Что такое DDoS-атаки и как защитить серверы?

DDoS-атаки (Distributed Denial of Service) выросли в мире на 46 % в 2024 — по отчёту Cloudflare. Если не хотите однажды увидеть «Сервер не отвечает», стратегию защиты надо строить уже сегодня. В этой статье — типы DDoS, как их распознать и эффективные слои защиты.

Что такое DDoS?

Классический DoS бомбит сервер тысячами запросов из одного источника. DDoS делает то же из тысяч или миллионов IP (обычно ботнеты) одновременно. Сервер занят, реальные пользователи не могут попасть на сайт.

Простая аналогия: ресторан на 50 мест; внезапно у двери 5 000 человек — настоящие клиенты не попадают внутрь. Это DDoS — насыщение пропускной способности или CPU.

Типы DDoS-атак

1. Объёмные атаки

Цель: забить канал. Измеряются в Гбит/с.

• UDP Flood: бомбит UDP-пакетами на случайные порты
• ICMP Flood: заливает сеть пингами
• DNS Amplification: подменяет запросы к DNS, перенаправляя усиленные ответы на цель (1 ГБ запрос → 50 ГБ ответ)

Решение: очистка трафика на магистрали — ISP/дата-центр чистит трафик до того, как он дойдёт до сервера.

2. Протокольные атаки

Цель: исчерпать ресурсы сервера (CPU, таблицу соединений). Измеряются в пакетах/сек.

• SYN Flood: TCP-handshake никогда не завершается, сервер держит открытые соединения
• Ping of Death: испорченные ICMP-пакеты
• Smurf attack: ICMP-пакеты на широковещательный адрес

Решение: SYN cookies, правила firewall, ограничение скорости соединений.

3. Атаки прикладного уровня (Layer 7)

Цель: вымотать веб-приложение. Измеряются в запросах/сек. Самые опасные и трудноопределимые.

• HTTP Flood: легитимно выглядящие GET/POST через ботнет
• Slowloris: медленно открывает соединения и не закрывает
• WordPress XML-RPC abuse: использует встроенный endpoint WP, чтобы нагрузить БД

Решение: WAF (Web Application Firewall), bot detection, rate limit на IP.

Слои защиты (4 уровня)

Защита от DDoS — не работа одного инструмента; нужна многослойная безопасность:

Слой 1 — CDN / reverse proxy

Cloudflare (бесплатного плана достаточно) принимает трафик первым:

• Поглощает объёмные атаки на магистрали 200+ Тбит/с
• Отделяет ботовый трафик по отпечатку
• WAF ловит L7-атаки

Setup: ~10 минут (изменение DNS).

Слой 2 — дата-центр / хостинг

Хорошие хостеры чистят трафик до того, как он дойдёт до сервера. Серверы KavesNET, например:

• Защита на уровне магистрали (бесплатно, встроена)
• Гасит объёмные атаки до 10 Гбит/с
• Автоматический роутинг через scrubbing-центры при аномалиях

Работает и без Cloudflare; вместе — самая сильная защита.

Слой 3 — серверный firewall + rate limit

Простые правила через iptables / nftables или ufw:

# Блокировать >100 соединений с одного IP за 60с
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
  -m recent --set --name HTTP

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
  -m recent --update --seconds 60 --hitcount 100 --name HTTP -j DROP

Nginx rate limit:

limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

location /api/ {
    limit_req zone=api burst=20 nodelay;
    proxy_pass http://backend;
}

Слой 4 — прикладная сторона

• WordPress: отключить XML-RPC, 2FA + IP whitelist на логине
• API: JWT + rate-limit на пользователя
• Bot detection: Cloudflare Turnstile, hCaptcha
• Health-чеки и мониторинг — на отдельном порту

Что делать во время атаки?

Если сейчас под атакой, шаг за шагом:

1. Анализ трафика: netstat -anp | grep :80 | wc -l — число активных соединений
2. Cloudflare “Under Attack” mode: один клик включает JS-challenge
3. Сообщить хостингу: запрос на магистральный sniff/scrubbing
4. Временный блок IP/диапазонов атакующих: fail2ban или вручную iptables
5. Сохранить логи: User-Agent, паттерны referer пригодятся для будущей защиты

Частые ошибки

• Полагаться только на Cloudflare: если origin IP утечёт, Cloudflare обходится; обязательно через firewall разрешить только диапазоны Cloudflare на 80/443
• Слишком агрессивный rate-limit: блокирует реальных пользователей (мобильный NAT даёт много пользователей с одного IP)
• Без логирования: нужно для разбора инцидента
• Без бэкапов: во время атак может прилететь ransomware; бэкапы критичны. См. нашу стратегию 3-2-1

Кто в зоне риска?

• E-commerce — атака в день акции = прямые потери продаж
• Игровые серверы — соперники реально заказывают DDoS (очень часто!)
• API-серверы — зависимые системы тоже страдают
• Новости/медиа — политические или конкурентные мотивы
• Все коммерческие сайты — случайные попытки шантажа

Итог

DDoS — не «если», а «когда». Без подготовки: 3–7 дней даунтайма + тысячи долларов потерь. С подготовкой — минуты и ноль убытков.

Правильный порядок: Cloudflare → защита дата-центра → серверный firewall → прикладной слой — четыре слоя вместе.

Серверы KavesNET включают бесплатную защиту от DDoS на магистрали; с Cloudflare большинство атак умирает, не доходя до сервера. Тарифы серверов → или написать нам для проектов с высоким риском.

По теме: Различие VDS и VPS · Правило 3-2-1