Как быть, если произошла DDoS-атака на сайт
Рассказываем, к кому обратиться за помощью и как предотвратить новую атаку
DDoS-атаку можно сравнить с толпой в дверях магазина, которая мешает пройти покупателям. Люди из толпы не хотят попасть в магазин: они пришли, только чтобы не дать купить другим. Так и во время DDoS-атаки: посетители не могут получить доступ к сайту, потому что он перегружен многочисленными запросами. Сервер не справляется, и сайт начинает тормозить.
Как понять, что произошла DDoS-атака
Основной признак — сервер или сайт работает намного медленнее, чем обычно. Или он вообще недоступен.
Такой сбой может вызвать, например, поломка оборудования на стороне хостинга. Чтобы убедиться, что сайт именно под атакой, нужно проверить, какой трафик на него идет и откуда.
Обычно запросы к серверу отправляют боты — компьютеры, которые заражены вирусом. Тысячи ботов объединяются в сеть — ботнет. Владельцы таких компьютеров обычно не подозревают, что участвуют в DDoS-атаке. Управляют сетью ботов злоумышленники.
Еще один подозрительный признак — регулярные, ритмичные всплески активности. Например, трафик на сайте возрастает только в четные часы дня или через равные промежутки времени. Это связано с тем, что иногда ботнет атакует несколько серверов поочередно. Пока все запросы уходят на одну цель, для других сайтов наступает временное затишье.
Что можно сделать самому, чтобы остановить DDoS-атаку
- Ограничьте отправку ICMP-сообщений, чтобы снизить нагрузку на сервер.
- Настройте фильтры маршрутизатора на сервере, чтобы они отсекали подозрительный трафик.
- Настройте быстрый тайм-аут соединений для пользователей, которые не совершают активных действий.
Эти методы помогут уменьшить ущерб и ослабить DDoS-атаку, но, к сожалению, вряд ли ее остановят. Кроме того, если вы никогда не занимались настройками сервера, разобраться в них будет сложно. Поэтому стоит сразу обратиться к специалистам.
К кому обратиться за помощью
Если сайт или сервер уже атакуют, можно экстренно обратиться к частному специалисту по защите от DDoS. Как правило, это человек, который хорошо разбирается в информационной безопасности: он может и защитить сайт, и отразить атаку на него.
Интернет-провайдеры и компании-интеграторы, которые специализируются на готовых решениях по информационной безопасности, знают, как защитить сайт от DDoS-атаки. Большинство провайдеров разрабатывает собственные инструменты и протоколы защиты, а затем предлагает их своим клиентам в качестве сервиса.
На поиск и выбор специалиста потребуется время, поэтому к возможным атакам лучше подготовиться заранее. Например, подключиться к сервису защиты от DDoS. Есть решения от российских и зарубежных компаний:
- «Лаборатория Касперского»;
- Ростелеком;
- Imperva;
- Cloudflare.
Сервисы реагируют на DDoS-атаку в течение нескольких минут или секунд. Например, сервис Anti-DDoS от Ростелекома обнаружит и остановит атаку меньше чем за минуту. Но подключаться к подобному сервису в момент атаки бессмысленно, делать это нужно заблаговременно.
Возможно ли восстановить работу сайта после DDoS-атаки
Если сайт компании недоступен, это влечет финансовые и репутационные потери. Поэтому в интересах бизнеса остановить DDoS-атаку как можно быстрее, а лучше — предотвратить ее.
Однако, какой бы мощной ни была атака, она не может продолжаться вечно. Чаще всего атаки длятся от нескольких часов до 1–2 суток. Когда запросы от злоумышленников перестанут поступать, сайт заработает в нормальном режиме и будет снова доступен.
Иногда владельцы бизнеса выбирают политику невмешательства: они ждут окончания DDoS-атаки, а затем извиняются перед пользователями. Но лучше заранее озаботиться защитой от DDoS, чтобы предотвратить неприятные ситуации и потери.