Сохраняйте спокойствие
Паника — худший советчик. Большинство атак отражаются за 15-30 минут при правильных действиях.
15
минут
на базовую защиту
90%
атак
отражаются rate limiting
5
команд
для первой помощи
24/7
поддержка
при необходимости
01
Диагностика: первые 5 минут
Убедитесь, что это DDoS, а не сбой
Прежде чем действовать — исключите другие причины: падение БД, ошибка в коде, нет места на диске, проблемы DNS.
Быстрая диагностика
# Сервер отвечает?
ping your-server-ip
# SSH работает?
ssh user@server uptime
# Соединения (норма < 500)
netstat -an | wc -l
# Топ IP
netstat -ntu | awk {print$5} | cut -d: -f1 | sort | uniq -c | sort -rn | head -10Сервер НЕ отвечает на ping?
Канал забит полностью. Переходите сразу к разделу «Внешняя защита».
02
Уровень 1: Быстрые меры
Что можете сделать сами за 5 минут
SYN Cookies (защита от SYN Flood)
ssh root@your-server
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
echo 65535 > /proc/sys/net/ipv4/tcp_max_syn_backlog
Rate limiting в iptables
# Лимит новых соединений: 50/сек
iptables -A INPUT -p tcp --syn -m limit --limit 50/s --limit-burst 100 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
# Лимит ICMP (ping flood)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Блокировка атакующих IP
# Найти топ-10 IP
netstat -ntu | awk {print$5} | cut -d: -f1 | sort | uniq -c | sort -rn | head -10
# Заблокировать IP
iptables -A INPUT -s 1.2.3.4 -j DROP
# Заблокировать подсеть
iptables -A INPUT -s 1.2.3.0/24 -j DROPСовет
Осторожно: Не блокируйте свой IP и IP важных сервисов (мониторинг, бэкапы, платёжные системы)!
03
Уровень 2: Cloudflare Under Attack
Если есть Cloudflare (даже бесплатный)
- Включите Under Attack Mode: Dashboard → Security → Settings → I am Under Attack!
- Rate Limiting: Security → WAF → Rate limiting → 100 req/10s = block
- Гео-блокировка: Security → WAF → Custom rules → (ip.geoip.country ne RU) → Challenge
04
Уровень 3: Внешняя защита
Когда своих сил недостаточно
Cloudflare (если не подключены) — 15-30 мин
- cloudflare.com → регистрация
- Добавить домен
- Сменить NS у регистратора
- Включить Under Attack
Защита хостера
Напишите: We are under DDoS attack, please enable mitigation
- Hetzner — DDoS Protection по умолчанию
- OVH — Auto Anti-DDoS
- AWS — Shield Standard бесплатно
Совет
Профессионалы (атаки >10 Гбит/с): Cloudflare Enterprise (1-2ч), Akamai Prolexic (2-4ч), Qrator (1-2ч), DDoS-Guard (30-60 мин)
05
Чек-лист действий
Распечатайте и держите под рукой
Связанные материалы
- SYN Flood: анатомия атаки
- HTTP Flood: распознавание ботов
- Как выбрать AntiDDoS-провайдера
- Глоссарий терминов
Эта страница написана для людей в стрессе. Мы понимаем, каково это.