Почти во всех странах (включая РФ, где такие действия квалифицируются по статьям УК РФ, например, ст. 272.1 — «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации»).
Злоумышленник использует сеть заражённых устройств (ботнет) для отправки огромного количества запросов на ваш сайт. Сервер не справляется с нагрузкой — сайт становится недоступен для настоящих пользователей.
Признаки DDoS:
- Сайт внезапно «лёг» без видимых причин (не обновляли код, не было пиковой нагрузки).
- Сервер «тормозит» или отвечает с ошибками 502/503/504.
- В логах — аномально высокое число запросов с разных IP за короткое время.
- Хостинг может прислать уведомление о превышении трафика или нагрузки CPU.
Как устроена DDoS-атака: технический разбор
1. Цель атаки
Сделать ресурс (сайт, сервер, API) недоступным для легитимных пользователей, перегрузив:
- Канал связи (трафик),
- Серверные ресурсы (CPU, RAM),
- Прикладной уровень (база данных, логика приложения).
2. Типы DDoS-атак
A. Атаки на сетевой уровень (L3/L4)
Цель — исчерпать пропускную способность канала или ресурсы сервера.
|
UDP Flood
|
Отправка множества UDP-пакетов на случайные порты. Сервер пытается обработать их, генерируя ICMP-ответы → перегрузка.
|
hping3 --flood -V -u -p 53 target.com(только в тестовой среде!)
|
|
SYN Flood
|
Злоумышленник отправляет множество TCP-запросов с флагом SYN, но не завершает handshake. Сервер держит «полуоткрытые» соединения → исчерпывает память.
|
Использует поддельные IP-адреса (spoofing).
|
|
DNS Amplification
|
Атакующий отправляе маленький запрос к открытому DNS-резолверу с поддельным IP жертвы. Сервер отвечает огромным пакетом на жертву. Усиление — до 50–100×.
|
Запрос типаANYк уязвимому DNS-серверу.
|
Такие атаки измеряются в Гбит/с. Современные атаки достигают >1 Тбит/с (например, атака на AWS в 2020 г.).
B. Атаки на прикладной уровень (L7)
Цель — исчерпать ресурсы веб-приложения (CPU, БД, сессии).
Такие атаки сложнее обнаружить — трафик выглядит как «нормальный», но объём или паттерны подозрительны.
3. Инфраструктура атаки: ботнеты
Атакующий редко использует один компьютер. Вместо этого:
- Заражает устройства (ПК, IoT-камеры, роутеры) вредоносным ПО (например, Mirai, Mozi).
- Создаёт ботнет — сеть «зомби»-устройств под его контролем.
- Через C&C-сервер (Command & Control) отправляет команду: «атакуй target.com».
- Тысячи устройств одновременно шлют трафик → жертва падает.
Пример: ботнет Mirai в 2016 году вывел из строя Twitter, Netflix, Reddit через атаку на DNS-провайдера Dyn.
4. Пример упрощённой схемы (только для понимания)
[Злоумышленник]
│
▼
[C&C-сервер] ← управляет ботнетом
│
▼
[Бот 1] → отправляет 1000 запросов/сек → [Жертва: example.com]
[Бот 2] → отправляет 1000 запросов/сек → [Жертва: example.com]
[Бот 3] → отправляет 1000 запросов/сек → [Жертва: example.com]
...
[Бот 100 000] → ...
Результат: сервер получает 100 млн запросов/сек, не справляется → легитимные пользователи видят ошибку 503.
Как это выглядит со стороны жертвы?
- Логи веб-сервера (Nginx/Apache): миллионы строк с запросами за секунду.
- Мониторинг: CPU = 100%, сеть = 10 Гбит/с (при канале 1 Гбит/с).
- Пользователи: «Сайт не грузится!»
- Хостинг: может отключить сервер из-за перегрузки.
Что делать, если вы админ?
- Не пытайтесь «отбиться» вручную — масштаб слишком велик.
- Подключите DDoS-защиту:
- Cloudflare (бесплатный тариф уже фильтрует L7-атаки),
- AWS Shield / Google Cloud Armor,
- Специализированные провайдеры (Qrator, DDoS-GUARD, Imperva).
- Настройте rate limiting и WAF (Web Application Firewall).
- Имейте план реагирования (контакты хостинга, резервный IP и т.д.).
Изучение уязвимостей — это нормально и необходимо для защиты. Но:
- Тестирование на чужих системах без разрешения — преступление.
- Даже демонстрация атаки в публичном чате может быть расценена как угроза.