Защита от DDoS: как не упасть под атакой
DDoS-mitigation — это сервис, который фильтрует «мусорный» трафик атаки, пропуская к вашим сервисам только запросы реальных пользователей. Без него любой публичный сервис может стать недоступен за минуты.
Зачем это нужно бизнесу
DDoS-атака — это не «взлом» в обычном понимании. Злоумышленник не получает данные и не ломает приложение. Он просто заваливает ваши серверы или каналы связи таким количеством запросов, что они перестают отвечать легитимным клиентам. Для бизнеса результат тот же, что от падения сервера: клиенты не могут оформить заказ, личный кабинет недоступен, формы заявок не работают, корпоративная почта лежит.
Заказать DDoS на конкурента на чёрном рынке стоит сравнительно недорого (по данным открытых публикаций исследователей безопасности — речь идёт о нескольких тысячах рублей за час атаки малой и средней мощности). Поэтому страдают не только банки и крупные интернет-магазины, а и обычный средний бизнес: интернет-магазины перед распродажей, такси-сервисы, онлайн-школы во время приёма заявок, отраслевые порталы перед тендером.
Для бизнеса защита от DDoS — это страховка доступности. Сама атака не нанесёт прямого ущерба данным, но прямой ущерб — это упущенная выручка за часы простоя плюс репутационные потери. Для бизнеса с публичной онлайн-моделью (e-commerce, SaaS, медиа) час простоя в пиковый сезон может стоить больше годовой стоимости защиты.
Как это работает
Все DDoS-атаки делятся на три уровня — и средства защиты от них тоже разные.
L3/L4 — объёмные сетевые атаки. Злоумышленник заваливает ваш канал связи или сетевое оборудование пакетами (UDP-флуд, SYN-флуд, амплификация через открытые DNS/NTP-серверы). Атаки могут достигать сотен Гбит/с. Защита — только на уровне магистрального провайдера или специализированного облачного сервиса с собственной фильтрующей инфраструктурой по всему миру. Локально (на вашем роутере) такую атаку не отбить — канал просто забивается.
L7 — атаки на уровне приложения. Имитация поведения пользователя, но в массовом объёме: миллионы запросов к поисковой форме, к корзине, к API. Внешне выглядит как легитимный HTTPS-трафик. Защита — поведенческий анализ, капча, rate-limiting, фильтрация ботов. Обычно совмещается с WAF.
Гибридные атаки — комбинация L3/L4 и L7 одновременно, плюс прицельные атаки на конкретные уязвимые API-методы. Защита — комплекс средств: анти-DDoS на магистрали + WAF + правильная архитектура приложения.
Технически облачные сервисы защиты подключаются двумя способами. Через DNS-проксирование: ваш домен резолвится на IP сервиса, весь трафик идёт через него, фильтруется и пересылается на ваш сервер. Подходит для HTTP/HTTPS-сервисов. Через BGP-анонсирование: ваш диапазон IP анонсируется через сервис защиты, который физически принимает трафик первым и пересылает «чистый» в ваш канал по GRE/IPIP-туннелю. Подходит для защиты всей сети целиком (включая игровые серверы, VoIP, нестандартные протоколы).
Когда нужно компании
- Если у вас публичный сервис с авторизацией (личный кабинет, интернет-магазин, SaaS-приложение);
- Если бизнес-модель завязана на онлайн-каналы (заявки через сайт, продажи через интернет);
- Если уже была атака — повторятся будут;
- Если у вас сезонные пики (распродажи, начало приёма заявок, тендерные периоды) — именно тогда чаще всего и заказывают атаку конкуренты;
- Если есть требования регуляторов: для субъектов КИИ защита доступности — обязательная мера;
- Если у вас игровой проект, VoIP-сервис, видеостриминг — высокочувствительные к задержкам сервисы.
Что включает наша услуга
- Аудит инфраструктуры: какие сервисы публичны, какие протоколы используются, через какие каналы связи идёт трафик;
- Подбор модели защиты (DNS-проксирование для веба или BGP-защита для всей сети) с учётом архитектуры заказчика;
- Подключение через партнёрские сервисы (Qrator, ServicePipe, StormWall, DDoS-Guard) или комплексное решение с WAF;
- Настройка правил фильтрации под конкретное приложение, тестирование с симуляцией атаки;
- Подключение к нашему NOC 24/7: при атаке дежурная смена реагирует немедленно, корректирует фильтры, информирует заказчика;
- Регулярные отчёты: какие атаки отражены, объём фильтрованного трафика, рекомендации по донастройке.
Связанные термины
- WAF — Web Application Firewall — закрывает L7-атаки на веб-приложения, часто внедряется в связке
- Ежеквартальный ИБ-аудит: регулярные проверки безопасности — проверяет готовность инфраструктуры к атакам и корректность настроек защиты
- 187-ФЗ КИИ: критическая информационная инфраструктура — для значимых объектов КИИ защита доступности — обязательное требование
- 152-ФЗ: соответствие закону о персональных данных — доступность сервисов, обрабатывающих ПДн, тоже требует обеспечения
- Корпоративный антивирус (управление) — комплексная безопасность не сводится к одной мере
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «Защита от DDoS», укажите тип сервисов и ожидаемый легитимный трафик — получите ориентир по стоимости. Финальная смета — после обследования и согласования модели подключения (DNS-проксирование / BGP).
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП