Что такое DDoS attack и как защитить сервер?

Что такое DDoS attack?

DDoS attack (Distributed Denial of Service) — это распределённая атака на отказ в обслуживании. Злоумышленник не обязательно взламывает ваш сайт или сервер — он просто создаёт такую нагрузку, при которой ресурс перестаёт отвечать нормальным пользователям.

Представьте, что в магазин одновременно зашли тысячи людей. Они ничего не покупают, не дают пройти реальным клиентам и полностью блокируют кассу. Двери открыты, продавцы на месте, товар на месте — но бизнес фактически остановлен. В интернете происходит то же самое, только вместо людей — заражённые устройства, серверы, IoT-камеры, роутеры и боты.

Главная опасность DDoS в том, что он может остановить бизнес без классического взлома. Данные могут быть не украдены, пароли не скомпрометированы, сервер технически исправен — но клиенты всё равно не могут открыть сайт, оплатить заказ, зайти в личный кабинет или подключиться к VPN.

Почему DDoS стал угрозой и для обычного бизнеса

Раньше DDoS считался проблемой банков, госсайтов и крупных корпораций. Сегодня атака может затронуть интернет-магазин, клинику, SaaS-сервис, логистическую компанию или обычный сайт услуг. Причина проста: атаки стали дешевле, доступнее и автоматизированнее. На чёрном рынке есть готовые ботнеты и автоматические инструменты. Иногда DDoS используют для шантажа, иногда — конкуренты, иногда — как отвлекающий манёвр перед другой атакой.

УГРОЗА РАСТЁТ

2026: число атак и ботнеты растут взрывными темпами

По данным StormWall, в первом квартале 2026 года число DDoS-атак в мире выросло на 168% к прошлому году. «Армия» заражённых устройств увеличилась почти втрое и достигла 7 млн IP-адресов. Атаки на телеком превышали 2 Tbps, некоторые доходили до 3.5 Tbps. Самой атакуемой отраслью стал финансовый сектор.

+168% атак (1 кв. 2026)

7 млн заражённых IP

Телеком: до 3.5 Tbps

В АЗЕРБАЙДЖАНЕ

DDoS — реальная угроза и для Азербайджана

В 2025 году в Азербайджане несколько дней наблюдались массовые DDoS-атаки на государственные информационные ресурсы; в феврале пострадали и крупные медиа ресурсы. За год в госсистемах предотвращено ~450 млн вредоносных попыток. По отчёту Cloudflare за 2 квартал 2025 года Азербайджан поднялся на 31 позицию и вошёл в топ-10 самых атакуемых стран.

~450 млн попыток заблокировано

Топ-10 атакуемых стран (2025)

Госсектор + медиа под ударом

Как DDoS влияет на ресурсы

Фраза «у нас мощный сервер» — это не защита от DDoS. Сервер может быть мощным, но если его порт 1 Gbps, а на IP приходит атака 20, 50 или 100 Gbps, пользователи просто не смогут до него достучаться — канал будет забит до того, как сервер успеет что-то обработать. Это как если офис отличный и команда сильная, но дорога к офису полностью перекрыта.

РЕКОРДНЫЕ АТАКИ

Мощность атак растёт кратно каждый год

По открытым отчётам Cloudflare, мощность крупнейшей отражённой DDoS-атаки выросла в разы всего за пару лет: в 2024 году это было 5.6 Tbps, а к концу 2025-го — уже 31.4 Tbps, причём атака длилась всего 35 секунд. Только за 2024 год Cloudflare отразил 21.3 млн DDoS-атак (+53% к предыдущему году).

2024 — 5.6 Tbps

2025 — 7.3 Tbps

2025 — 11.5 Tbps

2025 — 31.4 Tbps

Основные типы DDoS-атак

Объёмные (volumetric) — забивают канал мусорным трафиком: UDP flood, DNS/NTP amplification.
Протокольные (Layer 3/4) — используют особенности протоколов: SYN flood истощает память firewall и роутеров.
Прикладные (Layer 7) — целят в приложение: HTTP flood похож на обычные запросы, но грузит тяжёлые участки сайта (поиск, авторизацию, корзину, API).

Почему нельзя защищаться только на сервере

Linux firewall, iptables, fail2ban, nginx rate limit — полезные инструменты, но они не решают главную проблему объёмного DDoS. Если вредоносный трафик уже дошёл до сервера, значит он прошёл через ваш внешний канал. А если канал забит, локальный firewall видит проблему слишком поздно. Поэтому защита должна начинаться не на сервере, а выше — на уровне дата-центра и провайдера, до попадания трафика на инфраструктуру клиента.

Что такое Cloudflare и где он помогает

Cloudflare — глобальная сеть защиты, которая встаёт между пользователями и вашим сайтом. Домен переводится на Cloudflare, трафик сначала приходит к нему, проверяется, применяются WAF-правила, отсеиваются боты, и только очищенный трафик идёт на origin-сервер. На уровне Layer 7 (HTTP/HTTPS, API, формы входа) Cloudflare — очень сильный первый слой защиты: CDN, WAF, rate limiting, bot protection и скрытие реального IP.

Где Cloudflare может не помочь

Главный риск — утечка реального IP-адреса сервера. Если злоумышленник узнает IP origin-сервера, он может атаковать его напрямую, в обход Cloudflare. DNS может показывать Cloudflare, сайт открываться через Cloudflare, WAF быть включён — но атака идёт прямо на IP. IP может утечь из старых DNS-записей, MX-записей (если почта на том же сервере), истории сканирований, логов или открытых сервисов (SSH, RDP, VPN, панели). Поэтому правильная защита должна учитывать не только домен, но и сам IP.

Принимать трафик только от Cloudflare

Одна из правильных практик — закрыть прямой доступ к origin-серверу. Если сайт работает через Cloudflare, обычному пользователю не нужно подключаться к реальному IP напрямую. Правила firewall можно настроить так, чтобы сервер принимал web-трафик только от IP-сетей Cloudflare, а всё остальное блокировалось. Тогда даже зная реальный IP, прямой трафик будет отброшен, а легитимный продолжит идти через Cloudflare. Важно: SSH, RDP, почту, VPN и панели управления нужно вынести в отдельную защищённую схему (VPN, allowlist, bastion host).

Зачем нужна защита от дата-центра до Layer 4

Защита на уровне дата-центра отфильтровывает вредоносный трафик до того, как он попадёт на ваш порт, роутер или сервер. Это особенно важно для атак L3/L4: UDP flood, SYN flood, amplification. Если на сервер с портом 1 Gbps приходит атака 30 Gbps, сервер не сможет отбиться — он даже не получит нормального трафика. Если фильтрация работает у дата-центра или upstream-провайдера, мусор отбрасывается выше, а до клиента доходит уже очищенный трафик. Поэтому серьёзная схема — это не «Cloudflare или дата-центр», а многоуровневая архитектура.

Путь трафика: атака → фильтры → ваш сервер

FLOOD

Атака — ботнет, IoT, flood

Тысячи заражённых устройств шлют огромный трафик на ваш IP.

L3 / L4

DDoS-защита Epro.io — дата-центр, до 100 Gbps

Фильтрует UDP/SYN flood, amplification и прямые атаки по IP до сервера.

Cloudflare — WAF, CDN, защита от ботов

Отсеивает HTTP flood, вредоносные web-запросы и ботов, скрывает реальный IP.

ORIGIN

Server firewall — только от Cloudflare

Origin принимает web-трафик только от IP-сетей Cloudflare; всё остальное блокируется.

ADMIN

Отдельный защищённый доступ — SSH/RDP/VPN

Админ-сервисы не открыты в интернет — за VPN/allowlist.

Слой защиты	Сильная сторона	Ограничение
Server firewall	Локальные правила, контроль IP/портов	Поздно при забитом канале
Cloudflare (L7)	WAF, CDN, боты, HTTP flood, скрытие IP	Можно обойти при утечке IP
Epro.io ЦОД (L3/L4, 100 Gbps)	UDP/SYN flood, amplification, защита канала	Не заменяет защиту приложения (L7)

Сколько DDoS может стоить бизнесу

Стоимость DDoS почти никогда не равна цене «починить сервер» — сервер может быть полностью исправен. Реальные потери складываются из другого: упущенные продажи, отменённые заказы, штрафы по SLA, ночная работа инженеров, экстренный переезд инфраструктуры, потеря доверия клиентов и падение позиций в поиске из-за недоступности сайта. Самая дорогая DDoS-защита — та, которую покупают уже во время атаки, потому что в этот момент нет времени на спокойный анализ, тесты и настройку.

РЕАЛЬНЫЙ СЛУЧАЙ

Одна DDoS-атака стоила компании до 12 млн долларов

Американский телеком-провайдер Bandwidth Inc. в сентябре 2021 года несколько дней подвергался шантажной (ransom) DDoS-атаке: отказали голос, сообщения и услуги 911, пострадали даже провайдеры, работавшие поверх его сети (Twilio, RingCentral, DialPad). Компания оценила ущерб годовой выручке в 9–12 млн долларов. Обратите внимание: сервер не был взломан — он просто был недоступен.

Простой днями

Ущерб 9–12 млн $

Шантаж (ransom DDoS)

ЦЕНА ПРОСТОЯ

Каждая минута простоя — это деньги

По отраслевым оценкам, простой при DDoS-атаке на web-приложение в среднем стоит около 6 000 долларов в минуту (~360 000 долларов в час), а у крупных корпораций может превышать полмиллиона долларов в час. Средняя атака длится 45 минут — то есть один эпизод может обойтись незащищённому бизнесу примерно в 270 000 долларов.

~6 000 $ / минута

~360k $ / час

Средняя атака ~45 мин

Вопросы, которые стоит задать до атаки

Если на эти вопросы нет точных ответов, защита держится скорее на надежде, чем на архитектуре:

Что мы будем делать, если завтра утром сайт не откроется?

Кто первым увидит проблему — мониторинг или клиент?

Знаем ли мы все IP, смотрящие в интернет?

Полностью ли origin скрыт за Cloudflare?

Может ли кто-то подключиться напрямую, минуя Cloudflare?

Разрешён ли доступ к web-серверу только от Cloudflare?

Есть ли у нас DDoS-защита до Layer 4 на уровне дата-центра?

Как защищены SSH, RDP, VPN и панели?

DDoS-защита в Epro.io

Epro.io размещает инфраструктуру с DDoS-защитой до Layer 4 и возможностью защиты трафика до 100 Gbps. Наша задача — не просто поставить сервер в дата-центр, а учесть, как трафик доходит до сервера, какие IP открыты в интернет и что произойдёт, если злоумышленник узнает реальный IP.

В типовой защищённой схеме мы используем комбинированный подход: Cloudflare — для сайта, CDN, WAF и Layer 7; DDoS protection Epro.io до Layer 4 — для IP, TCP/UDP-трафика и канала; фильтрация источников — чтобы сервер принимал web-трафик только от Cloudflare; отдельный защищённый административный доступ — для SSH, RDP, панелей и VPN. Так даже зная реальный IP, злоумышленник не сможет обойти Cloudflare и ударить напрямую по origin. Мы не обещаем убрать риск на 100% — такой честной гарантии не даст никто — но делаем главное: не оставляем бизнес один на один с атакой.

Без защиты

✕Канал забивается мусорным трафиком
✕Сайт, CRM и почта недоступны одновременно
✕Каждая минута простоя — прямые потери
✕Паника и спешные решения во время атаки

С Epro.io — Layer 4, до 100 Gbps

✓Мусорный трафик фильтруется в дата-центре
✓Origin принимает трафик только от Cloudflare
✓Сайт и сервисы продолжают работать
✓Защита настроена заранее — без экстренного переезда

Частые вопросы

Cloudflare полностью защищает от DDoS?

Нет. Cloudflare очень эффективно защищает web-трафик, API и приложения, если трафик действительно идёт через него. Но если реальный IP сервера известен и сервер принимает прямые подключения, злоумышленник может обойти Cloudflare и атаковать origin.

Если злоумышленник узнает IP, Cloudflare бесполезен?

Не обязательно. Обойти Cloudflare легко только если сервер принимает прямые подключения откуда угодно. Если доступ к origin ограничен только IP-сетями Cloudflare, а остальной трафик блокируется на уровне firewall и дата-центра, прямой обход становится намного сложнее.

Достаточно ли firewall на сервере?

Нет. Firewall на сервере полезен, но не спасёт от атаки, которая забивает канал. Если канал перегружен, легитимные пользователи не подключатся независимо от правил firewall.

Что лучше: Cloudflare или защита дата-центра?

Это разные слои защиты. Cloudflare хорошо закрывает web, WAF, CDN и Layer 7. Защита дата-центра важна для L3/L4, прямых IP-атак, TCP/UDP и канала. В идеале они работают вместе.

Защита Layer 4 есть во всех планах?

Да. В Epro.io включена DDoS-защита до Layer 4 с возможностью защиты трафика до 100 Gbps. Для Layer 7 дополнительно рекомендуется Cloudflare/WAF.

Если сайт маленький, нужна ли защита?

Размер сайта не всегда важен. Иногда атакуют не потому что компания крупная, а потому что ресурс оказался удобной целью: конкуренция, конфликт, вымогательство или автоматическая атака на весь диапазон IP.

Нашли ошибку или есть вопрос?

✉️ Напишите нам

Все наши услуги — уже под защитой, вам осталось только выбрать

DDoS-защита до Layer 4 (до 100 Gbps) и Tier III ЦОД в Баку уже включены в каждый план. Выберите VPS, выделенный сервер или хостинг — остальное настроим мы.

VPS / VDS Выделенный сервер Хостинг WhatsApp