Я Максим — веб-разработчик, и за годы работы с сайтами малого и среднего бизнеса я не раз сталкивался с DDoS-атаками на клиентские проекты. И каждый раз история одинаковая: клиент думал, что DDoS — это про банки и госструктуры, пока его сайт не лёг на два дня прямо в разгар рекламной кампании. Давайте разберёмся, как работают DDoS-атаки, почему малый бизнес оказывается уязвим и что конкретно нужно сделать, чтобы защитить свой сайт.
Что такое DDoS-атака и почему атакуют именно вас
DDoS (Distributed Denial of Service) — это распределённая атака на сайт, при которой тысячи или десятки тысяч ботов одновременно забрасывают ваш сервер запросами. Сервер не справляется с нагрузкой, начинает тормозить, а потом перестаёт отвечать вообще. Для обычного посетителя ваш сайт просто не открывается.
Многие владельцы бизнеса искренне удивляются: «Зачем кому-то атаковать мой маленький интернет-магазин?» Причин несколько, и они куда банальнее, чем кажется.
Конкуренты — самая частая причина. Заказать DDoS-атаку на конкурента стоит копейки: на теневых форумах такие услуги продаются от нескольких тысяч рублей. Ваш конкурент платит за атаку, ваш сайт лежит два дня, его клиенты приходят к конкуренту. Схема грязная, но распространённая.
Вымогательство — второй по частоте сценарий. Атакующий кладёт сайт и отправляет письмо: «Заплати — и мы перестанем». Некоторые платят, и это только подпитывает рынок подобных услуг.
Случайное попадание — бывает и такое. Если ваш сайт размещён на shared-хостинге, атака на «соседа» по серверу может положить и ваш сайт тоже.
Хактивизм и идеологические мотивы — атакуют бизнесы определённых сфер, СМИ, государственные ресурсы. Для малого бизнеса это редкость, но исключать нельзя.
Типы DDoS-атак: не все одинаковы
Понимание типов атак помогает выбрать правильную стратегию защиты.
Объёмные (volumetric) атаки — самый распространённый тип. Атакующий заливает ваш канал связи мусорным трафиком. Представьте, что ваш интернет-канал — это дорога в два ряда, а на неё одновременно выехало десять тысяч грузовиков. Обычный трафик просто не может пробиться. Типичные примеры: UDP-флуд, DNS amplification, ICMP-флуд.
Протокольные атаки — эксплуатируют уязвимости сетевых протоколов. Например, SYN-флуд: атакующий отправляет тысячи запросов на установление TCP-соединения, но никогда не завершает их. Сервер расходует ресурсы на ожидание завершения каждого рукопожатия и в итоге «захлёбывается».
Атаки на уровне приложений (L7) — самые хитрые и сложные для обнаружения. Боты имитируют поведение обычных пользователей: открывают страницы, отправляют формы, делают запросы к API. Каждый отдельный запрос выглядит легитимно, но суммарно они создают нагрузку, с которой сервер не справляется. Фильтровать такой трафик сложнее всего, потому что нужно отличить бота от реального человека.
Как понять, что вас атакуют
Не всякая медленная загрузка — это DDoS. Иногда виноват перегруженный сервер, кривой код или слишком тяжёлые изображения. Но есть признаки, которые указывают именно на атаку.
Сайт резко стал недоступен или критически медленным без видимых причин — вы не обновляли код, не запускали рекламу, не публиковали ничего вирусного.
Аномальный всплеск визитов в Яндекс.Метрике. Если обычно у вас 200 визитов в день, а тут за час — 50 000, причём с подозрительной географией (один регион, которого раньше не было), это тревожный сигнал.
В логах сервера тысячи запросов с разных IP за секунды. Если вы или ваш разработчик умеете смотреть access-логи, увидите потоки одинаковых запросов — часто на одну и ту же страницу или на несуществующие URL.
Хостинг-провайдер прислал уведомление о превышении лимита нагрузки или трафика. Многие хостеры автоматически «тушат» сайт при аномальной нагрузке, чтобы не пострадали другие клиенты на том же сервере.
Что делать, если атака уже идёт: пошаговый план
Когда сайт лежит — паниковать бесполезно. Действуйте по плану.
Шаг 1: свяжитесь с хостинг-провайдером. Это первое, что нужно сделать. Позвоните или напишите в техподдержку. Крупные хостеры (Selectel, Timeweb, Reg.ru) имеют базовые средства защиты и могут оперативно подключить фильтрацию трафика на уровне сети. Объясните ситуацию, попросите не блокировать ваш сайт, а включить защиту.
Шаг 2: подключите сервис защиты от DDoS. Если хостер не справляется — нужен специализированный сервис. В России работают проверенные решения: Qrator Labs — один из лидеров рынка, защищает сайты Центробанка и крупных ритейлеров, но работает и с малым бизнесом; DDoS-Guard — российский сервис с хорошим соотношением цены и качества; StormWall — ещё один российский провайдер с гибкими тарифами; Cloudflare — международный сервис, бесплатный тариф включает базовую DDoS-защиту, этого часто достаточно для малого бизнеса.
Подключение большинства сервисов сводится к смене DNS-записей: вы перенаправляете трафик через защитный прокси, который фильтрует мусор и пропускает только легитимных пользователей. Процедура занимает от 15 минут до пары часов (пока обновятся DNS).
Шаг 3: настройте фильтрацию на уровне веб-сервера. Если у вас выделенный сервер или VPS с nginx, можно настроить rate limiting — ограничение количества запросов с одного IP. Это не спасёт от серьёзной распределённой атаки, но отсечёт примитивных ботов. Также полезно настроить блокировку по User-Agent (многие боты используют одинаковые или пустые заголовки), ограничить подключения с одного IP, заблокировать подозрительные диапазоны адресов через iptables или fail2ban.
Шаг 4: сообщите клиентам. Если сайт лежит несколько часов — разместите уведомление в соцсетях и мессенджерах. Клиенты должны знать, что проблема временная и вы над ней работаете. Молчание порождает недоверие.
Превентивная защита: как не допустить атаку
Гораздо дешевле и спокойнее подготовиться к атаке заранее, чем разгребать последствия.
Выбирайте хостинг с встроенной DDoS-защитой. Многие провайдеры (Selectel, VDSina, Beget) предлагают тарифы с базовой защитой от объёмных атак на уровне сети. Это первый эшелон обороны, и он должен быть по умолчанию.
Подключите CDN. Content Delivery Network (Cloudflare, EdgeCenter, CDNvideo) распределяет нагрузку между серверами по всему миру. При атаке удар приходится не на ваш единственный сервер, а на десятки точек присутствия CDN, что многократно повышает устойчивость.
Настройте мониторинг доступности. Используйте UptimeRobot (бесплатный тариф позволяет мониторить до 50 сайтов), уведомления в Яндекс.Метрике, встроенный мониторинг хостера. Вы должны узнать о проблеме раньше ваших клиентов — в идеале в первые минуты.
Подготовьте план реагирования. Запишите в одном месте: контакты техподдержки хостера (телефон, не только тикет-система), данные для входа в панель управления DNS, контакты сервиса DDoS-защиты, если он подключён, телефон вашего разработчика или системного администратора. Когда сайт лежит — не время искать пароли и номера телефонов.
Делайте регулярные бэкапы. В редких случаях DDoS-атака сопровождается попыткой взлома. Если атакующий нашёл уязвимость и повредил данные, бэкап позволит быстро восстановить сайт. Настройте автоматическое резервное копирование — ежедневно для баз данных, еженедельно для файлов.
Ограничьте поверхность атаки. Закройте неиспользуемые порты, отключите ненужные сервисы, обновляйте серверное ПО. Чем меньше «дверей» в вашу инфраструктуру, тем сложнее найти точку входа.
Сколько стоит защита
Для малого бизнеса затраты на защиту от DDoS — это не миллионы, а вполне подъёмные суммы.
Cloudflare на бесплатном тарифе — ноль рублей, но есть ограничения в аналитике и настройках. Для простого корпоративного сайта или блога — более чем достаточно. Платные тарифы DDoS-Guard и StormWall начинаются от нескольких тысяч рублей в месяц. Qrator обойдётся дороже, но и уровень защиты выше.
Сравните это со стоимостью простоя. Если ваш интернет-магазин делает 500 тысяч рублей выручки в месяц, два дня простоя — это потеря примерно 33 тысяч. Плюс упущенные заявки, плюс репутационный ущерб, плюс просадка позиций в Яндексе (если сайт недоступен, робот это фиксирует). Защита за три-пять тысяч в месяц на этом фоне — копейки.
Влияние DDoS на SEO и позиции в Яндексе
Этот аспект часто упускают из виду, но он важен. Если сайт недоступен в момент, когда робот Яндекса пришёл на обход — он зафиксирует ошибку. Одноразовый сбой не критичен, но если сайт лежит сутки-двое, робот получит ошибки при нескольких попытках обхода, и это может привести к выпадению страниц из индекса. Восстановление позиций после такого может занять от пары недель до месяца.
Кроме того, пользователи, которые пытались попасть на ваш сайт из поисковой выдачи и получили ошибку, уходят к конкурентам. Яндекс учитывает поведенческие факторы, и рост отказов в период атаки дополнительно бьёт по позициям.
Ещё один неочевидный момент: если для защиты от атаки вы подключаете сервис, который показывает промежуточную страницу-заглушку с капчей, робот Яндекса может не пройти эту проверку. В итоге для поисковика ваш сайт фактически становится недоступен, даже если для людей он работает. Настраивайте whitelist для IP-адресов поисковых роботов.
Распространённые ошибки при защите от DDoS
Игнорирование проблемы. «Нас не атаковали раньше — значит, не атакуют». Это логика до первого инцидента. Подготовка занимает пару часов, а её отсутствие может стоить дней простоя.
Попытка справиться самостоятельно. Блокировать IP-адреса вручную при серьёзной распределённой атаке — бесполезно. Адресов десятки тысяч, они меняются постоянно. Нужен автоматизированный сервис фильтрации.
Блокировка целых стран. Некоторые советуют заблокировать весь трафик из определённых стран. Это грубый подход, который может отрезать реальных клиентов и не поможет, если атака идёт с ботнета, распределённого по десяткам стран.
Отсутствие бэкапов. Вы пережили атаку, но оказалось, что база данных повреждена. А последний бэкап — трёхмесячной давности. Это катастрофа, которую легко предотвратить.
Итог
DDoS — реальная угроза для бизнеса любого размера, и чем более конкурентна ваша ниша, тем выше риск. Базовая защита — CDN, мониторинг, план реагирования — не требует больших вложений и настраивается за несколько часов. Если вы ведёте бизнес в интернете, защита от DDoS должна быть такой же обязательной статьёй расходов, как замок на двери офиса. Не ждите первой атаки — подготовьтесь заранее.