DDoS-атака (Distributed Denial of Service) — намеренная перегрузка сервера или сети трафиком с тысяч источников одновременно, что делает сервис недоступным для легитимных пользователей. Защита от DDoS — фильтрация этого трафика до того, как он достигнет origin-сервера.
Уровни атак и защиты
- L3/L4 (сетевой/транспортный) — атаки объёмом: UDP Flood, SYN Flood, ICMP Flood, DNS Amplification. Измеряются в Gbps и Mpps. Защита: black hole routing, rate limiting на уровне BGP, hardware scrubbing centers. Современные атаки достигают 3 Tbps (рекорд 2023 года — атака на Cloudflare).
- L7 (уровень приложения) — HTTP Flood, Slowloris, SQL injection через боты. Гораздо меньший объём (Mbps), но сложнее фильтровать: запросы выглядят как легитимные. Требует WAF (Web Application Firewall) с анализом HTTP-сессий.
Как работает
Основные техники защиты: Traffic scrubbing (очистка трафика) — весь входящий трафик направляется через scrubbing center, который отфильтровывает аномалии по паттернам. BGP Anycast — трафик распределяется между множеством узлов по всему миру (Cloudflare использует ~300 узлов). Rate limiting — ограничение числа запросов с одного IP или подсети. CAPTCHA и JS-challenge — проверка, является ли клиент браузером.
CDN-провайдеры (Cloudflare, Akamai) предоставляют DDoS-защиту как часть базового сервиса: L3/L4 — по умолчанию, L7/WAF — в платных планах. Специализированные провайдеры: Qrator Labs, StormWall (Россия), Radware, Arbor Networks (международные).
История
Первая крупная DDoS-атака зафиксирована в 1999 году (атака на IRC-сеть EFnet). В 2000 году атаки парализовали Yahoo!, Amazon, CNN. В 2007 году Эстония пережила первую государственно-спонсируемую DDoS-кампанию. Ботнет Mirai (2016) создал крупнейший на тот момент DDoS — 1.2 Tbps, используя IoT-устройства. В 2023 году Cloudflare зафиксировала атаку 71 млн запросов/секунду (L7 HTTP Flood).
Защита от DDoS: уровни и стратегии
DDoS-атаки делятся по уровню OSI: L3/L4 (объёмные атаки — UDP flood, SYN flood, ICMP flood) и L7 (атаки на приложение — HTTP flood, Slowloris, медленные POST). L3/L4 атаки фильтруются у провайдера/CDN на уровне BGP-анонсирования (blackhole routing). L7 атаки требуют анализа запросов и более интеллектуальной защиты.
Уровни защиты: провайдерская защита (включена у многих хостеров по умолчанию для L3/L4 до 10-100 Гбит/с), CDN с WAF (Cloudflare, Qrator — L7 защита), специализированная Anti-DDoS (Stormwall, G-Core, NGENIX для RU-сайтов). Rate limiting в nginx — базовая защита от медленных атак: limit_req_zone + limit_conn_zone. Задача fail2ban в DDoS-контексте: автоматически блокировать IP после N запросов за M секунд.
На что обращать внимание
Для небольших сайтов на VPS: Cloudflare Free Plan обеспечивает базовую L3/L4 защиту. Fail2ban защищает от брутфорса, но не от распределённых атак. Для коммерческих проектов: Cloudflare Pro ($20/мес) с WAF или специализированные российские провайдеры (Qrator, StormWall) для защиты от L7-атак и обеспечения доступности для российских пользователей.
Защита от DDoS на уровне сервера
Базовая защита VPS: Fail2ban блокирует IP при попытках брутфорса (HTTP flood), iptables-правила для rate limiting. Cloudflare (Cloudflare) — первый рубеж для большинства сайтов: BGP anycast поглощает атаки до origin-сервера. При атаке на прямой IP origin-сервера (bypassing CDN) — смена IP и ограничение входящего трафика файрволом. CDN с DDoS-защитой скрывает реальный IP origin — это ключевая защита от прямых атак.