Что такое DDoS-атака

DDoS-атака (Distributed Denial of Service) – это один из самых распространённых видов сетевых атак, направленных на создание отказа в обслуживании. Основная задача такой атаки – перегрузить сервер или сетевую инфраструктуру большим количеством запросов, из-за чего легитимные пользователи не смогут получить доступ к сайту или сервису.

Чаще всего атаки выполняются с использованием ботнетов – сетей заражённых компьютеров и устройств. Их владельцы, как правило, даже не подозревают, что их оборудование используется для отправки огромного количества запросов на атакуемый сервер.

В большинстве случаев целью DDoS становится остановка работы сайта, онлайн-сервиса или инфраструктуры конкурента. Иногда подобные атаки применяются и как вспомогательный инструмент – например, чтобы отвлечь внимание от попыток взлома или поиска уязвимостей в системе.

Если ваш проект работает в конкурентной сфере или предполагает высокую нагрузку, рекомендуется подключать защиту от DDoS-атак сразу при создании сервера. Это позволит избежать простоев и сохранить доступность сервиса даже при попытках внешнего воздействия.

Стоимость защиты определяется только объёмом легитимного входящего трафика, который получает ваш сервер. Атакующий трафик при этом не тарифицируется – он автоматически фильтруется и отбрасывается системой защиты.

По статистике, более 96% серверов работают при средней входящей нагрузке около 1 Мбит/с. Такой объём трафика обычно полностью покрывает потребности большинства сайтов и сервисов и стоит всего 500 рублей в месяц.

Важно понимать, что указанный лимит относится не к скорости интернет-канала. Доступная пропускная способность сервера остаётся на уровне 500 Мбит/с. Лимит обозначает только предоплаченный объём входящего трафика за месяц.

Если заранее сложно определить необходимый объём, можно выбрать минимальный тариф и при необходимости увеличить его позже.

В большинстве случаев самостоятельно справиться с DDoS-атакой невозможно.

Самый распространённый и при этом самый дешёвый способ атаки – это переполнение сетевого канала сервера. В такой ситуации весь атакующий трафик уже поступает на порт сервера, и программные средства защиты внутри системы, такие как фаервол или брандмауэр, не могут решить проблему.

Поскольку канал заполняется огромным количеством пакетов за считанные секунды, незащищённый сервер практически сразу становится недоступным для пользователей.

Определить источник атаки крайне сложно. Как правило, трафик генерируется тысячами заражённых устройств по всему миру, которые сами получают команды от других промежуточных серверов.

Иногда для организации атак используются арендуемые серверы, зарегистрированные на подставные данные. По этой причине расследование подобных инцидентов требует серьёзных технических ресурсов и участия специализированных компаний.

Если на сервере подключена услуга защиты от DDoS, работа сервиса обычно продолжается без заметных изменений – система фильтрации автоматически отделяет легитимный трафик от атакующего.

Если защита не подключена, система мониторинга может временно отключить IP-адрес сервера примерно через минуту после начала атаки. Это делается для того, чтобы атакующий трафик не влиял на работу других серверов в инфраструктуре.

Повторная активация IP-адреса возможна в течение 72 часов, если мощность атаки была небольшой (до 3 Гбит/с). При более сильных атаках обслуживание сервера может быть возобновлено только после подключения защиты от DDoS.

Если сервер был заблокирован из-за атаки, на указанный в личных данных адрес электронной почты будет отправлено уведомление.