Что делать, если на ваш сайт ведут DDoS-атаку

За год количество кибератак на российские ресурсы увеличилось в 6 раз. И хотя средняя продолжительность атак снизилась, их характер стал более массовым — злоумышленники перестали фокусироваться на крупных компаниях, под удар попадает средний, малый и даже микробизнес.

Как предупредить DDoS-атаку и что делать, если ваш сайт попал под удар, рассказал руководитель направления хостинга Рег.ру Валентин Бостанов.

DDoS-атака (от англ. Distributed Denial of Service) — атака, при которой хакеры нагружают сервер настолько, что система перестает работать. Из-за этого пользователи не могут открыть сайт, а владельцы ресурса теряют трафик и прибыль.

Типы DDoS-атак

DDoS-атаки разделяют по воздействию на уровни OSI — модели сетевой инфраструктуры, описывающей взаимодействие устройств друг с другом на разных уровнях.

Всего 7 уровней, но атакуют чаще всего на 3-х из них: на сетевом и транспортном уровне — низкоуровневые атаки; на прикладном — высокоуровневые атаки. Вот их различия:

Низкоуровневые атаки:

• Сетевой уровень. Этот уровень отвечает за взаимодействие маршрутизаторов и коммутаторов, а атака представляет собой «забивание» канала. Например, с этой целью злоумышленники начинают ICMP-флуд, нагружая целевую сеть ICMP-сообщениями.
• Транспортный уровень. Такие атаки представляют собой нарушение функционирования и перехват трафика. Сюда относится один из самых популярных видов атак SYN-флуд, на который пришлось почти 14% всех видов атак за 2023 год.

Верхнеуровневые атаки:

• Прикладной уровень. Его еще называют уровнем приложений. Атаки этого типа нацелены на исчерпание ресурсов, выделенных для сайта, — количества одновременных процессов, оперативной памяти, процессора и даже переполнение дискового пространства за счет непрерывной записи в лог-файлы. На этом уровне хакеры атакуют чаще всего через HTTP-флуд: создают большое количество запросов на подключение, загрузку страниц и контента, заказ товаров. А обычные пользователи не могут загрузить сайт, так как сервер перегружен.

В прошлом году Россия оказалась на 9 месте по числу зарегистрированных DDoS-атак, причем чаще всего злоумышленников интересовали сайты с объявлениями, платежные и системы онлайн обучения, банки, игровые серверы. При этом увеличилось количество атак в сферах промышленности, логистики и нефтегазовой индустрии.

Глобально у атаки может быть 2 цели:

• вывести сайт из строя,
• нагрузить сайт для взлома.

И, конечно, чем крупнее бизнес или охват аудитории — тем более вероятно, что ресурс будет подвергнут атаке. На многие сайты атаки не прекращаются никогда.

Не забывайте, что сайт может подвергнуться не целевой атаке:

• если атаковали другой сайт, расположенный с вами на одном IP-адресе или сервере;
• если целью атаки был целый сегмент рынка, технология сайта или дата-центр.

DDoS — это всегда увеличение нагрузки. С точки зрения пользователя, сайт будет работать медленнее или окажется вовсе недоступен. Признаки могут быть следующими:

• Снизилась производительность — сайт работает медленнее, чем обычно.
• Сайт недоступен — страницы не загружаются, а потребление ресурсов (процессор, память, количество процессов) выросло.
• Метрики сайта резко выросли — визиты/посещения, открытия страниц и отправка данных через форму.
• Подозрительная активность — большое количество запросов от одного IP-адреса или необычные запросы.

Чаще всего небольшие компании попадают под низкоуровневый флуд, но можно столкнуться и с DDoS на верхнем уровне.

Но эффективнее будет не предпринимать никаких действий, а обратиться к специалистам:

К техническому специалисту, который администрирует сайт

Применяя неподходящие меры самостоятельно, есть риск навредить и сделать хуже, поэтому в первую очередь посоветуйтесь с тех. специалистом.

В поддержку хостера

Любой порядочный хостинг-провайдер принимает все возможные меры по защите клиентов от любых угроз. Хостер может предоставить:

• выделенный IP-адрес, чтобы минимизировать риск вреда от атаки;
• расширенные возможности и/или дополнительные услуги для защиты от таких атак.

Если хостинг-провайдер не смог предложить вам защиту — самое время задуматься о его смене. Вы можете обратиться к другому провайдеру и попросить срочный перенос сайта для защиты от атаки. Хостер предложит оптимальный вариант, который позволит избежать рисков.

Напрямую к провайдеру услуги защиты от DDoS

Ее подключение потребует действий/настроек со стороны хостинга и/или домена. Если вы не уверены, доступны они вам или нет, обратитесь также и к провайдеру хостинга.

Полностью избежать DDoS-атаки не получится, но можно быть к ней полностью готовым. Вот что можно для этого сделать:

1. Купить выделенный IP. Так вы не только минимизируете проблемы из-за атаки на соседей, но и упростите процедуру подключения защиты и фильтрации трафика во время атаки.
2. Приобрести защиту от DDoS-атак, если провайдер не предоставляет ее бесплатно. Как правило, решения разделяются на защиту от низкоуровневых и высокоуровневых атак:

• Защиту на уровнях L3/L4 можно считать современным необходимым стандартом. Ведь такая атака может вывести из строя не конкретный сайт клиента, а сервер или маршрутизатор хостера. В Рег.ру такая защита предоставляется всем клиентам виртуального хостинга и VPS бесплатно.
• Защита на уровне L7 более дорогая, так как атаки подобного уровня сложнее обнаружить и нейтрализовать. Как правило, услуги по фильтрации такого трафика предоставляет не сам хостер, а профильный партнер. Стоимость услуги начинается от ₽8 000 в месяц. При этом такая атака может стать фатальной для начинающего бизнеса.

Если бюджет не позволяет оплачивать защиту «вхолостую», а провайдер не предоставляет гибких тарифов — зафиксируйте пошаговый порядок действий при атаке. Укажите в нем:

• значения, которые будете считать критическим порогом (сайт тормозит/сайт периодически недоступен /сайт недоступен более 4 часов);
• кем, где и как будет куплена защита — лучше заранее зарегистрироваться на нужном сайте, добавить способ оплаты, чтобы в моменте не пришлось тратить на это время;
• кто и какие действия выполняет для подключения — изменение IP в зоне домена, активация на стороне поставщика;
• критерии окончания атаки;
• порядок действий при окончании атаки.