренных случаев
Блокировка регионов откуда не ждёте трафик
hCaptcha или Cloudflare Turnstile
Telegram/Slack уведомления при аномалиях

07

📞 Нужна помощь прямо сейчас?

Если вы под атакой и не справляетесь:

Экстренная диагностика — 15 минут, бесплатно →

Мы посмотрим на вашу ситуацию и дадим конкретные рекомендации.


08

Связанные материалы


  • Эта страница написана для людей в стрессе. Мы понимаем, каково это.*
09

Практическая экспертиза AntiDDoS.su

📝
Заметка

Практическая экспертиза AntiDDoS.su Этот материал подготовлен инженерами безопасности AntiDDoS.su. Мы специализируемся на отражении распределенных атак любой сложности, аудите безопасности инфраструктуры и настройке отказоустойчивых систем. 🛡️ Важная информация: Если ваш ресурс находится под атакой или нуждается в профессиональном аудите защиты — обратитесь к экспертам AntiDDoS.su для оперативной помощи.


Чек-лист проверки для владельца бизнеса

Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:

  • Настроена ли WAF-фильтрация для отсечения ботов с помощью JS-челленджей без показа капчи реальным пользователям?
  • Защищен ли веб-сервер от атак типа Slowloris путем оптимизации HTTP Keep-Alive таймаутов?
  • Проверено ли наше приложение на защиту от атак типа HTTP Request Smuggling и отравления кэша?

Словарь по теме

Cloudflare Enterprise

Корпоративный тарифный план Cloudflare с расширенными возможностями защиты от DDoS, WAF с custom rules, приоритетной поддержкой 24/7, SLA 100% uptime и неограниченной защитой от DDoS-атак любого масштаба.

Unmetered Mitigation

Модель тарификации DDoS-защиты, при которой провайдер не взимает дополнительную плату за объём отражённого атакующего трафика. Cloudflare первыми ввели этот подход для всех тарифов, включая бесплатный.

Under Attack Mode

Экстренный режим защиты в Cloudflare. Все посетители проходят JavaScript-проверку перед доступом к сайту. Блокирует большинство ботов.

Scrubbing Center

Выделенный центр очистки трафика, куда перенаправляется весь входящий поток во время DDoS-атаки. Трафик фильтруется, легитимные запросы возвращаются на сервер, вредоносные — отбрасываются. Используется Akamai Prolexic, NETSCOUT Arbor Cloud и другими провайдерами enterprise-уровня.

Rate Limiting

Ограничение количества запросов с одного IP-адреса за определённый период времени. Первая линия защиты от ботов, брутфорса и простых DDoS-атак.

Cloudflare

Популярный сервис CDN и защиты от DDoS. Бесплатный план включает базовую защиту, SSL, и ускорение загрузки через глобальную сеть из 300+ дата-центров.

SYN Flood

Атака на сетевом уровне (L4), при которой атакующий отправляет множество SYN-пакетов, не завершая TCP-рукопожатие. Исчерпывает таблицу соединений сервера.

Prolexic

Платформа DDoS-защиты от Akamai, работающая через глобальную сеть скрабинг-центров. Обеспечивает защиту на сетевом уровне (L3/L4) с SLA на мгновенную митигацию. Изначально отдельная компания, приобретена Akamai в 2013 году за $370 млн.

Получите план защиты под ваш сайт

Оставьте контакт и адрес сайта — пришлём план защиты и список приоритетных шагов.

  • Приоритетные шаги на 7 дней
  • Быстрая обратная связь
  • План в удобном формате
Без спама. Можно указать Telegram (@username) или email.
Написать в Telegram