Как выбрать защиту от DDoS: гид для руководителя

Вы приняли решение: защита от DDoS нужна. Возможно, вас уже атаковали (и вы знаете, во сколько это обходится). Возможно, вы просто не хотите рисковать. В любом случае — вы на правильном пути.

Но рынок защиты от DDoS — это джунгли. Десятки провайдеров, каждый обещает «100% защиту», «отражение любых атак», «нулевое время простоя». Цены — от 0 до миллионов рублей в год. Как разобраться? Смотрите наш обзор 5 главных игроков рынка. А если выбрали Cloudflare — вот полный гайд по настройке.

Защита от DDoS бывает разной. Вот основные подходы — простым языком:

1. Облачная защита (CDN/Proxy)

Принцип: весь трафик на ваш сайт проходит через «облако» провайдера. Грязный трафик фильтруется, чистый — пропускается на ваш сервер. Ваш настоящий IP-адрес скрыт.

Примеры: Cloudflare, DDoS-Guard, Qrator, Akamai, AWS Shield.

Плюсы: быстрое подключение (минуты-часы), не нужно менять сервер, обычно включает CDN (ускорение сайта).

Минусы: зависимость от провайдера, возможные задержки (небольшие), для полной защиты нужна правильная настройка.

Подходит: 90% бизнесов. Это стандартное решение.

2. Защита на уровне хостинга

Принцип: ваш хостинг-провайдер фильтрует трафик на своей стороне, до того как он дойдёт до вашего сервера.

Примеры: OVH Anti-DDoS, Hetzner DDoS Protection, встроенная защита у Selectel, Timeweb.

Плюсы: не нужно ничего настраивать, работает «из коробки».

Минусы: обычно защищает только от объёмных атак (L3/L4), против сложных атак на приложение (L7) — бесполезна.

Подходит: как первый уровень защиты. Но для бизнеса лучше комбинировать с облачной.

3. Аппаратная защита (on-premise)

Принцип: физическое оборудование (аппаратный файрвол) стоит в вашем дата-центре и фильтрует трафик.

Примеры: Arbor Networks, Radware, F5.

Плюсы: полный контроль, минимальная задержка, работает даже без интернета (для внутренней сети).

Минусы: очень дорого (от 1 000 000 рублей за оборудование), нужна экспертиза для настройки, не масштабируется против крупных атак.

Подходит: крупный enterprise с собственной инфраструктурой.

Вот критерии, по которым стоит оценивать провайдера. Мы расположили их в порядке важности:

1. Ёмкость сети (Network Capacity)

Это максимальный объём трафика, который провайдер может обработать. Измеряется в Тбит/с (терабитах в секунду). Современные атаки достигают 1–3 Тбит/с. Если провайдер заявляет ёмкость 500 Гбит/с — это мало. Ищите от 10 Тбит/с.

Cloudflare: 296+ Тбит/с. Akamai: 250+ Тбит/с. DDoS-Guard: 3.5+ Тбит/с. Qrator: ~3 Тбит/с.

2. Защита на уровне приложения (L7)

Критически важно. Многие провайдеры отлично фильтруют грубые объёмные атаки (когда просто заливают канал мусорным трафиком), но пропускают «умные» атаки на уровне приложения — когда бот имитирует обычного пользователя и медленно «убивает» ваш сервер. Уточняйте: «Вы защищаете от L7 DDoS? Какие методы используете — rate limiting, поведенческий анализ, challenge?». Подробнее о разнице между уровнями атак — в нашей статье «Виды атак L3/L4/L7».

3. Время реакции (Time to Mitigate)

Как быстро провайдер начнёт фильтровать атаку после её начала? Хороший показатель — менее 10 секунд для автоматических атак, менее 15 минут для сложных кастомных. Спрашивайте конкретные цифры и SLA.

4. Гарантии доступности (SLA)

SLA — это юридически обязывающее соглашение об уровне сервиса. Стандарт — 99.95% (допустимый простой — 4.4 часа в год). Премиум-решения — 99.99% (52 минуты простоя в год). Обратите внимание: SLA без финансовой компенсации за нарушение — это просто маркетинг.

5. Географическое покрытие

Где расположены фильтрующие узлы провайдера? Для российского бизнеса важно наличие узлов в России и СНГ — иначе трафик от ваших клиентов будет идти кружным путём через Европу или Азию, создавая задержки. Cloudflare имеет точки присутствия в Москве, Санкт-Петербурге и других городах. Российские решения (Qrator, DDoS-Guard) ориентированы на рунет изначально.

6. Простота подключения

Некоторые решения требуют перестройки инфраструктуры, настройки BGP-сессий, установки оборудования. Другие — просто смена DNS-записей за 15 минут. Для малого и среднего бизнеса важна именно простота: подключить быстро, без привлечения дорогих специалистов.

7. Техническая поддержка

Когда идёт атака — поддержка нужна немедленно. Не через тикет с ответом через 24 часа. Уточняйте: время ответа при инциденте, каналы связи (телефон, чат, email), язык поддержки, есть ли выделенный инженер для вашего аккаунта.

8. Прозрачность отчётности

Хороший провайдер даёт вам панель мониторинга, где вы видите: текущий трафик, заблокированные атаки, статистику по географии и типам запросов. Это важно для понимания ситуации и для отчётности перед руководством. Если провайдер не показывает, что он делает — это красный флаг.

Если ваш бизнес ориентирован на российский рынок и оборот до 10 млн рублей/мес — рекомендуем начать с Cloudflare (бесплатный или Pro план за $20/мес). Это 15 минут настройки и закрытие 80% угроз. Подробная инструкция — в нашем полном гайде по настройке Cloudflare.

Если нужна русскоязычная поддержка, соответствие российскому законодательству (152-ФЗ о персональных данных) и хранение данных в России — смотрите на Qrator или DDoS-Guard.

Перед подключением задайте провайдеру эти вопросы. Если не может ответить чётко — это повод искать другого:

1. «Какова ёмкость вашей сети в Тбит/с?»
Правильный ответ: конкретная цифра. «Достаточная» или «мы справляемся» — не ответ.

2. «За какое время вы начнёте фильтрацию после начала атаки?»
Правильный ответ: конкретное время в секундах/минутах. Для автоматических атак — до 10 секунд.

3. «Что входит в SLA и какая компенсация за нарушение?»
Правильный ответ: процент доступности + финансовая компенсация (кредит на счёт, возврат).

4. «Защищаете ли вы от L7-атак? Какие методы?»
Правильный ответ: да, поведенческий анализ, rate limiting, JS challenge, CAPTCHA. Подробнее о WAF-правилах и фильтрации ботов — в наших технических статьях.

5. «Могу ли я подключить защиту за 30 минут в экстренной ситуации?»
Правильный ответ: да, с конкретным описанием процесса.

6. «Есть ли у вас панель мониторинга, где я вижу атаки в реальном времени?»
Правильный ответ: да, с демо-доступом или скриншотами.

7. «Что произойдёт, если атака превысит вашу ёмкость?»
Это стресс-вопрос. Честный провайдер скажет: «маловероятно, но если случится — мы включим дополнительные ресурсы / маршрутизацию / уведомим вас». Неадекватный скажет: «это невозможно».

8. «Есть ли скрытые платежи — за трафик, за количество атак, за полосу?»
Некоторые провайдеры берут доплату за «чистку» сверх определённого объёма. Уточните ДО подписания договора.

Наш опыт анализа десятков случаев показывает типичные «красные флаги»:

«100% защита от любых атак» — не бывает. Честный провайдер скажет: «мы защищаем от 99.X% атак определённого типа». 100% — это маркетинговая ложь.

Нет SLA с финансовой ответственностью — провайдер, который не готов отвечать деньгами за свои обещания, вероятно, не уверен в своих возможностях.

Техподдержка только по email — при атаке вам нужен ответ за минуты, а не за часы. Если нет телефона или чата — при инциденте вы останетесь одни.

Непрозрачное ценообразование — если из прайс-листа непонятно, сколько вы будете платить в месяц — будут сюрпризы в счетах.

Нет информации о ёмкости и инфраструктуре — серьёзные провайдеры публикуют данные о своей сети. Если этого нет — возможно, «сеть» — это два сервера в подвале.

Требуют долгосрочный контракт без trial-периода — хороший провайдер даст вам протестировать сервис. Если заставляют подписать годовой договор вслепую — это подозрительно.

Вот ориентиры стоимости, основанные на реальных данных 2024–2025 годов:

Микробизнес (до 1 млн ₽/мес): Cloudflare Free (0 ₽) + правильная настройка. Покрывает базовые угрозы.

Малый бизнес (1–5 млн ₽/мес): Cloudflare Pro ($20/мес) или DDoS-Guard (от 3 500 ₽/мес). Бюджет: 2 000–7 000 ₽/мес.

Средний бизнес (5–30 млн ₽/мес): Cloudflare Business ($200/мес) или Qrator (от 15 000 ₽/мес) + мониторинг. Бюджет: 15 000–50 000 ₽/мес.

Крупный бизнес (30+ млн ₽/мес): Enterprise-решения (Cloudflare Enterprise, Akamai, Qrator Enterprise) + выделенная команда. Бюджет: от 100 000 ₽/мес.

Правило большого пальца: расходы на защиту от DDoS должны составлять 0.1–0.5% от онлайн-выручки. Если ваш сайт приносит 5 млн рублей в месяц — адекватный бюджет на защиту: 5 000–25 000 рублей. Это несопоставимо меньше потерь от одной атаки.

Вот конкретный план, который подходит большинству бизнесов:

Шаг 1 (сегодня, 30 минут): Подключите Cloudflare бесплатный план. Инструкция здесь. Это уже закрывает грубые атаки и скрывает ваш IP.

Шаг 2 (эта неделя): Настройте мониторинг — чтобы узнавать об атаке за минуты, а не часы. Бесплатный UptimeRobot проверяет сайт каждые 5 минут и шлёт уведомление при падении.

Шаг 3 (этот месяц): Оцените, нужно ли вам платное решение. Используйте формулу из статьи о стоимости DDoS-атаки: если потенциальные потери от 8-часовой атаки превышают годовую стоимость защиты — подключайте.

Шаг 4 (регулярно): Проводите «учения» — проверяйте план реагирования. Знает ли команда, что делать при атаке? Актуальны ли контакты техподдержки? Работает ли мониторинг?

Если вас уже атаковали — действуйте по нашей экстренной инструкции и планируйте восстановление после атаки.

Часто защита «не взлетает» не потому, что провайдер плохой, а потому что у бизнеса нет базовой подготовки. Руководитель может существенно ускорить внедрение, если заранее соберёт несколько вещей.

Что нужно подготовить

— Доступ к управлению доменом (у регистратора) и к DNS (кто это держит?)
— Список всех поддоменов и сервисов: сайт, API, личный кабинет, вебхуки, админка
— Где находятся критические интеграции (платёжка, CRM, email‑рассылки)
— Контакты ответственных: кто будет на связи в момент переключения
— Понимание «пиков»: когда у вас максимальная нагрузка (чтобы не переключаться в этот момент)

Какие «подводные камни» всплывают чаще всего

1) Сервисов больше, чем кажется. Например, основной сайт защитили, а API мобильного приложения остался на прямом IP и «лег» первым.

2) Реальный IP сервера светится. Если его можно найти по старым DNS‑записям или утечкам, атакующий может бить напрямую, обходя защиту. Это важно обсудить с провайдером.

3) Изменения влияют на маркетинг и аналитику. После подключения CDN может поменяться источник IP и часть систем антифрода/аналитики потребует донастройки. Это нормально, просто закладывайте время.

Если вы заранее собрали эти данные, разговор с провайдером становится предметным: вы не «покупаете волшебство», а строите конкретную схему защиты под ваш бизнес‑процесс.