DDoS

Определение простыми словами

Если DoS — это один человек, который ломится в дверь магазина, не давая войти покупателям, то DDoS — это автобус с сотней нанятых людей, делающих то же самое одновременно с разных дверей. Атакующий собирает ботнет из взломанных роутеров, IoT-камер и серверов, и по команде заставляет их слать паразитный трафик на жертву. Сайт не падает «сам» — у него заканчиваются процессорное время, оперативка или ширина канала.

Атаки делят по уровням модели OSI: L3/L4 (флуд UDP/SYN/ICMP-пакетами на сетевом уровне) и L7 (имитация настоящих HTTP-запросов на уровне приложения). L3/L4 фильтруется на уровне дата-центра, L7 — самая дорогая в защите, потому что отличить бота от живого пользователя сложно. Современный пик — атаки 1+ Tbps и сотни миллионов RPS, без специальной защиты их не пережить.

Сравнение

Тип атаки	Уровень	Объём	Чем защищаться
UDP/ICMP флуд	L3/L4	10 Гбит/с — 1+ Тбит/с	Сетевая фильтрация ДЦ, blackhole
SYN-flood	L4	Миллионы pps	SYN cookies, rate-limit
Amplification (DNS, NTP, memcached)	L4	До 50× усиления	BCP38 на провайдере, Anti-DDoS
HTTP-flood	L7	Сотни тыс. RPS	Cloudflare, WAF, JS-challenge
Slowloris	L7	Низкий, но истощает воркеры	Тайм-ауты, mod_reqtimeout
API/credential-stuffing	L7	Постоянный паразитный фон	WAF + поведенческий анализ + CAPTCHA

Кейсы использования (защита)

Игровые серверы. Minecraft, CS, Lineage — частая мишень школьников и конкурентов. Базовая защита L3/L4 от 1 Гбит/с, плюс отдельные правила для игрового протокола.
Сайты в чувствительных нишах. СМИ, политика, финансы, гэмблинг — нужен L7-фильтр на уровне CDN с WAF и behavior-движком.
Интернет-магазины перед распродажей. Конкуренты заказывают атаку перед Чёрной пятницей, чтобы вы потеряли выручку.
API сервисов. Защита от credential stuffing и злоупотреблений — rate-limit по IP/токену + капча на подозрительных запросах.
Когда защита избыточна: внутренний админ-портал в локалке без публичного IP — ботнет физически не достанет, защита не нужна.

Технические детали

Базовый минимум защиты на VPS под Linux перед подключением полноценной Anti-DDoS-услуги:

sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=4096
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 200 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT
apt install fail2ban
fail2ban-client status sshd

Это спасёт от мелких школьных атак, но не от ботнета на 100+ Гбит/с — такие фильтруются только на уровне дата-центра или провайдера CDN. Если проект чувствителен к простоям, выбирайте хостинг с DDoS-защитой или безопасный VPS с включённой фильтрацией L3/L4 и L7-WAF в комплекте.

🔥 Где это применяется

🛡️

Защита от DDoS Хостинг и VPS с L3/L4 и L7-фильтрацией в комплекте

→ 🔒

Безопасный VPS Серверы с включённой Anti-DDoS-фильтрацией и WAF

→ 🎮

DDoS-защита Minecraft Специализированные фильтры для игровых протоколов

→

Частые вопросы

Чем DDoS отличается от DoS?

DoS — атака с одной машины: легко заблокировать по IP. DDoS — то же самое, но с тысяч устройств одновременно (ботнет): просто заблокировать не получится, нужна сетевая фильтрация и поведенческий анализ.

Поможет ли Cloudflare от DDoS?

От L3/L4 и большинства L7-атак — да, бесплатный план Cloudflare останавливает атаки до десятков Гбит/с. От массивных целевых атак на L7 нужны платные тарифы (Pro/Business) с расширенным WAF и Bot Management.

Можно ли защититься от DDoS самому?

Только от слабых атак: настроить SYN cookies, rate-limit, fail2ban, отключить лишние ICMP. От серьёзной атаки в десятки Гбит/с защититься без сетевого оператора невозможно — канал просто забьётся до вашего сервера.

Сколько стоит Anti-DDoS-защита?

Базовая защита L3/L4 у российских хостеров — от 0 ₽ (включена в тариф) до 500 ₽/мес доплаты. Полная защита L7 с WAF и поведенческим анализом — от 2 000 ₽/мес. Промышленная защита (Qrator, StormWall) — от 15 000 ₽/мес.