Захист від DDoS-атак - як зберегти веб-інфраструктуру в безпеці
- Що таке захист мережі від DDoS-атак
- Класифікація атак
- Архітектурні підходи захисту від DDoS-атак
- Інструменти захисту від DDoS-атак на рівні сервера
- Чек-лист захисту від DDoS-атак
- Що робити, якщо DDoS вже почалася
- Кому захист мережі від DDoS-атак потрібна в першу чергу
- Кейс захисту від DDoS-атак
- Як вибрати захист мережі від DDoS-атак

Захист від DDoS-атак - це комплекс заходів, який відфільтровує шкідливий трафік до того, як він потрапляє на ваш сервер, і зберігає сайт або сервіс доступним навіть під навантаженням в десятки гігабіт в секунду. Без такого захисту навіть найпотужніший виділений сервер може впасти за кілька хвилин.
Що таке DDoS-атаки і для чого вони потрібні зловмисникам?
DDoS (Distributed Denial of Service) - це атака з різних пристроїв, мета якої - вичерпати всі ресурси сервера: Інтернет-з'єднання, потужність комп'ютера або кількість з'єднань, щоб легітимні користувачі не змогли отримати доступ до сервісу.
Мотиви атак найчастіше зводяться до наступних ознак:
- Вимагання і шантаж - вимога викупу за припинення атаки.
- Недобросовісна конкуренція - виведення з ладу сервісу конкурента.
- Особиста неприязнь - атаки на конкретних людей або компанії.
- Розвага - так звані script kiddies.
- Політичний протест - атаки на державні та медіаресурси.
Наслідки для бізнесу відчутні: прямі фінансові втрати через простої, репутаційні збитки і, що особливо погано, відхід клієнтів до "більш надійних" конкурентів. За статистикою нашої компанії, простий інтернет-магазину навіть на годину в піковий сезон обходиться дорожче, ніж річна підписка захисту.

Класифікація атак - на якому рівні б'ють
DDoS-атаки прийнято ділити за рівнями моделі OSI - це ключове для вибору захисту.
| Рівень OSI | Тип атаки | Приклади | На що б'є |
|---|---|---|---|
| L3 (мережі) | Волюметричні | ICMP-флуд (Smurf), UDP-флуд (Fraggle) | Смуга пропускання |
| L4 (транспортний) | Протокольні | SYN-флуд, переповнення пакетами | Таблиці з'єднань, файрвол |
| Л7 (додаток) | Прикладні | HTTP-флуд; "важкі" запити до БД | CPU, пам'ять, логіка додатку |
| Змішаний | Приховані адаптивні | Комбіновані, які змінюють патерн | Всі рівні одночасно |
Окремо є атаки на вразливості: переповнення буфера, помилки в коді, DoS через погані системи розподілу ресурсів і атаки на DNS-сервери - вони ламають не самі сервера, а системи доменних імен (DNS), що робить доступність сайту обмеженою, навіть якщо сервера працюють добре.

Архітектурні підходи системи захисту від DDoS-атак на серверах
Тут важливо розуміти різницю між трьома моделями:
- On-Premises (локальна захист) - обладнання встановлено у клієнта, мінімальна затримка, але обмежена по потужності відбивання атак.
- Хмарний захист - трафік очищається на розподіленій мережі фільтрації провайдера, здатна відбивати атаки від 7+ Тбіт/с і понад 5 млн команд в секунду.
- Гібридна схема - поєднання локальних інструментів для базової фільтрації з хмарним "резервом" на випадок великих атак.
Ми рекомендуємо гібридний підхід більшості клієнтів: він дає баланс між швидкістю реакції і вартістю.

Інструменти захисту на рівні сервера
Перш ніж підключати промисловий захист від DDoS, варто закрити базові уразливості своїми силами. Ось порівняння популярних інструментів:
| Інструмент | Рівень захисту | Плюси | Мінуси |
|---|---|---|---|
| IPTables/NFTables | L3-L4 | Гнучка настройка правил, безкоштовно | Необхідна експертиза, ручна настройка |
| CSF (ConfigServer Firewall) | L3-L4 | Готові пресети, проста конфігурація | Менше гнучкості ніж iptables безпосередньо |
| UFW (Ubuntu) | L3-L4 | Простота настройки для початківців | Не такий хороший як CSF по функції моніторингу |
| Fail2ban | L4-L7 | Авто-блокування по паттернам поведінки | Не захищає від волюметричних атак |
| Модулі Nginx (limit_req) | L7 | Обмеження запитів на веб-сервера | Не убезпечить інфраструктуру в цілому |
| CDN | L7 | Кешування, розподіл навантаження | Іноді не закриває L3-L4 |
| Хмарний анти DoS сервіс | L3-L7 | Промислові потужності фільтрації | Потрібно делегувати трафік за який відповідає провайдер компанія |
Локальні інструменти добре працюють з точковими загрозами, але не справляються з волюметричними в десятки або сотні гігабіт - тут потрібна розподілена мережа фільтрації, яка "розділяє" трафік по безлічі точок присутності ще до того, як він дійде до вашої інфраструктури.

Чек-лист: як підготуватися і поставити захисту від DDoS-атак заздалегідь
- Налаштуйте фільтрацію трафіку і ліміти запитів - базовий файрвол і rate limiting знижують ризик точкових DDoS-атак
- Підключіть CDN - розподіляє навантаження і кешує статичний контент
- Увімкніть професійну захисту від DDoS-атак - не чекайте загрози, підключайте заздалегідь.
- Постійно оновлюйте програмне забезпечення - більшість атак використовують відомі вразливості.
- Проводьте стрес-тестування – хоча б раз на рік перевіряйте, як інфраструктура справляються з навантаженням.
- Робіть резервне копіювання - на випадок, якщо загроза супроводжується зі спробою злому.

Що робити, якщо DDoS вже почалася
Порядок дій тут важливий:
- Зафіксуйте факт проведених атак - зростання трафіку, аномальні патерни запитів, недоступність послуг.
- Активуйте модулі системи захисту від DDoS - якщо захист не був включений постійно, час реакції критично.
- Ведіть постійний моніторинг - відстежуйте динаміку атаки в реальному часі.
- Проаналізуйте вектор атак - це визначає, які правила фільтрації потрібні.
- Проведіть точкову модернізацію - додайте правила під конкретний патерн DDoS-атак.
Ознаки, за якими можна запідозрити загрозу: різке зростання команд з однотипних IP-діапазонів, аномально високе навантаження на CPU при низькій реальній відвідуваності користувачів, масові тайм-аути і зростання часу відповіді сервера.

Кому захист необхідний в першу чергу
- Фінансовому сектору - банкам, страховим компаніям, де простій означає прямі збитки і регуляторні ризики.
- Медичним установам - клінікам з онлайн-записом і електронними картами пацієнтів.
- Державним організаціям - часта мішень як для протестів, так і для цілеспрямованих кібератак.
- E-commerce і IoT - маркетплейсам, онлайн-касам, пристроям "розумного будинку", де сервіс недоступний означає пряму втрату виручки.

Кейс з практики: кібератака на інтернет-магазин в розпал розпродажу
Клієнт - середній інтернет-магазин електроніки, близько 15 000 унікальних відвідувачів на добу, стандартний VPS в якому не використовувалася виділена захист від DDoS-атак, тільки базовий файрвол з можливостями iptables.
Що сталося.
У перший день сезонного розпродажу, коли відвідуваність сайту і так зросла втричі відносно звичайної, протягом 20 хвилин навантаження зросло ще в 40 разів. Кібератака йшла в дві хвилі:
- Волюметрична частина (L3/L4) - UDP- і SYN-флуд з ботнету, розподіленого більш ніж по 12 000 IP-адрес з різних країн, сумарною потужністю близько 60 Гбіт/с
- Прикладна частина (L7) - паралельно йшов HTTP-флуд по картках товарів і сторінці пошуку, що імітує поведінку звичайних покупців, що ускладнювало автоматичне фільтрування за простими правилами.
Що не спрацювало.
Локальний файрвол відфільтрував частину SYN-флуду, але смуга пропускання каналу клієнта (1 Гбіт/с) вичерпалася в перші ж хвилини - хост просто перестав отримувати легітимні запити, незалежно від того, наскільки добре було налаштовано фільтрування на самій машині. Це класичний випадок, коли on-premises захист фізично не може впоратися з волюметричною кібератакою такого масштабу.
Що зробила наша компанія.
Протягом 4 хвилин з моменту звернення замовника пропускну здатність переключили на наші розподілені мережі мікрофільтрації:
- Волюметричну частину відсікли на стадії мережі передачі даних - кібератака "розмазалася" по декількох точках присутності і не дійшла до каналу клієнта.
- Для L7-частини підключили поведінковий аналіз команд: система відрізняла реальних покупців від ботів по патерну поведінки (швидкість кліків, відсутність взаємодії з JS, повторювані User-Agent) і блокувала аномальний трафік без капчі для справжніх користувачів.
- Реальні IP-адреси хоста додатково замаскували, щоб запобігти повторній загрозі в обхід фільтрування.
Результат.
Сайт був доступний під час спроби злому, яка тривала близько 6 годин з перервами.
Швидкість завантаження сторінок для легітимних користувачів просіла не більше ніж на 8% в пікові моменти. Продажі в день розпродажу не постраждали - за даними замовника, конверсія залишилася на стадії планової, а простій, який трапився б без кіберзахисту, за грубими прикидками замовника обійшовся б дорожче декількох років обслуговування.

Як вибрати сервіс захисту
При виборі компанії зверніть увагу на:
- Заявлену ємність мережі фільтрування (в Тбіт/з і RPS).
- Чи надає компанія кіберзахист на всіх стадіях OSI, а не тільки L3/L4.
- Швидкість реакції - скільки часу займає перемикання на фільтрування з моменту виявлення кіберзагрози.
- Прозорість умов - як вважається перевищення каналу, чи є приховані ліміти.
FAQ
Так, це стандартна практика - час активації є критичним, і хороший провайдер компанія запускає фільтрування протягом хвилин.
Чи потрібно проксі весь потік користувачів через мережу фільтрування?
Не завжди - є рішення з прямим підключенням і активацією мікрофільтрації тільки при виявленні злому, що знижує базову затримку.

Підсумок
Комп'ютерне вторгнення більше не є рідкістю і точковою проблемою великого бізнесу. Локальні інструменти як iptables, CSF або Fail2ban блокують точкові і протокольні зломи, але не можуть впоратися проти волюметричних вторгнень на десятки і сотні гігабіт - тут допомагає тільки розподілена мережа мікрофільтрації на стороні компанії провайдера.


