Статья 🔐 Защита от DDoS-атак: Полное руководство для малого и среднего бизнеса 🚀

В условиях экономической нестабильности и динамичных рыночных трансформаций эффективность бизнеса всё больше зависит от надёжной работы онлайн-сервисов. Независимо от того, управляете ли вы небольшим интернет-магазином или локальным онлайн-сервисом, DDoS-атака(распределённый отказ в обслуживании) способна парализовать ваши системы, привести к серьёзным финансовым потерям и нанести ущерб репутации. Для компаний с ограниченными ресурсами крайне важно понимать природу угрозы и применять доступные, но эффективные меры защиты. В этом руководстве мы рассмотрим виды DDoS-атак, расскажем о многоуровневой защите и практических примерах настройки.

---

1. Что такое DDoS-атака и почему она опасна для бизнеса​

DDoS (Distributed Denial of Service) — это атака, при которой злоумышленники используют сеть скомпрометированных устройств (ботнет) для одновременной отправки большого объёма запросов к серверу или сети жертвы. Цель — исчерпать ресурсы (пропускную способность, процессор, память) и тем самым сделать сервис недоступным для легитимных пользователей.

1.1 Механизм атаки​

• Сбор ботнета. Злоумышленник заражает множество устройств (ПК, IoT-гаджеты, смартфоны) вредоносным ПО.
• Координация. Центральный сервер управления (C&C) отдает команды ботам.
• Запуск атаки. Все заражённые устройства одновременно начинают отправлять пакеты, HTTP-запросы или устанавливать соединения с целью.
• Перегрузка. Целевая система переполняется запросами и перестаёт обрабатывать легитимный трафик.

1.2 Влияние атаки на бизнес​

• Выручка: простой сайта в пиковый час приводит к прямым убыткам.
• Репутация: клиенты недовольны, появляются негативные отзывы.
• Дополнительные расходы: привлечение специалистов по реагированию и покупка услуг анти-DDoS.
• Юридические риски: нарушение SLA и контрактных обязательств влечёт штрафы.

---

2. Виды DDoS-атак​

Для эффективной защиты необходимо различать три основные категории атак:

Категория	Примеры	Цель
Volumetric	UDP-флуд, ICMP-флуд, DNS Amplification	Забить пропускную способность канала
Protocol	SYN-флуд, ACK-флуд, Ping of Death	Исчерпать ресурсы сетевого стека
Application	HTTP GET/POST-флуд, Slowloris, RUDY	Перегрузить CPU и память веб-сервера

2.1 Volumetric-атаки

• UDP-флуд: массовая рассылка UDP-пакетов на случайные порты; сервер тратит ресурсы на ответы ICMP.
• ICMP-флуд: «пинг-атака» — серия ICMP Echo Request; цель — заполнить канал и нагрузить CPU.
• DNS Amplification: отправка UDP-DNS-запросов с подложным IP жертвы к открытым резолверам; ответы возвращаются многократно усиленным потоком.

2.2 Protocol-атаки​

• SYN-флуд: атака заключается в отправке большого количества SYN-запросов в достаточно короткий срок.
• ACK/FIN-флуд: отправка некорректных TCP-пакетов, вынуждающих сервер тратить ресурсы на их обработку.

2.3 Application-атаки​

• HTTP GET/POST-флуд: множество легитимно выглядящих HTTP-запросов, создающее высокую нагрузку на веб-сервер и базу данных.
• Slowloris: медленное открытие большого числа HTTP-сессий и удержание их живыми путём отправки строк заголовков с паузами.
• RUDY (R U Dead Yet?): аналог Slowloris, но для POST-запросов с большими формами, отправляемыми частями.

Для более глубокого понимания особенностей различных видов DDoS-атак, их технической реализации и современных инструментов можно ознакомиться с подробным обзором, который поможет расширить знание о методах и целях атак.

---

3. Методы защиты​

Многоуровневая защита сочетает облачные сервисы и локальные средства фильтрации.

3.1 Специализированные облачные сервисы​

Сервис	Уровни защиты	Преимущества	Ограничения	Стоимость
Cloudflare	L3–L7	Бесплатный план, простота подключения	Ограниченная гибкость в бесплатном режиме	$0–$200+/мес
StormWall	L3–L7	Поддержка 24/7, геоблокировка, WAF	Цена растёт с объёмом трафика	от $100/мес
NGINX App Protect WAF	L7	Легковесно, глубокая настройка правил	Не защищает от Volumetric-атак на L3/L4	от $50/мес
AWS Shield	L3–L4	Интеграция в AWS, автоматическая защита	Для L7 требует AWS WAF отдельно	включено в EC2

Пример подключения Cloudflare:

# 1. Зарегистрироваться и добавить сайт
# 2. Сменить NS-записи домена на ns1.cloudflare.com, ns2.cloudflare.com
# 3. Включить проксирование DNS (оранжевый облачок)
# 4. При атаке активировать режим «I’m Under Attack»

3.2 Локальная фильтрация трафика​

Для компаний с ограниченными ресурсами отличным решением может стать использование легких скриптов, таких как DDos-deflate — инструмента для автоматического блокирования IP-адресов, вызывающих подозрительную активность.

3.2.1 iptables​

# Ограничение UDP-пакетов на порт 80
iptables -A INPUT -p udp --dport 80 -m limit --limit 20/s --limit-burst 50 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j DROP

# Ограничение входящих SYN-запросов
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 10/s --limit-burst 20 -j RETURN
iptables -A syn-flood -j DROP

3.2.2 GeoIP-фильтрация (Nginx+GeoIP2)​

http {
    geoip2 /etc/nginx/geoip/GeoLite2-Country.mmdb {
        $geoip2_data_country_code country iso_code;
    }
    map $geoip2_data_country_code $allowed_country {
        default no;
        RU yes;
        US yes;
    }
    server {
        if ($allowed_country = no) {
            return 403;
        }
        ...
    }
}

3.2.3 TCP SYN Cookies​

# Включить SYN Cookies на уровне ядра Linux
sysctl -w net.ipv4.tcp_syncookies=1

---

4. Настройка мониторинга и оповещений​

Для быстрого обнаружения аномалий необходима система мониторинга и оповещений.

Инструмент	Особенности	Цена
Zabbix	Open Source, гибкая система триггеров	Бесплатно
Prometheus + Grafana	Масштабируемое хранение метрик, дашборды	Бесплатно
Netdata	Моментальная визуализация, автоматическая настройка	Бесплатно
Datadog	Облачная SaaS-платформа с AI-алертами	от $15/мес

4.1 Пример настройки Zabbix​

1. Установить Zabbix Server и Agent на хост.
2. Импортировать шаблон Template Net Network Generic.
3. Настроить элементы для метрик net.if.in[eth0] и net.if.out[eth0].
4. Создать триггер:
   

   {Template Net:net.if.in[eth0].avg(5m)} > ({Template Net:net.if.in[eth0].avg(1h)} * 2)

5. Настроить уведомления в Slack или Email для мгновенного оповещения.

---

5. Пошаговый план действий при DDoS-атаке​

1. Идентификация атаки
   • Анализ логов веб-сервера, фаервола и CDN.
   • Определить тип (Volumetric, Protocol или Application) и вектор атаки.
2. Локальная фильтрация
   • Активировать rate limiting и GeoIP-фильтры.
   • Включить TCP SYN Cookies на серверах.
3. Подключение облачных сервисов
   • Перенаправить трафик через Cloudflare или StormWall.
   • Включить «Under Attack Mode» или повысить уровень фильтрации.
4. Внутренняя коммуникация
   • Уведомить IT-команду и руководство.
   • Обновить статус для клиентов и партнёров (статус-портал).
5. Анализ после атаки
   • Провести RCA (Root Cause Analysis) и составить отчёт.
   • Обновить правила фильтрации и план реагирования.
   • Регулярно тестировать защиту (симуляции Low Orbit Ion Cannon – LOIC).

# Пример тестирования фильтров LOIC (только в контролируемой среде!)
loic -t http://yourdomain.com -m TCP -p 80 -s 50

---

Заключение и рекомендации​

Защита от DDoS — это многоуровневый процесс, включающий:

• Облачные провайдеры (Cloudflare, StormWall) для автоматического поглощения атак.
• Локальные средства фильтрации (iptables, Nginx GeoIP2, SYN Cookies).
• Чёткий инцидент-менеджмент и план реагирования.
• Непрерывный мониторинг и оповещения (Zabbix, Prometheus, Netdata).

Следуя этому плану, даже при ограниченном бюджете вы сможете повысить устойчивость своего бизнеса к DDoS-угрозам и обеспечить стабильную работу сервисов.