Что такое DDoS-атака

1920x1080 Что такое DDoS-атака (1) (1).png

DDoS-атака — тип кибератаки, при которой злоумышленники отправляют поддельные запросы на сервер или сеть с целью перегрузить их и сделать недоступными для обычных пользователей. Запросы могут идти как от множества источников в одну цель, так и одновременно по нескольким целям от одного источника.

Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что означает «распределенный отказ в обслуживании». Это такая атака, при которой множество устройств, заражённых злоумышленником, одновременно перегружают сайт или сеть, делая их недоступными. DDoS — это более масштабная версия DoS-атаки, при которой используются ресурсы одного устройства, а не множества.

Стандартная схема DDoS-атаки включает в себя заражение устройств, которые подключены к интернету (компьютеры, телефоны, роутеры и другие девайсы), создавая сеть, называемую «ботнет». Его задача отправлять огромное количество запросов на целевой сервер или сеть жертвы. Атакуемый ресурс в результате станет недоступным для пользователей, так как он не выдержит нагрузки трафика. Это может привести к потере прибыли для интернет-магазинов или краже данных, которые злоумышленники могут использовать для шантажа. Что бы ваш роутер не стал частью ботнета, рекомендуем защитить его — инструкция по защите роутера от ddos-атак

Массовая атака на сеть не всегда полагается на взломанные устройства — роль ботнета может выполнять легитимный трафик другого приложения (например, Misused Application) или отряд хактивистов — например, виртуальная сидячая забастовка.

Определить когда начинается DDoS-атака можно по резко увеличивающейся нагрузке на сеть. Заметен большой объем трафика на портах соединений, что приводит к выдаче сервером ошибок 502, 503 и 504. Работа сайта заметно замедляется. Процессор и оперативная память также испытывают значительную нагрузку, так как пытаются обработать множество запросов.

Одновременно с этим, увеличивается количество обращений к базам данных и другим внутренним сервисам, что еще больше перегружает систему. Многократные обращения к одним и тем же файлам или страницам сайта исчерпывают ресурсы сервера, который не справляется с обработкой запросов. 

Также можно заметить, что обращения пользователей не соответствуют тематике веб-ресурса. Например, если это магазин товаров для велоспорта в определенном городе, внезапный массовый трафик со всего мира вызывает подозрения.

Простыми словами принцип работы DDoS-атаки следующий:

  1. Злоумышленник использует ботнет, чтобы отправить вредоносный трафик на сайт-жертву. 
  2. Ботнет генерирует массу запросов: от нескольких тысяч до миллионов.
  3. Веб-сервер не выдерживает подобной нагрузки и выходит из строя.
Схема ddos атаки — DDoS-Guard

Пример DDoS-атаки

В 2023 году корпорация Google столкнулась с самой мощной DDoS-атакой в истории. Ее интенсивность составляла 398 миллионов запросов в секунду. Специалистам удалось сохранить работоспособность сервисов благодаря инфраструктуре распределения нагрузки. Эксперты проанализировали возможные причины и выявили уязвимость CVE-2023-44487 в сетевом протоколе HTTP/2, которой и воспользовались злоумышленники. Google регулярно публикуют информацию о найденных и устраненных уязвимостях на своих веб-ресурсах. В нашем блоге вы можете найти подборку других крупных DDoS-атак в истории.

Видов DDoS-атак множество, но в этой статье мы рассмотрим только три наиболее распространенных типа, а полную классификацию DDoS-атак читайте в нашем расширенном руководстве.

Объемные 

Объемные — кибератака, при которой злоумышленники используют большое количество устройств для одновременной отправки огромного объема трафика на целевой сервер. Эти действия переполняют каналы связи жертвы и препятствуют доставке легитимного трафика.  

Пример: 
ICMP-флуд — атакующие отправляют на сервер-жертву большое количество поддельных ICMP-пакетов с широкого диапазона IP-адресов, чтобы заполнить канал и вызвать перегрузку сервера. Гайд по защите ID от DDoS-атак.

Протокольные 

Протокольные - направлены на эксплуатацию уязвимостей и особенностей работы в протоколах сетевого взаимодействия, таких как TCP/IP, DNS и других.

Пример: 
SYN flood или Slowloris — относительно небольшим количеством запросов атакующий заставляет жертву потратить все ресурсы на поддержание и обслуживание бесполезных соединений. Такие атаки хоть и небольшие и медленные, но их нельзя игнорировать, а почему это может быть опасно рассказываем в статье «Небольшие DDoS-атаки: почему их нельзя игнорировать».

Атаки прикладного уровня

Атаки прикладного уровня (Application Layer DDoS attack) — нацелены на ресурсы сервера — веб-сайты, API и DNS-серверы. Механизм атаки строится на отправке большого количества поддельных запросов, которые выдаются за легитимные.

Пример: 
DDoS-атаки прикладного уровня включают в себя HTTP-флуд, атаки на DNS, а также на SSL/TLS соединения, ковровая атака.

Тип DDoS-атакиВ чем измеряетсяОсобенностиПримерыЗащита
ОбъемнаяОбъем трафика (бит/с)Направлена на перегрузку каналов связиUDP Flood, 
ICMP Flood		Использование CDN, фильтрация трафика на уровне сети
ПротокольнаяКоличество запросов в секунду (PPS)Эксплуатация уязвимостей в протоколах SYN Flood, ACK FloodНастройка сетевых устройств для обнаружения и блокировки аномального трафика
На уровне приложенияЗапросы к серверу в секунду (RPS)Направлена на исчерпание ресурсов сервераHTTP Flood, SlowlorisИспользование WAF, балансировка нагрузки, кэширование данных, тест-CAPTCHA
Сравнение типов атак на сеть 

Все перечисленные меры, такие как использование CDN, фильтрация трафика, WAF и CAPTCHA, по умолчанию входят в услугу по защите выделенного сервера. Читайте об этом подробнее в статье «Защищенные от DDoS выделенные серверы: что это за услуга».

Одни из самых распространенных причин  — это вымогательство и недобросовестная конкуренция.

  1. Конкурентная борьба. Организации могут заказать атаку, чтобы нанести ущерб бизнесу конкурента или временно вывести его из игры.
  2. Вымогательство. Злоумышленники атакуют компании и манипулируют прекращением угрожающих действий только после уплаты выкупа.
  3. Политические мотивы. Группы или отдельные хакеры могут использовать DDoS в рамках политических протестов или для выражения своих взглядов на различные общественно-политические проблемы.
  4. Развлечение. Некоторые злоумышленники проводят атаки для развлечения, демонстрации навыков или привлечения внимания к своей личности.

Главная цель — перегрузить ресурсы целевой системы, чтобы она стала недоступной для легитимных пользователей.

Атаке злоумышленников может подвергнуться любой проект, независимо от его сферы деятельности или размера, например:

  • Веб-сайты. Любой веб-ресурс, включая сайты электронной коммерции, новостные порталы, блоги, форумы, социальные сети и другие. Гайд по защите сайта от DDoS.
  • Корпоративные сети и организации. Целью DDoS-атак могут стать как крупные корпорации, так и небольшие проекты. Гайд по защите сети от DDoS-атак.
  • Игровые серверы. Онлайн-игры и игровые платформы часто становятся мишенью злоумышленников, особенно при большом количестве активных пользователей. В нашей статье «DDoS в игровых сервисах» мы рассказали об уязвимых местах и мерах защиты. А более подробные инструкции по защите выделенного и Minecraft серверов вы найдете в отдельных гайдах. Рекомендуем устранить уязвимости игровых сервисах заранее. 
  • Облачные сервисы. Сервисы облачного хранения данных и виртуальные частные сети.

Успешная массовая атака на сеть может не только нанести серьезный финансовый ущерб организации, но и значительно навредить репутации из-за полной или частичной остановки бизнес-процессов.

  1. Перегрузка и сбои сети. Может привести к временной или полной недоступности веб-ресурсов для легитимных пользователей.
  2. Потеря дохода. В результате компания может потерять доступ к своим онлайн-сервисам, что приведет к крупным денежным потерям. Это особенно критично для компаний, зависящих от онлайн-продаж. 
  3. Ущерб репутации. Длительные перерывы и сбои в подключении, негативно скажутся на репутации компании, а пользователи потеряют доверие к бренду.  
  4. Потеря данных. В некоторых случаях DDoS могут использоваться как отвлекающий маневр для более опасных кибератак, которые нацелены на кражу конфиденциальных данных или внедрение вредоносных программ.
  5. Дополнительные расходы на устранение последствий. После успешной атаки на сайт или сеть, компания будет вынуждена потратить дополнительные ресурсы на восстановление своей деятельности.
  6. Юридические последствия. В зависимости от характера атаки, бизнес может столкнуться с юридическими последствиями, такими как иски со стороны клиентов, ущерб за нарушение SLA или судебные издержки.

Мы написали подробную статью на тему «Чем опасны DDoS-атаки», где также рассказали, кто чаще всего становится жертвой подобных угроз.

Чем раньше вы распознаете её признаки, тем быстрее сможете принять меры и минимизировать ущерб. Лучше всего с обнаружением атак справляются автоматические системы: они мгновенно идентифицируют угрозы, которые практически невозможно выявить вручную, — такие как упомянутые выше маломощные и медленные атаки. Список типичных признаков, на которые стоит обратить внимание в первую очередь при подозрении на DDoS-атаку:

  • существенно увеличилась нагрузка на сеть;
  • увеличился объем трафика на порты соединений;
  • сайт выдает ошибки 502, 503, 504 и медленно работает;
  • резко возрастает нагрузка на процессор и оперативную память;
  • увеличивается количество запросов к базам данных или к другим внутренним сервисам;
  • появляются многократные обращения пользователей к одним и тем же файлам или страницам сайта;
  • обращения пользователей не соответствуют тематике веб-ресурса (например, магазин товаров для велоспорта из Твери, а трафик массово начал идти со всего мира).

Перечень методов обнаружения DDoS атаки на сайт.

Чтобы обеспечить безопасность, веб-ресурсу следует принять ряд профилактических и превентивных мер защиты, а также ознакомится с руководством по защите от DDoS

Превентивные меры

  • Используйте межсетевые экраны.
  • Регулярно обновляйте программное обеспечение.
  • Разработайте и внедрите план реагирования на киберинциденты.
  • Проводите обучения, чтобы сотрудники были готовы к непредвиденным ситуациям.
  • Проводите нагрузочное тестирование, чтобы оценить устойчивость веб-ресурса к высокому объему трафика.
  • Выполните шаги по предотвращению ddos-атаки.
Шаги по предотвращению DDoS-атак.jpg

Если вы столкнулись с ситуацией, когда не можете попасть на сайт из-за блокировки хостинг-провайдером или сервисом защиты, вам следует знать, что такую защиту отключить нельзя.

Виды защиты от DDoS-атак

В отдельных материалах мы подробно разобрали, что такое защита от DDoS-атак и какие способы защиты существуют. У каждого способа защиты от DDoS-атак есть свои сильные и слабые стороны:

  • Локальная защита (On-Premise) — фильтрует трафик прямо в защищаемой инфраструктуре, благодаря установке специализированных программно-аппаратных комплексов. Ставите у себя «железо» и трафик фильтруется прямо в своей инфраструктуре. Контроль максимальный, но и нагрузка на оборудование тоже ваша.

Иногда в качестве базового уровня и самостоятельного решения используют настройку Nginx для защиты от DDoS — ограничение соединений и простая фильтрация помогают отбить примитивные атаки, но против большого объема трафика это не работает.

  • Облачная защита по запросу (On-Demand Cloud) — работает как «страховка». В обычное время всё идёт напрямую, а когда начинается атака, трафик перенаправляется на фильтрацию. Экономия очевидна, но включение занимает время. Решение подходит для тех, кто сталкивается с сезонными атаками, например, для учебных заведений.
  • Постоянная облачная защита (Always-On Cloud) — фильтрация включена 24/7, атаки отражаются автоматически.
  • Гибридная защита (Hybrid DDoS protection) — золотая середина: часть нагрузки берёт на себя локальное оборудование, остальное — облако. Такой вариант чаще выбирают крупные проекты.

Отдельно стоит упомянуть защиту через BGP-маршрутизацию: весь трафик перенаправляется к провайдеру защиты, где отсекается мусор, а «чистые» запросы доходят до сервера. Это популярный вид перенаправления трафика. Если вы намерены защитить локальный сервер, следует ознакомится с особенностями его защиты.

И, конечно, всегда возникает вопрос цены. Защита может стоить совсем по-разному: всё зависит от выбранного подхода, параметров тарифа и масштаба инфраструктуры. Мы подробно разобрали этот вопрос цены на защиту от DDoS в статье о стоимости.

Перед выбором защиты рекомендуем к ознакомлению: 

Что делать во время DDoS

Следуйте рекомендациям, чтобы минимизировать негативные последствия, а также помните, что самостоятельно устранить кибератаку на ресурс невозможно. Обезопасить компанию от действий злоумышленников поможет профессиональный провайдер защиты. 

  1. Оцените нагрузку на свои ресурсы — свяжитесь с хостинг-провайдером и запросите мониторинг доступности. 
    Важно чтобы выбранный вами хостинг имел технологии защиты от DDoS и мог предоставить данные. 
  2. Запросите информацию у хостера о своем ресурсе, чтобы проверить, действительно ли на него идет атака.
  3. Определите характер атакующего трафика с помощью специальных программ-анализаторов типа WireShark. Это поможет при подборе оптимального решения по защите.
  4. Подключите сервис защиты от DDoS-атак, который оперативно отразит вредоносный трафик. 

При наличии технического опыта выполните следующие действия: 

Проверьте доступность сайта с помощью внешних ресурсов — check-host, ping-admin, ping.pe. 
Очистите файлы логов access/error.

Если вам угрожают DDoS-атакой, важно предупредить провайдера и подключить средства защиты, а подробный разбор шагов и решений мы собрали в статье «Что делать, если вам угрожают DDoS-атакой» 

  • Определите активные элементы вашей инфраструктуры и составьте план их расположения.
  • Закройте базы данных от посторонних и убедитесь, что IP-адреса не скомпрометированы.
  • Настройте фаерволл так, чтобы доступ остался только для доверенных адресов и сетей.
  • Разграничьте используемые ресурсы для сайтов, которые находятся на вашем сервере.

Профилактические меры

  • Изучите свою инфраструктуру и выявите уязвимые места в программных компонентах своей операционной системы, базах данных и антивирусных программах.
  • Используйте технологию CDN, чтобы распределить нагрузку и ускорить доставку контента.
  • Регулярно анализируйте сетевой трафик и изучайте поток запросов, чтобы понимать, как выглядит нормальное и аномальное состояние трафика вашего веб-ресурса.
  • Подключите профессиональную защиту от DDoS — это один из самых надежных и простых способов защитить веб-ресурс от вредоносной активности хакеров и ботнетов. 

Рассмотрите защиту на уровне L7, если хотите обезопасить веб-ресурс от DDoS-атак на уровне приложения. Чтобы обеспечить защиту всей сети, подключите услугу защиты сети на уровне L3-4.

Сколько длится DDoS?

От нескольких секунд до нескольких дней. В среднем атака длится до 20 минут.

Как происходит DDoS?

Хакер заражает компьютеры, телефоны, роутеры и другие устройства, подключённые к интернету, тем самым формируя сеть — ботнет. Эта сеть заражённых устройств начинает массово отправлять запросы на цель атаки — сервер или сеть жертвы. Большой объём трафика перегружает систему, и сервис становится недоступным для пользователей. Если кратко то DDoS происходит следующим образом:

  1. Заражаются устройства, подключённые к интернету — формируется ботнет. 
  2. Ботнет, состоящий из тысяч (а иногда и миллионов) устройств, отправляет запросы на цель атаки.
  3. Ресурс-жертва выходит из строя, не выдерживая такого количества входящих запросов.

Частью ботнета может стать любое устройство, подключённое к интернету — другими словами все IoT-устрйова уязвимы. Как не сделать своё устройство «добровольцем» для ботнета — подробно рассказано в статье «DDoS-атаки и интернет вещей (IoT)»

В чем измеряется DDoS?

Для определения мощности DDoS-атаки используют несколько параметров:

Объем — измеряется в битах в секунду (BPS). 
Скорость — измеряется в пакетах в секунду (PPS). 
Количество запросов в секунду — (RPS).

Какая ответственность за проведение DDoS-атаки?

Организация DDoS-атак квалифицируется в соответствии с нормами УК РФ о преступлениях в компьютерной сфере: статья 272 УК РФ, статья 273 УК РФ. Нарушитель может получить штраф или уголовное наказание, в том числе лишение свободы сроком до 7 лет.

Существует ли бесплатная защита от DDoS?

Существует, но в качестве услуги фильтрации входящего трафика на базе технологии Reverse Proxy. Подробнее тему бесплатной защиты мы разобрали в статье «Бесплатная защита от DDoS-атак: что может предложить рынок»

Какова тенденция DDoS-атак? 

Прогноз по тенденциям DDoS-атак — это всегда динамичный процесс, так как злоумышленники постоянно ищут новые методы. Чтобы ответить на ваш вопрос, достаточно изучать наши ежегодные отчеты: 

 

Поделиться:

Читайте также

1920x1080 Ковровые DDoS-атаки (1).png

Термины

Ковровые DDoS-атаки: что это, основные цели и причины популярности среди злоумышленников

DDoS-атаки давно стали одной из самых распространенных форм киберугроз. О ней и поговорим в этой статье.

9 мин
156
Обложка: Модель OSI

Термины

Что такое модель OSI

Рассказываем, как устройства «общаются» между собой, зачем нужна модель TCP/IP, если есть эталонная OSI.

12 мин
209
Обложка статьи: Дайджест новостей за Q2 2026

Отчёты

Дайджест событий в мире кибербезопасности за второй квартал 2025 года

Рассказываем о самых ярких киберсобытиях за второй квартал 2025 года и делимся актуальными тенденциями DDoS-атак.

369