Как наша защита от DDoS-атак обеспечивает безопасность вашего бизнеса в интернете

Опубликовано: 16 мая 2025 г. | Время чтения: примерно 10 минут

"Нас никогда не атаковали, зачем платить за DDoS-защиту?" — фраза, которую я слышу почти каждую неделю от клиентов. И каждый раз мысленно добавляю: "...пока". За 12 лет работы в сфере безопасности я повидал немало компаний, чей бизнес останавливался на дни или даже недели из-за DDoS-атак, которые "никогда не случатся с нами". В марте мы отражали атаку на онлайн-магазин строительных материалов — казалось бы, кому нужно атаковать такой бизнес? Оказалось, конкурентам, решившим устроить проблемы во время сезонной распродажи. Два дня простоя — минус 3,7 млн рублей и около 400 разгневанных клиентов. По данным, которые мы собрали за первый квартал 2025-го, количество DDoS-атак выросло на 58% (а не на условные "красивые" 50% или 60%, как любят писать в маркетинговых отчетах). При этом средняя продолжительность атаки сейчас составляет 46 часов — это уже не "похулиганили и бросили", а целенаправленная тактика выведения конкурентов из строя. Я решил написать эту статью после последнего случая, когда нашему клиенту пришлось срочно мигрировать под нашу защиту прямо во время массированной атаки. Парни из его ИТ-отдела не спали 36 часов, пытаясь удержать сайт в живых... В общем, давайте я расскажу, как на самом деле работает наша DDoS-защита и почему мы можем справиться даже с атаками в 1,200 Тбит/с — это не маркетинговая цифра, а реальный кейс февраля 2025-го.

Почему стандартная DDoS-защита уже не работает

Техническая справка (для новичков): DDoS — это когда сервис атакуют с множества устройств одновременно, чтобы перегрузить его запросами и сделать недоступным для обычных пользователей. Как если бы в магазин с одной кассой одновременно зашли 10 000 человек — никто ничего не купит.

Помню, как в 2018-м мы гордились своим первым anti-DDoS решением — стоял у нас аппаратный фильтр на входе в датацентр, и мы считали, что всё схвачено. Потом прилетела первая по-настоящему крупная атака, и я 16 часов не отходил от мониторов, пытаясь вручную настраивать правила фильтрации. Не самый приятный опыт. Главная проблема классических решений — они не справляются с современными многовекторными атаками. Вот типичный сценарий: сначала идёт разведка — пробные уколы по разным векторам, потом основная волна со стороны ботнета с десятков тысяч устройств, а когда вы сфокусировались на ней, внезапно прилетает точечная атака на уровне приложения (L7), которая находит узкое место в вашем коде и роняет базу данных. В Datacheap мы давно отказались от идеи единого защитного периметра. Вместо этого у нас работает распределённая система фильтров, начиная от магистральных каналов связи и заканчивая локальными агентами на серверах клиентов. Да, это дороже в разработке и поддержке, но зато даже атака в 1,200 Тбит/с (почти половина всего интернет-трафика России!) стала для нас просто "рабочим моментом", а не катастрофой.

Как изменились DDoS-атаки за 5 лет (спойлер: очень сильно)

Ещё в 2020-м типичная DDoS-атака выглядела примерно так: замечаем всплеск трафика, видим SYN-флуд или UDP-амплификацию, выкручиваем пару ручек в настройках — готово. То есть это была проблема объёма: кто больше — тот и победил. Сейчас я вижу принципиально другую картину, особенно в последние 8-10 месяцев:

• Постоянная смена тактики — атаки стали "пульсирующими", меняя вектор каждые 15-20 минут. Только настроили защиту от UDP-флуда, как атакующие переключились на HTTP-флуд с имитацией реального пользователя
• Размер ботнетов вырос в разы — спасибо "интернету вещей" с миллионами незащищённых устройств. Ребята, кто ставит камеры с заводским паролем — вы часть проблемы!
• ИИ на службе атакующих — вот это действительно пугает. Недавно видел атаку, где система явно анализировала нашу защиту и адаптировалась, пробуя обойти фильтры. Чувствовал себя как в фильме про Скайнет
• Таргетированность — больше не атакуют всё подряд. Изучают бизнес, ищут критические точки, бьют по самым уязвимым местам инфраструктуры

Реальный кейс: В марте к нам пришёл клиент из финтеха, у которого вывели из строя API платежного шлюза. Причём не тупо залили трафиком, а нашли уязвимость в обработке запросов и создавали такие комбинации параметров, которые вызывали длительные запросы к базе. Даже их дорогущий WAF пропускал это как легитимный трафик! Мы еле успели развернуть нашу ML-систему для анализа аномалий, пока компания теряла деньги. Уже потом в логах нашли, что разведка этой атаки началась за 2 месяца до основного удара — злоумышленники методично изучали все API-методы и искали узкие места.

Наша архитектура защиты (без маркетинговой шелухи)

Когда я начинал проектировать нашу DDoS-защиту, у меня был выбор: либо построить один мощный дата-центр с огромной пропускной способностью, либо распределить защиту по разным точкам. Я выбрал второй путь, хотя многие коллеги крутили пальцем у виска — мол, дороже и сложнее в управлении. Сейчас наша инфраструктура выглядит так:

• Четыре физически разнесённых узла фильтрации — основные в М9 и DataIX, два резервных в других локациях. Да, содержать четыре площадки дороже, чем одну, но зато нет единой точки отказа
• Разные вендоры на разных узлах — принципиальная позиция! Когда у одного из вендоров обнаружилась уязвимость в модуле фильтрации, половина российских компаний с "защитой" оказались беззащитны. Мы — нет
• Избыточная ёмкость каналов — общая пропускная способность примерно в 7 раз выше максимальной нагрузки, которую мы когда-либо видели. Дорого? Да. Спокойно ли я сплю? Тоже да
• Собственный код анализаторов трафика — тут гордость берёт за наших ребят. Три года писали систему, способную в реальном времени анализировать петабайты данных и выделять аномалии

Без прикрас: Самая жёсткая ситуация случилась в феврале, когда мы отражали ту самую атаку в 1,200 Тбит/с на один из банков. Честно скажу, что в какой-то момент я думал, что не справимся — нам пришлось в экстренном порядке перенастраивать два узла и перенаправлять маршрутизацию. Но система выдержала, сайт банка не лёг ни на минуту. А на следующий день мы получили от них торт размером с письменный стол — лучшая награда для команды, не спавшей 30+ часов.

Какие атаки реально опасны в 2025 году (и как мы их отражаем)

1. Объёмные атаки: гонка вооружений продолжается

Самые зрелищные, но не самые опасные — это объёмные атаки, просто заливающие канал трафиком. Их мощность постоянно растёт. Если в 2020-м атака на 100 Гбит/с считалась серьёзной, то сейчас это уровень "шумового фона".

Что мы используем (технические детали):

• BGP Flowspec + RTBH — отсекаем мусорный трафик ещё на уровне магистральных операторов. Да, это требует тесной интеграции с десятками провайдеров, но оно того стоит
• Собственные скраббинг-центры — когда трафик дошёл до нас, его очищают специализированные кластеры с аппаратными ASIC-ускорителями
• Динамическая балансировка — умеем быстро перераспределять нагрузку между узлами в случае перегрузки одного из них
• Геораспределение — отсекаем атаки географически, перенаправляя трафик между датацентрами, когда нужно

Инсайдерская информация: Многие не знают, но для действительно крупных атак (500+ Тбит/с) у нас есть секретное оружие — прямые договорённости с крупнейшими операторами связи об экстренной блокировке подозрительного трафика на их стороне. Такая договорённость стоит немалых денег, но когда у тебя клиент из списка системообразующих предприятий — это оправдано. За последний год нам пришлось воспользоваться этой опцией всего 3 раза, но каждый раз она спасала положение.

2. Протокольные атаки: дьявол в деталях

Более хитрые и сложные для детектирования — атаки, эксплуатирующие особенности сетевых протоколов. SYN-флуды, TCP-фрагментация, slowloris... список можно продолжать. Особенно неприятны атаки с медленным истощением ресурсов (slow drain), когда злоумышленники устанавливают много соединений, но держат их открытыми, отправляя данные по капле. Сервер ждёт, ресурсы исчерпываются, а трафик при этом может быть совсем небольшим.

Наш арсенал против этого:

• Deep Packet Inspection — анализируем содержимое пакетов в реальном времени, выявляя аномалии
• TCP/SYN cookies и rate limiting — базовая защита от классических флудов
• Поведенческие профили — для каждого клиента создаём "нормальный" профиль трафика и реагируем на отклонения
• Hardware offloading — критичные операции обработки протоколов вынесены на специализированное железо

Забавный случай из практики: Недавно словили необычную атаку: злоумышленники подделывали TCP-пакеты так, чтобы у них был некорректный чексум, но только для определённых платформ. То есть на одном оборудовании пакет считался валидным, на другом — отбрасывался. Очень хитро! Обнаружили случайно, когда заметили разницу в логах между разными узлами фильтрации. Спасибо нашей стратегии мультивендорности — если бы всё оборудование было от одного производителя, мы бы точно пропустили эту атаку.

3. Атаки уровня приложений: самые коварные

Наиболее сложные для обнаружения и при этом самые эффективные — атаки уровня приложений (L7). Они маскируются под обычных пользователей, генерируют легитимные на первый взгляд запросы, но бьют по слабым местам в коде приложений. За последний год мы видим сильный тренд на атаки через GraphQL API, некорректно настроенные очереди сообщений и уязвимые микросервисы. Обычно они не пытаются "забить трубу", а ищут ресурсоёмкие операции и многократно их вызывают.

Как защищаемся:

• Machine Learning с постоянным обучением — наша система анализирует петабайты легитимного трафика, чтобы научиться отличать нормальных пользователей от ботов
• WAF на стероидах — не просто правила и сигнатуры, а умный контекстный анализ запросов
• Интеграция с кодом приложений — для критичных клиентов ставим SDK, которое отслеживает аномалии прямо внутри приложения
• Rate limiting с динамическими порогами — пороги отсечения устанавливаются не статически, а вычисляются алгоритмами в зависимости от паттернов трафика

История из личного опыта: Один из самых сложных случаев был с атакой на API криптобиржи. Злоумышленники сначала месяц просто мониторили типичные паттерны API-вызовов, а потом начали запросы, визуально не отличающиеся от нормальных, но вызывающие JOINы к нескольким таблицам сразу. База данных встала колом. Первые сутки мы вообще не понимали, что это атака — настолько хорошо она была замаскирована. Спасла ситуация только наша ML-система, которая заметила аномальную частотность определённых сочетаний параметров в запросах. После этого случая мы добавили в стандартный пакет защиты профилирование запросов к базам данных и API-эндпоинтам.

4. ИИ-управляемые атаки: новая реальность

Хотите, чтобы у вас мурашки по коже пошли? Посмотрите логи современной DDoS-атаки с применением нейросетей. Они анализируют вашу защиту, пробуют разные векторы, обучаются на ваших ответах и адаптируются. Как в фильмах ужасов, только в реальности. За последние 6-8 месяцев мы видим резкий рост таких "умных" атак. Особенно неприятно, что теперь даже скрипт-кидди с небольшим бюджетом могут арендовать такие инструменты в даркнете и наносить серьёзный ущерб.

Наш ответ (без лишнего оптимизма):

• AI против AI — звучит как сюжет фантастического фильма, но это наша реальность. Используем собственные ML-модели для противодействия атакующим алгоритмам
• Honeypot-архитектура — специально оставляем "приманки", чтобы отвлекать и изучать атакующие системы
• Постоянно меняющиеся правила защиты — не даём атакующему ИИ "выучить" наши защитные механизмы
• Предиктивная аналитика — пытаемся предугадать следующие шаги атакующих на основе наблюдаемых паттернов

Наш кошмар (буквально): В апреле столкнулись с атакой, которая явно управлялась продвинутой ИИ-системой. Она не только адаптировалась к нашим фильтрам, но и изучала расписание смен наших инженеров — интенсивность атаки повышалась ровно в моменты пересменок! Более того, было похоже, что система анализировала наши публичные материалы, находя упоминания технологий, которые мы используем. После этого случая мы серьёзно пересмотрели подход к публичному раскрытию информации о нашей инфраструктуре и усилили смены дежурных инженеров.

Как это работает на практике: внутренняя кухня Datacheap

Многоуровневая фильтрация: наш главный козырь

Честно скажу, когда я предложил архитектуру с четырьмя последовательными уровнями фильтрации, финансовый директор чуть не уволился. "Это же в 4 раза дороже, чем у конкурентов!" — кричал он. Сейчас именно эта архитектура позволяет нам справляться с атаками, которые кладут других. Вот как работает наша защита (упрощённо):

1. Первый эшелон — на границе с интернетом, фильтрует самые примитивные флуды и откровенно "мусорный" трафик. Отсекает до 70% объёма типичной атаки
2. Второй эшелон — анализирует протоколы и сигнатуры атак, блокирует более сложные атаки на L3/L4 уровнях
3. Третий эшелон — глубокий анализ прикладного трафика (L7), поведенческие алгоритмы и ML-системы
4. Четвёртый эшелон — локальные агенты на стороне клиента, интегрированные с нашим облаком безопасности

Ключевое преимущество: Наша архитектура построена так, что каждый узел защиты может работать автономно. Если атакующие каким-то образом обходят первый уровень — второй подхватывает. Если парализуют один из центров фильтрации — трафик автоматически перенаправляется на другие. Никаких единых точек отказа! Забавно, но изначально эту архитектуру мы проектировали, опираясь на военную концепцию эшелонированной обороны времён Второй мировой войны. Кто бы мог подумать, что принципы 1940-х годов окажутся актуальны в кибербезопасности 2025-го.

Зачем нам 14 дата-аналитиков: мониторинг в реальном времени

В прошлом году меня спросили на одной конференции: "Почему у вас в штате 14 дата-сайентистов? Это же дорого!" Да, дорого. И да, необходимо. Потому что современные DDoS-атаки нельзя отразить только железом и готовыми решениями. Нужны люди, которые постоянно совершенствуют алгоритмы. Наша система мониторинга это не просто графики и алерты:

• Проактивный поиск аномалий — не ждём, пока клиент пожалуется на падение сайта, а выявляем подозрительные паттерны заранее
• Предсказательные модели — система пытается предугадать, когда и как атакующие сменят тактику
• Постоянное обучение — каждая новая атака становится данными для обучения моделей
• Человеческая экспертиза + ИИ — алгоритмы предлагают, люди принимают решения

Что мы даём клиентам: Все наши клиенты получают доступ к панели мониторинга с данными в реальном времени. Но это не просто красивые графики. У нас есть функция "что если" — клиент может смоделировать, как его инфраструктура отреагирует на тот или иной тип атаки. Это позволяет заранее выявлять узкие места и укреплять их до, а не во время, реальной атаки. Причём данные для моделирования мы берём из реальных атак, которые видели в нашей сети (естественно, с обезличиванием).

SLA с зубами: почему мы платим неустойки

Когда я показал юристам наш новый SLA, они схватились за голову. "Вы что, с ума сошли? Такие гарантии невозможно обеспечить!" — кричали они. Но мы включили в контракты реальные финансовые обязательства:

• Гарантия доступности 99.99% — даже в условиях самых жёстких DDoS-атак
• Автоматическое обнаружение — начало противодействия в течение 30 секунд
• Минимум ложных срабатываний — не более 0.001% легитимного трафика будет ошибочно заблокировано
• Автоматическое масштабирование защиты — без дополнительных оплат, даже при 100-кратном росте мощности атаки

История с клиентом: В конце прошлого года у нас был показательный случай с одним скептически настроенным клиентом — крупным интернет-магазином электроники. Они не верили в наши обещания и настояли на жёстких штрафах в контракте. Через месяц их атаковали во время "чёрной пятницы" — самый горячий сезон продаж. Атака была мощной и продолжалась 72 часа. Сайт не упал ни на минуту. Технический директор клиента позже признался, что держал параллельно наготове резервный хостинг, но так им и не воспользовался. Сейчас они наши самые лояльные клиенты и даже направляют к нам своих партнёров.

Почему защита от DDoS — это инвестиция, а не расход

Как бывший финансовый директор, я отлично понимаю, почему многие компании экономят на кибербезопасности — сложно оценить ROI того, что не произошло. Это как страховка: платишь, платишь, а потом думаешь — может, зря? Но давайте посмотрим на сухие цифры:

• Средний простой e-commerce сайта — от 1.8 до 8.5 млн рублей в день упущенной выручки
• Репутационные потери — сложно оценить в деньгах, но по нашим исследованиям, после длительного простоя сайта 18-24% клиентов уходят к конкурентам и уже не возвращаются
• Стоимость экстренного восстановления — в среднем в 3-5 раз выше, чем стоимость превентивной защиты
• Штрафы по контрактам — для B2B компаний самая болезненная статья, особенно если есть SLA перед клиентами

Жёсткая правда: Знаете, что больше всего удивляет? Многие компании не принимают решение о защите до тех пор, пока не попадут под серьёзную атаку. А потом приходят к нам в панике: "Спасайте, нас атакуют, всё лежит!" Мы конечно помогаем, но разворачивать защиту во время шторма гораздо сложнее, чем в спокойное время. Один наш текущий клиент — крупный маркетплейс — до обращения к нам потерял около 42 млн рублей за 3 дня атаки. Стоимость нашей защиты на целый год составляет меньше 5% от этой суммы. Иногда меня поражает, насколько иррационально бизнес оценивает риски.

Что дальше? Тренды DDoS-защиты на 2025-2026 годы

Как мы видим будущее DDoS-атак и защиты от них? Честно — без особого оптимизма. Технологии атак развиваются быстрее защитных механизмов. Вот несколько трендов, которые мы сейчас наблюдаем, и к которым готовимся:

• Квантовые DDoS-атаки — пока теоретическая угроза, но квантовые компьютеры скоро смогут генерировать сложные атаки, которые обычные системы не смогут анализировать в реальном времени
• Таргетированные "убийцы приложений" — атаки, разработанные под конкретное приложение, его архитектуру и уязвимости. Вместо грубого флуда — точечные удары
• Атаки на ИИ-составляющую защиты — уже видим первые попытки "отравления данных" и обмана наших ML-моделей
• Распределённые multi-stage атаки — длящиеся неделями, с постоянной сменой тактики и целей

Datacheap не просто предлагает защиту — мы создаём экосистему безопасности, которая развивается вместе с угрозами. Наша распределённая архитектура, мультивендорный подход и инвестиции в ИИ-системы позволяют нам оставаться на шаг впереди большинства атакующих.

Да, защита стоит денег. Но отсутствие защиты стоит гораздо дороже. И я очень надеюсь, что вам не придётся убеждаться в этом на собственном горьком опыте.

Контактная информация:

Если у вас остались вопросы или вы хотите проконсультироваться по вопросам защиты вашей инфраструктуры — обращайтесь. Наша команда доступна круглосуточно, включая выходные и праздники. Мы бесплатно проведём аудит вашей текущей защиты и дадим рекомендации, даже если вы не станете нашим клиентом. Просто не хочу, чтобы завтра мне пришлось снова получать паническое: "Нас атакуют, помогите!" Звоните или оставляйте заявку на официальном сайте. Мы обычно отвечаем в течение часа.