DDoS-атака

Если сайт перестал открываться или постоянно зависает — возможно, это не просто технический сбой, а DDoS-атака: конкурент, хакер или группа злоумышленников перегружает ваш сервер тысячами запросов. Это может привести к финансовым убыткам и испортить репутацию компании: пока сайт недоступен, клиенты не могут воспользоваться сервисом и покупают у конкурентов.

В статье расскажем, как работает DDoS-атака, зачем ее запускают и как вовремя распознать угрозу.

Что такое DDoS-атака и как происходит

DDoS-атака (от англ. Distributed Denial of Service — распределенный отказ в обслуживании) — это попытка злоумышленников вывести из строя сайт или онлайн-сервис. Для этого они массово отправляют на него запросы с множества устройств. Цель — перегрузить систему, чтобы она перестала отвечать на обращения пользователей.

В классической DDoS-атаке участвуют десятки тысяч устройств, причем злоумышленникам они не принадлежат. Это могут быть не только компьютеры, но и смартфоны, и любые другие гаджеты, способные отправлять запросы. Хакеры заражают эти устройства программой-вирусом, которая незаметно для владельца подключает компьютер к специальной сети — ее называют «ботнет», сеть ботов.

Как происходит DDoS-атака: по команде хакеров все зараженные устройства одновременно начинают слать запросы на сайт-жертву. Из-за такой лавины запросов сервер не справляется с нагрузкой — сайт начинает тормозить или вообще перестает работать. По данным аналитического центра Stormwall, в 2025 году Россия находится в первой десятке мира по количеству кибератак, и оно постоянно растет. Например, в сфере телекома за первый квартал зафиксировано на 71% больше атак, чем в прошлом году, а в финансовом секторе — на 36%.

Причины кибератак

Конкуренция. Иногда даже минуты простоя могут стоить бизнесу миллионов. Особенно это касается онлайн-сервисов, маркетплейсов, банков и delivery-платформ. DDoS-атака — способ временно вывести конкурента из игры и перетянуть на себя его аудиторию. Такие атаки часто запускают в критические периоды: в сезон распродаж, во время запуска новой услуги или рекламной кампании.

Развлечение. Для некоторых DDoS — просто игра. Такие злоумышленники часто сами не разрабатывают никакие программы взлома, а используют готовые вредоносные программы (иногда даже боты в Telegram). Цель — «потроллить» администраторов, похвастаться «хакерской атакой» в чате. Чаще всего такие «шутники» атакуют маленькие сайты без защиты: например, школьные и вузовские порталы, блоги.

Личная неприязнь. Бывшие партнеры или сотрудники, недовольные клиенты или даже конкуренты с личной обидой могут нанять исполнителей для DDoS-атаки. Например, такой способ мести может выбрать уволенный со скандалом работник.

Политические мотивы. DDoS используют в кибервойнах и протестных акциях. Хакеры атакуют сайты государственных органов, политических партий или СМИ, чтобы временно выключить ресурс из информационного поля. Часто за такими атаками стоят так называемые хактивисты — группы людей, которые используют хакерские методы в знак протеста.

Вымогательство или шантаж. Киберпреступники часто имеют корыстные цели. В этом случае они могут начать атаку и тут же выйти на связь: «Переведите деньги — прекратим». Или сначала выслать предупреждение: «Если не заплатите, атака начнется завтра в 10:00».

Хищение данных. DDoS может быть не целью, а отвлекающим маневром. Пока служба безопасности борется с нагрузкой на сервер, злоумышленники могут попробовать взломать внутренние системы и похитить данные.

Возможные последствия DDoS-атаки для бизнеса

Бизнес теряет продажи. Особенно это выражено в e-commerce и сфере услуг. Пока сайт недоступен, клиенты покупают у конкурентов. Например, в 2023 году британская компания Marks & Spencer подверглась кибератаке, из-за которой онлайн-продажи товаров остановились на несколько недель. Это привело к убыткам в размере около 400 миллионов долларов.

Появляются лишние расходы. Компания вынуждена срочно подключать специалистов по информационной безопасности, тратиться на восстановление системы, расширять серверные мощности или покупать экстренные услуги защиты. Например, атака на британскую национальную библиотеку British Library в 2024 году потребовала примерно 6-7 миллионов фунтов стерлингов (около 40% всех финансовых резервов организации) на восстановление инфраструктуры после инцидента.

Страдает репутация. Если атака затянулась, информация может попасть в СМИ или обсуждаться в соцсетях. Временная недоступность сервиса вызывает недовольство и недоверие клиентов, компания выглядит уязвимой.

В 2016 году всемирно известная компания Uber подверглась кибератаке, в результате которой были украдены данные 57 млн пользователей и водителей. Компания заплатила хакерам 100 тыс. долларов за молчание и не сообщила об инциденте ни регуляторам, ни клиентам. Когда информация стала публичной в 2017 году, Uber столкнулась с резкой критикой за сокрытие факта взлома, что серьезно повлияло на ее репутацию.

Виды DDoS-атак

DDoS-атаки бывают разными — в зависимости от того, на какую часть системы они нацелены. Разберём три основные категории.

Volumetric-атаки (объемные, или флуд). Самый распространенный вид кибератаки, цель которого — перегрузить канал связи. Злоумышленники генерируют столько трафика, что его объем превышает пропускную способность канала. В результате веб-сервис зависает.

Примеры способов реализации таких атак:

• UDP Flood — атака через протокол UDP (один из способов передачи данных в интернете), генерирует большое количество запросов по протоколу UDP.
• DNS Amplification — усиливает атаку за счет сторонних серверов. Один запрос превращается в десятки, и все идут на сайт жертвы.

Protocol-атаки (на уровне сетевых протоколов). Здесь злоумышленники используют уязвимости в сетевых протоколах. Они не увеличивают трафик, а атакуют «точечно»: перегружают память, процессор или мешают установке соединений. Атаки нацелены на уязвимости в протоколах TCP/IP и особенностях обработки сетевых пакетов.

Пример способа реализации: Ping of Death — отправляет системе некорректные пакеты, которые вызывают сбои в работе системы

Application-атаки (на уровне приложений). Хакерская система имитирует поведение обычных пользователей — например, открывает веб-страницы или заполняет формы.

Это коварный способ: обычную объемную атаку легче выявить благодаря очевидной перегрузке интернет-канала однотипными запросами. А при аpplication-атаке сам канал связи не перегружается, и объем трафика выглядит нормальным, но действия на сайте хакеры выбирают только те, которые требуют максимальных ресурсов. Система принимает их запросы за обращения реальных пользователей и не блокирует. В итоге сервис перегружается.

Примеры способов реализации:

• HTTP Flood — массовая генерация запросов к веб-страницам.
• Slowloris — открытие множества медленных HTTP-соединений, которые не завершаются до момента тайм-аута и создают нагрузку на сервер.

Как понять, что произошла DDoS-атака

DDoS-атаки начинаются внезапно и могут напоминать обычные технические сбои. Но есть характерные признаки, по которым можно заподозрить именно атаку:

• работа сайта резко замедлилась или прекратилась, хотя сервер исправен и интернет работает;
• резко растет загрузка процессора, потребление оперативной памяти;
• быстро и необъяснимо вырастает входящий трафик;
• появляются нетипичные записи в логах: например, тысячи запросов от одного IP;
• перезапуск сервера и чистка кэша не решают проблему.

Как защититься от DDoS-атак

Используйте специализированные анти-DDoS-сервисы. Это один из самых эффективных и быстрых способов защиты. Есть много российских сервисов: например, Qrator Labs, StormWall, DDoS-Guard, Kaspersky DDoS Protection. Провайдеры таких решений фильтруют трафик, определяют вредоносные запросы и блокируют их еще до того, как они достигают инфраструктуры клиента.

Обновляйте ПО и внедряйте контроль версий. Следите за актуальностью сетевых служб (СУБД, PHP, серверных библиотек и пр.), а также кода самого продукта. Чтобы тестировать обновления безопасно, разворачивайте проект на отдельных серверах: тестовом, продуктовом и резервном. Контроль версий через Git поможет откатить изменения при сбоях или нестабильной работе.

Применяйте распределенное хранение данных и резервные копии. Если один или несколько серверов выйдут из строя из-за атаки, вы сможете оперативно переключить работу на другой сервер. На нем заранее должна быть развернута рабочая версия вашего проекта, готовая к запуску.

Разграничивайте права доступа. Административные права должны быть только у узкого круга доверенных сотрудников. Удаляйте пользователей сразу после увольнения и сбрасывайте учетные данные при малейших подозрениях на взлом. Административный интерфейс стоит скрыть за VPN или закрыть для внешнего доступа.

Защитите формы и API от спама. Формы обратной связи — излюбленная цель ботов. Оснастите их CAPTCHA или переведите на JavaScript-компоненты, чтобы отсеивать машинный трафик.

Воспользуйтесь готовыми решениями по защите данных. Например, MANGO OFFICE предлагает пакет информационной безопасности, который:

• предотвращает попытки несанкционированного доступа с помощью логирования событий безопасности и их получения по syslog или HTTPS (Webhooks) для SIEM;
• защищает пользовательские аккаунты от взломов с помощью двухфакторной авторизации для сотрудников, настройки сложности и срока жизни паролей;
• ограничивает доступ в систему с помощью фильтрации IP-адресов для входа в личный кабинет;
• защищает телефонные разговоры с помощью современных методов шифрования SRTP и SIP over TLS;
• позволяет гибко настраивать права доступа;
• предотвращает утечки данных внутреннего SIP/SRTP-трафика.

Такое решение поможет предотвратить взлом аккаунтов и хищение данных в случае кибератаки.

Что делать после DDoS-атаки

После атаки проведите техническое расследование: откуда шел трафик (IP-адреса, география, тип устройств, на какие ресурсы был направлен удар, какие уязвимости системы использовали злоумышленники.

Если атака выявила слабые места в инфраструктуре — нужно закрыть их как можно быстрее, например:

• настроить или усилить анти-DDoS-фильтрацию;
• обновить и оптимизировать серверное ПО;
• масштабировать инфраструктуру или подключить CDN;
• пересмотреть настройки роутеров, фаерволов и лимитов запросов.

Обратитесь к специалистам по информационной безопасности, они помогут защитить вашу систему от повторных атак.

Примеры крупных DDoS-атак

Атака на Rutube. 9 мая 2022 года, в День Победы, российская видеоплатформа Rutube подверглась одной из самых мощных кибератак в истории рунета. Поток запросов достигал миллиона в секунду и более. Атака оказалась не просто массовой, но и разрушительной — было повреждено 75% инфраструктуры и 90% резервных копий, нарушена работа серверов, пострадал исходный код. Целью хакеров было уничтожение инфраструктуры сервиса, также им удалось украсть некоторые внутренние данные. Восстановление платформы заняло несколько дней.

Атака на платежную систему Assist. В июле 2010 года платежная система Assist, которая обслуживала онлайн-продажи билетов авиакомпании «Аэрофлот», подверглась DDoS-атаке. В результате сайт стал недоступен, и продажа билетов была приостановлена на неделю. Позже выяснилось, что атаку заказал Павел Врублевский, владелец конкурирующей платежной системы ChronoPay. Из-за этой атаки Assist потерял около 15 млн рублей, а ущерб «Аэрофлота» оценивался в 146 млн.

В 2013 году суд признал Врублевского виновным в организации атаки и приговорил его к 2,5 годам лишения свободы. Это один из немногих случаев в России, когда организатор DDoS-атаки был установлен и осужден.

Атака на Google. В 2017 году произошла самая масштабная DDoS-атака за всю историю интернета — ее мощность достигала 2,5 терабита в секунду. На первый взгляд это выглядело как попытка перегрузить инфраструктуру, но со временем специалисты Google пришли к выводу, что цель была глубже — кибершпионаж и тестирование уязвимостей.

Компания раскрыла детали атаки только в 2020 году. По ее данным, за кибератакой стояла группа, связанная с государственными структурами Китая. Предположительно, злоумышленники проверяли, насколько устойчива система Google к длительным перегрузкам, и искали ее слабые места.