Что такое DDoS-атака

1920x1080 Что такое DDoS-атака (1) (1).png

DDoS-атака — это тип кибератаки, при которой злоумышленники отправляют поддельные запросы на сервер или сеть с целью перегрузить их и сделать недоступными для обычных пользователей. Запросы могут поступать как от множества источников к одному ресурсу, так и от одного источника сразу к нескольким ресурсам

Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что означает «распределенный отказ в обслуживании». Это такая атака, при которой множество устройств, заражённых злоумышленником, одновременно перегружают сайт или сеть, делая их недоступными. DDoS — это более масштабная версия DoS-атаки, при которой используются ресурсы одного устройства, а не множества.

Стандартная схема DDoS-атаки включает в себя заражение устройств, которые подключены к интернету (компьютеры, телефоны, роутеры и другие девайсы), создавая сеть, называемую «ботнет». Его задача отправлять огромное количество запросов на сервер или сеть жертвы. Атакуемый ресурс в результате станет недоступным для пользователей, так как он не выдержит нагрузки трафика. Это может привести к потере прибыли для интернет-магазинов или краже данных, которые злоумышленники могут использовать для шантажа. Что бы ваш роутер не стал частью ботнета, рекомендуем защитить его — инструкция по защите роутера от ddos-атак

Массовая атака на сеть не всегда полагается на взломанные устройства — роль ботнета может выполнять легитимный трафик другого приложения (например, Misused Application) или отряд хактивистов — например, виртуальная сидячая забастовка.

Определить когда начинается DDoS-атака можно по резко увеличивающейся нагрузке на сеть. Заметен большой объем трафика на портах соединений, что приводит к выдаче сервером ошибок 502, 503 и 504. Работа сайта заметно замедляется. Процессор и оперативная память также испытывают значительную нагрузку, так как пытаются обработать множество запросов.

Одновременно с этим, увеличивается количество обращений к базам данных и другим внутренним сервисам, что еще больше перегружает систему. Многократные обращения к одним и тем же файлам или страницам сайта исчерпывают ресурсы сервера, который не справляется с обработкой запросов. 

Также можно заметить, что обращения пользователей не соответствуют тематике веб-ресурса. Например, если это магазин товаров для велоспорта в определенном городе, внезапный массовый трафик со всего мира вызывает подозрения.

Простыми словами принцип работы DDoS-атаки следующий:

  1. Злоумышленник использует ботнет, чтобы отправить вредоносный трафик на сайт-жертву. 
  2. Ботнет генерирует массу запросов: от нескольких тысяч до миллионов.
  3. Веб-сервер не выдерживает подобной нагрузки и выходит из строя.
Схема ddos атаки — DDoS-Guard

Пример DDoS-атаки

В 2023 году корпорация Google столкнулась с самой мощной DDoS-атакой в истории. Ее интенсивность составляла 398 миллионов запросов в секунду. Специалистам удалось сохранить работоспособность сервисов благодаря инфраструктуре распределения нагрузки. Эксперты проанализировали возможные причины и выявили уязвимость CVE-2023-44487 в сетевом протоколе HTTP/2, которой и воспользовались злоумышленники. Google регулярно публикуют информацию о найденных и устраненных уязвимостях на своих веб-ресурсах. В нашем блоге вы можете найти подборку других крупных DDoS-атак в истории.

Видов DDoS-атак множество, но в этой статье мы рассмотрим только три наиболее распространенных типа, а полную классификацию DDoS-атак читайте в нашем расширенном руководстве.

Объемные 

Объемные — кибератака, при которой злоумышленники используют большое количество устройств для одновременной отправки огромного объема трафика на сервер жертвы. Эти действия переполняют каналы связи жертвы и препятствуют доставке легитимного трафика.  

Пример: 
ICMP-флуд — атакующие отправляют на сервер-жертву большое количество поддельных ICMP-пакетов с широкого диапазона IP-адресов, чтобы заполнить канал и вызвать перегрузку сервера. Гайд по защите ID от DDoS-атак.

Протокольные 

Протокольные - направлены на эксплуатацию уязвимостей и особенностей работы в протоколах сетевого взаимодействия, таких как TCP/IP, DNS и других.

Пример: 
SYN flood или Slowloris — относительно небольшим количеством запросов атакующий заставляет жертву потратить все ресурсы на поддержание и обслуживание бесполезных соединений. Такие атаки хоть и небольшие и медленные, но их нельзя игнорировать, а почему это может быть опасно рассказываем в статье «Небольшие DDoS-атаки: почему их нельзя игнорировать».

Атаки прикладного уровня

Атаки прикладного уровня (Application Layer DDoS attack) — нацелены на ресурсы сервера — веб-сайты, API и DNS-серверы. Механизм атаки строится на отправке большого количества поддельных запросов, которые выдаются за легитимные.

Пример: 
DDoS-атаки прикладного уровня включают в себя HTTP-флуд, атаки на DNS, а также на SSL/TLS соединения, ковровая атака.

Тип DDoS-атакиВ чем измеряетсяОсобенностиПримерыЗащита
ОбъемнаяОбъем трафика (бит/с)Направлена на перегрузку каналов связиUDP Flood, 
ICMP Flood		Использование CDN, фильтрация трафика на уровне сети
ПротокольнаяКоличество запросов в секунду (PPS)Эксплуатация уязвимостей в протоколах SYN Flood, ACK FloodНастройка сетевых устройств для обнаружения и блокировки аномального трафика
На уровне приложенияЗапросы к серверу в секунду (RPS)Направлена на исчерпание ресурсов сервераHTTP Flood, SlowlorisИспользование WAF, балансировка нагрузки, кэширование данных, тест-CAPTCHA
Сравнение типов атак на сеть 

Все перечисленные меры, такие как использование CDN, фильтрация трафика, WAF и CAPTCHA, по умолчанию входят в услугу по защите выделенного сервера. Читайте об этом подробнее в статье «Защищенные от DDoS выделенные серверы: что это за услуга».

Аномалия трафика может быть началом DDoS-атаки

DDoS-атака может выглядеть как всплеск обычного трафика — пока не становится слишком поздно. DDoS-Guard позволяет увидеть угрозу вовремя и предотвратить сбои:

 

  • Защита от DDoS с первого запроса и без блокировки по IP
  • Бесплатный DNS‑хостинг с доступом к управлению
  • Детальная аналитика в личном кабинете
  • Бесплатный пробный период

Подключить защиту от DDoS-атак

Одни из самых распространенных причин  — это вымогательство и недобросовестная конкуренция.

  1. Конкурентная борьба. Организации могут заказать атаку, чтобы нанести ущерб бизнесу конкурента или временно вывести его из игры.
  2. Вымогательство. Злоумышленники атакуют компании и манипулируют прекращением угрожающих действий только после уплаты выкупа.
  3. Политические мотивы. Группы или отдельные хакеры могут использовать DDoS в рамках политических протестов или для выражения своих взглядов на различные общественно-политические проблемы.
  4. Развлечение. Некоторые злоумышленники проводят атаки для развлечения, демонстрации навыков или привлечения внимания к своей личности.

Основная цель DDoS-атаки — перегрузка вычислительных, сетевых или прикладных ресурсов системы. В результате сервис становится недоступным для легитимных пользователей полностью или частично.

Дополнительные цели могут включать финансовый ущерб, репутационные потери, отвлечение внимания от других атак и демонстрацию силы злоумышленников.

Кто становится жертвой DDoS-атак

DDoS-атакам может подвергнуться любая организация независимо от отрасли, масштаба бизнеса и географии. Однако на практике существует ряд секторов, которые атакуются чаще других.

Финансовый сектор

Финансовые организации являются одной из основных целей DDoS-атак. К ним относятся банки, платежные системы, онлайн-банкинг, инвестиционные платформы и страховые компании с цифровыми сервисами.

Интерес злоумышленников обусловлен прямой финансовой мотивацией. DDoS-атаки используются для шантажа, отвлечения ресурсов службы безопасности, кражи данных и последующих мошеннических операций.

По нашим данным, в 2024 году количество атак на финансовый сектор значительно выросло.

Телеком-операторы и провайдеры инфраструктуры

Телекоммуникационные компании стабильно входят в число наиболее атакуемых отраслей. В эту категорию входят интернет-провайдеры, мобильные операторы, хостинг-провайдеры и дата-центры.

Атаки на телеком-инфраструктуру имеют высокий эффект, поскольку приводят к сбоям в работе большого числа зависимых сервисов и клиентов. Вместо точечных атак на отдельные сайты злоумышленники выбирают воздействие на ключевые узлы связи и облачной инфраструктуры. Для противодействия таким угрозам предлагаем ознакомиться с руководством по защите сети от DDoS-атак.

Основные мотивы атак — вымогательство, конкурентное давление и использование DDoS как прикрытия для последующих атак на клиентов провайдера.

Ритейл и коммерческие онлайн-сервисы

К этой категории относятся розничные сети, интернет-магазины и e-commerce платформы.

DDoS-атаки в ритейле чаще всего связаны с недобросовестной конкуренцией, попытками сорвать распродажи или пиковые периоды продаж. Дополнительным фактором является низкий порог входа: ботнеты стали относительно дешевыми и доступными. Практические меры по снижению подобных рисков описаны в материалах, посвящённых защите сайтов от DDoS-атак.

Государственные порталы и сервисы

Государственные информационные ресурсы регулярно становятся объектами DDoS-атак. В эту группу входят порталы госуслуг, сайты министерств, ведомств и региональных администраций.

Основные причины атак — выражение протеста, привлечение внимания к социальным или политическим вопросам, а также элементы кибервойны и информационного давления.

Игровые платформы и серверы

Игровые сервисы часто подвергаются DDoS-атакам из-за высокой нагрузки и большого числа активных пользователей. В категорию входят онлайн-игры, игровые серверы, платформы для гейминга и киберспортивные сервисы. Особенности защиты игровых и выделенных серверов от DDoS-атак рассматриваются в специализированных материалах.

Атаки используются для создания задержек, отключения серверов или сбоев в авторизации. Это может давать конкурентное преимущество, срывать турниры или использоваться для вымогательства. В киберспорте подобные инциденты нередко приводят к приостановке матчей и репутационным потерям. Уязвимости, характерные для игровых сервисов, а также методы их минимизации описаны в отдельных обзорах. Для специализированных игровых сред, такие как Minecraft-серверы, применяются отдельные подходы к защите.

Облачные сервисы и CDN

Облачные сервисы являются критически важной частью ИТ-инфраструктуры бизнеса. Они используются для хранения данных, размещения веб-приложений, хостинга и предоставления платформенных сервисов.

К этой категории относятся публичные облака форматов IaaS и PaaS, CDN-сети и облачные хранилища. DDoS-атаки на облачную инфраструктуру опасны тем, что могут затронуть сразу большое количество зависимых сервисов и клиентов.

Наличие встроенных механизмов защиты от DDoS является одним из ключевых критериев при выборе поставщика облачных услуг. Методы оценки и тестирования эффективности DDoS-защиты рассматриваются в отдельных аналитических материалах.

Мотивы атакующих: 

Экономические мотивы

  • Получение конкурентного преимущества за счет нарушения работы конкурента.
  • Атаки на бизнес-инфраструктуру с целью остановки процессов, срыва поставок или снижения доходов.
  • Воздействие на игровые и коммерческие сервисы для снижения их популярности.

Криминальный заработок

  • Кража финансовых средств.
  • Шантаж и вымогательство, включая угрозы продолжения атак.
  • Кража и последующая продажа конфиденциальных данных.

Политические и идеологические цели (хактивизм)

  • Продвижение политических идей и протестных движений.
  • Публикация компрометирующей информации.
  • Атаки на государственные и критические объекты инфраструктуры.
  • привлечения внимания к экологическим проблемам;
  • защиты прав животных;
  • борьбы за свободу информации и доступ к данным

В отдельных случаях подобные действия являются частью кибервойны или государственного шпионажа.

Социальные и репутационные цели

  • Нанесение репутационного ущерба компаниям и публичным лицам.
  • Фальсификация данных или публикаций от имени жертвы.
  • Использование громких атак для отвлечения внимания от других действий.

Личные мотивы

  • Личная неприязнь и месть.
  • Самоутверждение и демонстрация технических навыков.
  • Вандализм и развлечение, характерные для начинающих злоумышленников.

На практике одна DDoS-атака может преследовать сразу несколько целей. Например, личная неприязнь может сочетаться с экономической выгодой и репутационным ущербом для жертвы.

Мы написали подробную статью на тему «Чем опасны DDoS-атаки», где также рассказали, кто чаще всего становится жертвой подобных угроз.

Чем раньше вы распознаете её признаки, тем быстрее сможете принять меры и минимизировать ущерб. Лучше всего с обнаружением атак справляются автоматические системы: они мгновенно идентифицируют угрозы, которые практически невозможно выявить вручную, — такие как упомянутые выше маломощные и медленные атаки. Список типичных признаков, на которые стоит обратить внимание в первую очередь при подозрении на DDoS-атаку:

  • существенно увеличилась нагрузка на сеть;
  • увеличился объем трафика на порты соединений;
  • сайт выдает ошибки 502, 503, 504 и медленно работает;
  • резко возрастает нагрузка на процессор и оперативную память;
  • увеличивается количество запросов к базам данных или к другим внутренним сервисам;
  • появляются многократные обращения пользователей к одним и тем же файлам или страницам сайта;
  • обращения пользователей не соответствуют тематике веб-ресурса (например, магазин товаров для велоспорта из Твери, а трафик массово начал идти со всего мира).

Перечень методов обнаружения DDoS атаки на сайт.

Чтобы обеспечить безопасность, веб-ресурсу следует принять ряд профилактических и превентивных мер защиты, а также ознакомится с руководством по защите от DDoS

Превентивные меры

  • Используйте межсетевые экраны.
  • Регулярно обновляйте программное обеспечение.
  • Разработайте и внедрите план реагирования на киберинциденты.
  • Проводите обучения, чтобы сотрудники были готовы к непредвиденным ситуациям.
  • Проводите нагрузочное тестирование, чтобы оценить устойчивость веб-ресурса к высокому объему трафика.
  • Выполните шаги по предотвращению ddos-атаки.
Шаги по предотвращению DDoS-атак.jpg

Если вы столкнулись с ситуацией, когда не можете попасть на сайт из-за блокировки хостинг-провайдером или сервисом защиты, вам следует знать, что такую защиту отключить нельзя.

Виды защиты от DDoS-атак

В отдельных материалах мы подробно разобрали, что такое защита от DDoS-атак и какие способы защиты существуют. У каждого способа защиты от DDoS-атак есть свои сильные и слабые стороны:

  • Локальная защита (On-Premise) — фильтрует трафик прямо в защищаемой инфраструктуре, благодаря установке специализированных программно-аппаратных комплексов. Ставите у себя «железо» и трафик фильтруется прямо в своей инфраструктуре. Контроль максимальный, но и нагрузка на оборудование тоже ваша.

Иногда в качестве базового уровня и самостоятельного решения используют настройку Nginx для защиты от DDoS — ограничение соединений и простая фильтрация помогают отбить примитивные атаки, но против большого объема трафика это не работает.

  • Облачная защита по запросу (On-Demand Cloud) — работает как «страховка». В обычное время всё идёт напрямую, а когда начинается атака, трафик перенаправляется на фильтрацию. Экономия очевидна, но включение занимает время. Решение подходит для тех, кто сталкивается с сезонными атаками, например, для учебных заведений.
  • Постоянная облачная защита (Always-On Cloud) — фильтрация включена 24/7, атаки отражаются автоматически.
  • Гибридная защита (Hybrid DDoS protection) — золотая середина: часть нагрузки берёт на себя локальное оборудование, остальное — облако. Такой вариант чаще выбирают крупные проекты.

Отдельно стоит упомянуть защиту через BGP-маршрутизацию: весь трафик перенаправляется к провайдеру защиты, где отсекается мусор, а «чистые» запросы доходят до сервера. Это популярный вид перенаправления трафика. Если вы намерены защитить локальный сервер, следует ознакомится с особенностями его защиты.

И, конечно, всегда возникает вопрос цены. Защита может стоить совсем по-разному: всё зависит от выбранного подхода, параметров тарифа и масштаба инфраструктуры. Мы подробно разобрали этот вопрос цены на защиту от DDoS в статье о стоимости.

Перед выбором защиты рекомендуем к ознакомлению: 

Сервис защиты от DDoS-атак

DDoS-Guard специализируется на защите сетевой инфраструктуры и веб-сервисов уже более 15 лет. Под нашей защитой находятся сотни тысяч проектов

Решения DDoS-Guard

Что делать во время DDoS

Следуйте рекомендациям, чтобы минимизировать негативные последствия, а также помните, что самостоятельно устранить кибератаку на ресурс невозможно. Обезопасить компанию от действий злоумышленников поможет профессиональный провайдер защиты. 

  1. Оцените нагрузку на свои ресурсы — свяжитесь с хостинг-провайдером и запросите мониторинг доступности. 
    Важно чтобы выбранный вами хостинг имел технологии защиты от DDoS и мог предоставить данные. 
  2. Запросите информацию у хостера о своем ресурсе, чтобы проверить, действительно ли на него идет атака.
  3. Определите характер атакующего трафика с помощью специальных программ-анализаторов типа WireShark. Это поможет при подборе оптимального решения по защите.
  4. Подключите сервис защиты от DDoS-атак, который оперативно отразит вредоносный трафик. 

При наличии технического опыта выполните следующие действия: 

Проверьте доступность сайта с помощью внешних ресурсов — check-host, ping-admin, ping.pe. 
Очистите файлы логов access/error.

Если вам угрожают DDoS-атакой, важно предупредить провайдера и подключить средства защиты, а подробный разбор шагов и решений мы собрали в статье «Что делать, если вам угрожают DDoS-атакой» 

  • Определите активные элементы вашей инфраструктуры и составьте план их расположения.
  • Закройте базы данных от посторонних и убедитесь, что IP-адреса не скомпрометированы.
  • Настройте фаерволл так, чтобы доступ остался только для доверенных адресов и сетей.
  • Разграничьте используемые ресурсы для сайтов, которые находятся на вашем сервере.

Профилактические меры

  • Изучите свою инфраструктуру и выявите уязвимые места в программных компонентах своей операционной системы, базах данных и антивирусных программах.
  • Используйте технологию CDN, чтобы распределить нагрузку и ускорить доставку контента.
  • Регулярно анализируйте сетевой трафик и изучайте поток запросов, чтобы понимать, как выглядит нормальное и аномальное состояние трафика вашего веб-ресурса.
  • Подключите профессиональную защиту от DDoS — это один из самых надежных и простых способов защитить веб-ресурс от вредоносной активности хакеров и ботнетов. 

Рассмотрите защиту на уровне L7, если хотите обезопасить веб-ресурс от DDoS-атак на уровне приложения. Чтобы обеспечить защиту всей сети, подключите услугу защиты сети на уровне L3-4.

Сколько длится DDoS?

От нескольких секунд до нескольких дней. В среднем атака длится до 20 минут.

Как происходит DDoS?

Хакер заражает компьютеры, телефоны, роутеры и другие устройства, подключённые к интернету, тем самым формируя сеть — ботнет. Эта сеть заражённых устройств начинает массово отправлять запросы на цель атаки — сервер или сеть жертвы. Большой объём трафика перегружает систему, и сервис становится недоступным для пользователей. Если кратко то DDoS происходит следующим образом:

  1. Заражаются устройства, подключённые к интернету — формируется ботнет. 
  2. Ботнет, состоящий из тысяч (а иногда и миллионов) устройств, отправляет запросы на цель атаки.
  3. Ресурс-жертва выходит из строя, не выдерживая такого количества входящих запросов.

Частью ботнета может стать любое устройство, подключённое к интернету — другими словами все IoT-устрйова уязвимы. Как не сделать своё устройство «добровольцем» для ботнета — подробно рассказано в статье «DDoS-атаки и интернет вещей (IoT)»

В чем измеряется DDoS?

Для определения мощности DDoS-атаки используют несколько параметров:

Объем — измеряется в битах в секунду (BPS). 
Скорость — измеряется в пакетах в секунду (PPS). 
Количество запросов в секунду — (RPS).

Какая ответственность за проведение DDoS-атаки?

Организация DDoS-атак квалифицируется в соответствии с нормами УК РФ о преступлениях в компьютерной сфере: статья 272 УК РФ, статья 273 УК РФ. Нарушитель может получить штраф или уголовное наказание, в том числе лишение свободы сроком до 7 лет.

Существует ли бесплатная защита от DDoS?

Существует, но в качестве услуги фильтрации входящего трафика на базе технологии Reverse Proxy. Подробнее тему бесплатной защиты мы разобрали в статье «Бесплатная защита от DDoS-атак: что может предложить рынок»

Какова тенденция DDoS-атак? 

Прогноз по тенденциям DDoS-атак — это всегда динамичный процесс, так как злоумышленники постоянно ищут новые методы. Чтобы ответить на ваш вопрос, достаточно изучать наши ежегодные отчеты: 

 

Поделиться:

Читайте также

1920x1080 Ковровые DDoS-атаки (1).png

Термины

Ковровые DDoS-атаки: что это, основные цели и причины популярности среди злоумышленников

DDoS-атаки давно стали одной из самых распространенных форм киберугроз. О ней и поговорим в этой статье.

9 мин
280
1920x1080 Дайджест новостей.jpg

Отчёты

Дайджест событий в мире кибербезопасности за третий квартал 2025 года

Собрали все самые яркие события и киберинциденты, которые произошли за третий квартал 2025 года. Также дополнили их нашей собственной аналитикой

22 мин
824
Обложка: Модель OSI

Термины

Что такое модель OSI

Рассказываем, как устройства «общаются» между собой, зачем нужна модель TCP/IP, если есть эталонная OSI.

12 мин
809