Опубликовано: март 2026 · Инфраструктурная команда KVS Service · 7 мин чтения
Защита от DDoS для владельцев сайтов: практическое руководство
Если ваш сайт приносит доход — через рекламу, подписки, e-commerce или лидогенерацию — DDoS-защита не опциональна. DDoS-атаки эволюционировали из нишевого хакерского инструмента в коммодитизированную угрозу, которую можно заказать за $10/час на теневых рынках. Это руководство объясняет, что DDoS-атаки реально делают, как работают системы защиты, разницу между always-on и on-demand фильтрацией, и как оценить, достаточна ли защита вашего текущего хостинга.
Что происходит во время DDoS-атаки?
DDoS-атака заливает ваш сервер трафиком с тысяч или миллионов скомпрометированных устройств (ботнет). Цель проста: перегрузить ресурсы сервера — канал, CPU, память или количество соединений — чтобы настоящие пользователи не могли попасть на сайт. При успешной атаке сайт становится медленным или полностью недоступным. Для видеоплатформы это означает ноль зрителей и ноль дохода на время атаки. Для интернет-магазина каждая минута простоя — это прямые потери продаж. Средняя DDoS-атака в 2025 году длилась 45 минут, но целевые атаки на конкретный бизнес могут продолжаться часами.
Какие бывают три типа DDoS-атак?
L3/L4 — Объёмные и протокольные атаки. Самые распространённые и крупные по трафику. UDP-флуд, ICMP-флуд, SYN-флуд и атаки амплификации (DNS, NTP, memcached), которые умножают трафик в 50-500 раз. Амплификация 10 Гбит/с возможна всего с 20-200 Мбит/с атакующего канала. Защита требует фильтрации на границе сети — это стандартная DDoS-защита.
L7 — Атаки уровня приложений. Более изощрённые и сложные для обнаружения. Вместо потока сырого трафика отправляют легитимно выглядящие HTTP-запросы, чтобы исчерпать ресурсы приложения. HTTP-флуд (тысячи валидных запросов в секунду), Slowloris (медленные соединения), злоупотребление API (тяжёлые эндпоинты). Имитируют поведение реальных пользователей и требуют глубокой инспекции пакетов.
Мультивекторные атаки. Современные атакующие комбинируют L3/4 и L7 одновременно. Объёмная атака отвлекает защиту, пока L7 атакует конкретную уязвимость. Полноценная защита должна обрабатывать оба вектора.
В чём разница между always-on и on-demand защитой?
Always-on непрерывно пропускает весь трафик через фильтрацию 24/7. В обычном режиме фильтр передаёт легитимный трафик с задержкой менее 1 мс. При начале атаки правила уже активны — фильтрация включается за секунды. Always-on — отраслевой стандарт для продакшн-сайтов. KVS Service включает always-on в каждый выделенный сервер.
On-demand активируется только при обнаружении атаки. Обнаружение и перенаправление занимают 5-15 минут. Всё это время сервер получает нефильтрованный атакующий трафик. Для многих атак 5-15 минут простоя — это всё, что нужно атакующему.
Как оценить свой уровень DDoS-риска?
- Индустрия. Гейминг, гемблинг, финансы, крипто, adult-контент и политические медиа — самые частые мишени.
- Конкуренция. В высококонкурентных рынках недобросовестные конкуренты используют DDoS для вывода конкурентов из строя в пиковые периоды.
- Модель дохода. Если доход зависит от постоянной доступности (стриминг, SaaS, e-commerce), экономический ущерб от простоя делает вас привлекательной целью для атак с вымогательством.
- Предыдущие атаки. Если вас атаковали раньше, вероятность повторных атак выше. Атакующие обмениваются списками целей.
- Публичный профиль. Сайты, привлекающие внимание — спорный контент, журналистские расследования — подвергаются DDoS как форме цензуры.
Какой уровень защиты вам нужен?
| Уровень риска | Рекомендуемая защита | Типичная ёмкость |
|---|---|---|
| Низкий Блог, портфолио, малый бизнес | Базовая L3/L4 always-on | 10-40 Гбит/с |
| Средний E-commerce, SaaS, видеоплатформа | L3/L4 always-on + мониторинг | 40-100 Гбит/с |
| Высокий Гейминг, гемблинг, финансы, крипто | L3/L4/L7 always-on + WAF | 100 Гбит/с — 1 Тбит/с+ |
Как KVS Service обеспечивает DDoS-защиту?
Каждый выделенный сервер KVS Service включает always-on L3/L4 DDoS-защиту ёмкостью 40 Гбит/с — бесплатно. Трафик непрерывно фильтруется с задержкой менее 1 мс. Для высокорисковых проектов доступны апгрейды до 1 Тбит/с с L7-защитой. Подробнее о DDoS-защите или свяжитесь с отделом продаж.
Часто задаваемые вопросы
В чём разница между always-on и on-demand DDoS-защитой?
Always-on непрерывно фильтрует весь трафик 24/7 с задержкой менее 1 мс, активируя защиту за секунды при начале атаки. On-demand включается только при обнаружении атаки, занимая 5-15 минут на детекцию и перенаправление — всё это время сервер получает нефильтрованный атакующий трафик. Always-on — отраслевой стандарт для продакшн-сайтов.
Какие бывают три типа DDoS-атак?
Объёмные и протокольные атаки L3/L4 (UDP-флуд, SYN-флуд, атаки амплификации с умножением трафика в 50-500 раз), атаки уровня приложений L7 (HTTP-флуд, Slowloris, злоупотребление API под видом реальных пользователей) и мультивекторные атаки, комбинирующие L3/4 и L7 одновременно. Полноценная защита должна обрабатывать все три типа.
Как оценить уровень DDoS-риска для сайта?
Ключевые факторы: индустрия (гейминг, гемблинг, финансы, крипто, adult — самые частые мишени), конкуренция (конкуренты могут атаковать в пиковые периоды), модель дохода (бизнесы с постоянной доступностью привлекают атаки-вымогательства), история атак (атакующие обмениваются списками целей) и публичный профиль (спорный контент подвергается DDoS как цензуре). Высокорисковым проектам нужна always-on L3/L4/L7 защита с WAF ёмкостью 100 Гбит/с — 1 Тбит/с.