DDoS-атака (Distributed Denial of Service) — скоординированная атака с тысяч заражённых устройств (ботнет), цель которой — исчерпать ресурсы сервера и сделать сервис недоступным для легитимных пользователей. Отличается от DoS тем, что трафик генерируется с множества источников одновременно.
Как работает
Атакующий арендует или создаёт ботнет — сеть устройств, заражённых вредоносным ПО. По команде ботнет одновременно отправляет запросы к цели. Жертва получает миллионы пакетов в секунду — намного больше, чем может обработать. Серверные ресурсы (CPU, RAM, полоса пропускания) исчерпываются, легитимные запросы теряются или обрабатываются с недопустимой задержкой.
Типы DDoS-атак по уровням OSI
- L3/L4 (volumetric) — перегрузка канала пакетами: UDP Flood, ICMP Flood, SYN Flood. Мощность измеряется в Гбит/с и Mpps (миллионах пакетов в секунду).
- L4 (протокольные) — атаки на TCP/UDP стек: SYN Flood исчерпывает таблицу полуоткрытых соединений сервера.
- L7 (application layer) — HTTP Flood: легитимные GET/POST запросы к тяжёлым endpoint-ам. Труднее фильтровать — трафик неотличим от легитимного.
- Amplification — усиление через DNS, NTP, Memcached: атакующий отправляет маленький запрос, сервер-усилитель отвечает в 10-100 раз большим ответом на адрес жертвы.
История
Первая крупная DDoS-атака произошла в 2000 году: 15-летний канадец Михаэль Кальс (Mafiaboy) положил Yahoo!, eBay, Amazon и CNN на несколько часов. В 2016 году ботнет Mirai из 600 000 IoT-устройств атаковал DNS-провайдера Dyn — недоступными оказались Twitter, Spotify, Netflix. В 2022 году Cloudflare зафиксировала крупнейшую L7-атаку: 71 миллион запросов в секунду.
Защита от DDoS
Уровни защиты выстраиваются в эшелоны:
- Upstream filtering — провайдер хостинга фильтрует volumetric-трафик на уровне BGP до достижения вашего сервера. Hostpro предоставляет базовую защиту всем клиентам.
- CDN/WAF — Cloudflare, Akamai, Qrator фильтруют L7-атаки на своих edge-узлах, изолируя origin-сервер.
- Rate limiting на сервере — Nginx
limit_req_zoneограничивает число запросов с одного IP. - Файервол — UFW и iptables блокируют подозрительные IP и диапазоны.
Специализированные сервисы защиты: Qrator, StormWall, DDoS-Guard — российские провайдеры с фильтрацией атак мощностью до нескольких Тбит/с.
На что обращать внимание
Полностью предотвратить DDoS невозможно — только снизить ущерб. Volumetric-атаки мощностью 100+ Гбит/с перегружают канал хостинга вне зависимости от настроек сервера. Для критически важных сервисов необходима защита уровня CDN или специализированного anti-DDoS провайдера. Brute-force атаки часто маскируются под DDoS — проверяйте типы запросов перед выбором защиты.
Мониторинг DDoS в реальном времени
Признаки DDoS-атаки: резкий рост трафика в Grafana или панели хостинга, рост числа соединений в netstat -an | wc -l, недоступность сайта при нормальном ping до сервера (L7-атака). При volumetric-атаке пропадёт сам ping — провайдер начинает null-routing атакованного IP.
Экстренные меры при атаке: переключить DNS на Cloudflare с включённым DDoS-режимом, активировать «режим атаки» в панели CDN (100% запросов через CAPTCHA), временно закрыть UFW-правилом все соединения кроме CDN IP-диапазонов.