Когда сайт падает под напором
Imagine: 100 000 компьютеров одновременно обращаются к вашему сайту. Он не может обработать такой поток — и падает. Это DDoS (Distributed Denial of Service — распределённый отказ в обслуживании). Легитимные пользователи не могут зайти на сайт. Бизнес теряет деньги. Цель атаки достигнута.
Как строится DDoS
Злоумышленник не использует один компьютер — это легко заблокировать. Он создаёт ботнет: сеть из тысяч или миллионов заражённых компьютеров, которыми управляет удалённо. Их владельцы часто не подозревают, что их устройство участвует в атаке.
Ботнеты формируются из заражённых ПК, IoT-устройств (камеры, роутеры, умные телевизоры) — всего, что подключено к интернету и плохо защищено.
Виды DDoS
Volumetric (объёмные) атаки — цель: исчерпать пропускную способность канала. UDP flood, ICMP flood — просто огромный поток данных. Измеряются в гигабитах в секунду (Gbps). Рекорд — более 3 Tbps.
Protocol-атаки — цель: исчерпать ресурсы сетевых устройств. SYN flood — заваливает сервер полуоткрытыми TCP-соединениями.
Application Layer (L7) атаки — цель: исчерпать ресурсы приложения. Медленные HTTP-запросы (Slowloris), запросы к дорогостоящим страницам. Сложнее обнаружить — трафик выглядит легитимным.
Защита от DDoS
Scrubbing-центры — провайдеры DDoS-защиты (Cloudflare, Akamai, Qrator) перенаправляют трафик через свои дата-центры, фильтруют вредоносный и пропускают легитимный. Это «чистка» трафика.
Anycast routing — распределение трафика по множеству точек присутствия по всему миру: атака «размывается» по глобальной инфраструктуре.
Rate limiting, CAPTCHA, поведенческий анализ — ограничение числа запросов с одного IP, проверка «человечности», анализ паттернов трафика.