Что делать, если на ваш сайт ведут DDoS-атаку

За год количество кибератак на российские ресурсы увеличилось в 6 раз. И хотя средняя продолжительность атак снизилась, их характер стал более массовым — злоумышленники перестали фокусироваться на крупных компаниях, под удар попадает средний, малый и даже микробизнес.

Как предупредить DDoS-атаку и что делать, если ваш сайт попал под удар, рассказал руководитель направления хостинга «Рег.ру» Валентин Бостанов.

Что делать, если на ваш сайт ведут DDoS-атаку

Что такое DDoS

DDoS-атака (от англ. Distributed Denial of Service) — атака, при которой хакеры нагружают сервер настолько, что система перестает работать. Из-за этого пользователи не могут открыть сайт, а владельцы ресурса теряют трафик и прибыль.

Типы DDoS-атак

DDoS-атаки разделяют по воздействию на уровни OSI — модели сетевой инфраструктуры, описывающей взаимодействие устройств друг с другом на разных уровнях.

Всего 7 уровней, но атакуют чаще всего на 3-х из них: на сетевом и транспортном уровне — низкоуровневые атаки; на прикладном — высокоуровневые атаки. Вот их различия:

Низкоуровневые атаки:

  • Сетевой уровень. Этот уровень отвечает за взаимодействие маршрутизаторов и коммутаторов, а атака представляет собой «забивание» канала. Например, с этой целью злоумышленники начинают ICMP-флуд, нагружая целевую сеть ICMP-сообщениями.
  • Транспортный уровень. Такие атаки представляют собой нарушение функционирования и перехват трафика. Сюда относится один из самых популярных видов атак SYN-флуд, на который пришлось почти 14% всех видов атак за 2023 год.

Верхнеуровневые атаки:

  • Прикладной уровень. Его еще называют уровнем приложений. Атаки этого типа нацелены на исчерпание ресурсов, выделенных для сайта, — количества одновременных процессов, оперативной памяти, процессора и даже переполнение дискового пространства за счет непрерывной записи в лог-файлы. На этом уровне хакеры атакуют чаще всего через HTTP-флуд: создают большое количество запросов на подключение, загрузку страниц и контента, заказ товаров. А обычные пользователи не могут загрузить сайт, так как сервер перегружен.

Почему сайты атакуют

В прошлом году Россия оказалась на 9 месте по числу зарегистрированных DDoS-атак, причем чаще всего злоумышленников интересовали сайты с объявлениями, платежные и системы онлайн обучения, банки, игровые серверы. При этом увеличилось количество атак в сферах промышленности, логистики и нефтегазовой индустрии.

Глобально у атаки может быть 2 цели:

  • вывести сайт из строя,
  • нагрузить сайт для взлома.

И, конечно, чем крупнее бизнес или охват аудитории — тем более вероятно, что ресурс будет подвергнут атаке. На многие сайты атаки не прекращаются никогда.

С развитием технологий организовать атаку становится проще — с этой проблемой может столкнуться даже самый мало посещаемый сайт.

Не забывайте, что сайт может подвергнуться не целевой атаке:

  • если атаковали другой сайт, расположенный с вами на одном IP-адресе или сервере;
  • если целью атаки был целый сегмент рынка, технология сайта или дата-центр.

Как определить, что на сайт ведется атака?

DDoS — это всегда увеличение нагрузки. С точки зрения пользователя, сайт будет работать медленнее или окажется вовсе недоступен. Признаки могут быть следующими:

  • Снизилась производительность — сайт работает медленнее, чем обычно.
  • Сайт недоступен — страницы не загружаются, а потребление ресурсов (процессор, память, количество процессов) выросло.
  • Метрики сайта резко выросли — визиты/посещения, открытия страниц и отправка данных через форму.
  • Подозрительная активность — большое количество запросов от одного IP-адреса или необычные запросы.

Что делать, если сайт попал под атаку?

Чаще всего небольшие компании попадают под низкоуровневый флуд, но можно столкнуться и с DDoS на верхнем уровне.

Самостоятельно заблокировать часть запросов можно через настройки .htaccess или использовать функционал CMS, например, плагины. На VPS и выделенном сервере можно ограничить отправку ICMP-сообщений или заблокировать часть вредоносных IP.

Но эффективнее будет не предпринимать никаких действий, а обратиться к специалистам:

К техническому специалисту, который администрирует сайт

Применяя неподходящие меры самостоятельно, есть риск навредить и сделать хуже, поэтому в первую очередь посоветуйтесь с тех. специалистом.

В поддержку хостера

Любой порядочный хостинг-провайдер принимает все возможные меры по защите клиентов от любых угроз. Хостер может предоставить:

  • выделенный IP-адрес, чтобы минимизировать риск вреда от атаки;
  • расширенные возможности и/или дополнительные услуги для защиты от таких атак.

Если хостинг-провайдер не смог предложить вам защиту — самое время задуматься о его смене. Вы можете обратиться к другому провайдеру и попросить срочный перенос сайта для защиты от атаки. Хостер предложит оптимальный вариант, который позволит избежать рисков.

Напрямую к провайдеру услуги защиты от DDoS

Ее подключение потребует действий/настроек со стороны хостинга и/или домена. Если вы не уверены, доступны они вам или нет, обратитесь также и к провайдеру хостинга.

Как предупредить атаку DDoS?

Полностью избежать DDoS-атаки не получится, но можно быть к ней полностью готовым. Вот что можно для этого сделать:

  1. Купить выделенный IP. Так вы не только минимизируете проблемы из-за атаки на соседей, но и упростите процедуру подключения защиты и фильтрации трафика во время атаки.
  2. Приобрести защиту от DDoS-атак, если провайдер не предоставляет ее бесплатно. Как правило, решения разделяются на защиту от низкоуровневых и высокоуровневых атак:
  • Защиту на уровнях L3/L4 можно считать современным необходимым стандартом. Ведь такая атака может вывести из строя не конкретный сайт клиента, а сервер или маршрутизатор хостера. В Рег.ру такая защита предоставляется всем клиентам виртуального хостинга и VPS бесплатно.
  • Защита на уровне L7 более дорогая, так как атаки подобного уровня сложнее обнаружить и нейтрализовать. Как правило, услуги по фильтрации такого трафика предоставляет не сам хостер, а профильный партнер. Стоимость услуги начинается от ₽8 000 в месяц. При этом такая атака может стать фатальной для начинающего бизнеса.

Рег.ру — первый и пока единственный провайдер, который предоставляет защиту на уровне L7 бесплатно на всех тарифах виртуального хостинга с панелью ispmanager.

Если бюджет не позволяет оплачивать защиту «вхолостую», а провайдер не предоставляет гибких тарифов — зафиксируйте пошаговый порядок действий при атаке. Укажите в нем:

  • значения, которые будете считать критическим порогом (сайт тормозит/сайт периодически недоступен /сайт недоступен более 4 часов);
  • кем, где и как будет куплена защита — лучше заранее зарегистрироваться на нужном сайте, добавить способ оплаты, чтобы в моменте не пришлось тратить на это время;
  • кто и какие действия выполняет для подключения — изменение IP в зоне домена, активация на стороне поставщика;
  • критерии окончания атаки;
  • порядок действий при окончании атаки.
7 комментариев

А что делать, если вы незаконно без уведомлений списывайте деньги с карты за год, м? Классно придумали. Ничего не скажешь. И удобно, что у вас робот отвечает, вместо вменяемой поддержки.

Вы сами забыли отменить подписку и обвиняете хостера, что он списал деньги?

Они просто защитили ваши деньги от кражи, согласно уровня L7

Может здесь подскажут. На сайт происходит DDOS-атака через уязвимость WPscan. Количество запросов в сутки примерно 300.000 на wp-login.php . Как на хостинге заблокировать WPscan?

1. Ограничение доступа к wp-login.php:

Измените URL для входа в админку, используя плагины, такие как WP Hide или WPS Hide Login. Это затруднит доступ для автоматизированных сканеров.
Используйте файл .htaccess, чтобы ограничить доступ к wp-login.php по IP-адресу. Например:

Order Deny,Allow
Deny from all
Allow from YOUR.IP.ADDRESS.HERE

2. Использование плагинов для безопасности:

Установите плагины, такие как Wordfence или Sucuri, которые могут помочь в блокировке подозрительных IP-адресов и обнаружении аномальной активности.
Защита с помощью CAPTCHA:

3. Добавьте CAPTCHA на страницу входа, чтобы затруднить автоматизированные попытки входа. Плагины, такие как Google Captcha (reCAPTCHA), могут помочь.
Настройка брандмауэра:

4. Если ваш хостинг поддерживает настройку брандмауэра (например, с помощью Cloudflare или другого CDN), активируйте защиту от DDoS-атак и настройте правила для блокировки подозрительных IP-адресов.
Мониторинг трафика:

5. Регулярно отслеживайте логи сервера и обращайте внимание на IP-адреса, которые делают большое количество запросов. Блокируйте их, если они ведут себя подозрительно.
Ограничение числа попыток входа:

6. Установите плагин, который ограничивает количество попыток входа, например, Login LockDown или Limit Login Attempts Reloaded.
Использование CDN:

7. Подключите ваш сайт к сети доставки контента (CDN), которая может помочь в фильтрации трафика и снижении нагрузки на ваш сервер.

Следуя этим рекомендациям, вы сможете значительно повысить безопасность вашего сайта, дайте знать если информация вам помогла. Спасибо!