Тема
Режим
Язык
Главная
Статьи
Экспертные материалы о защите
Гайды
Пошаговые руководства
Глоссарий
Термины кибербезопасности
Инструменты
Бесплатные утилиты проверки
Безопасность
Аудит, DDoS-защита, пентесты
DevOps
CI/CD, Kubernetes, мониторинг
Мобильная разработка
iOS, Android, Flutter, React Native
Веб-разработка
Сайты, порталы, SaaS-платформы
Дизайн
UI/UX, прототипы, дизайн-системы
Кейсы
Тарифы
О проекте
Тема
Режим
Язык
Консультация
FREE Бесплатный аудит сайта за 15 мин Заказать →
NEW Остановили 2 млн атак credential stuffing Кейс →
Разборы атак и инструменты Telegram →
70% трафика могут быть ботами Проверить →
SOS Сайт под атакой? Поможем за 30 мин SOS →
AntiDDoS.su
Портал Услуги О проекте
Гайд

Как отличить DDoS от «сломалось»

Симптомы, метрики, логи. Алгоритм принятия решений без паники — чтобы не тратить время на ложную тревогу.

Р
Редакция AntiDDoS.su Команда экспертов по кибербезопасности
·

Когда сайт лежит, первая мысль — «это атака!». Но в 60% случаев причина банальнее: что-то сломалось, закончилась память, или пришёл трафик с рекламы.

Эта статья — алгоритм диагностики за 5 минут. Если уже видите ошибку 502/504 — начните с экстренного гайда.

UDP Flood

Как выглядит UDP Flood

Ботнет
UDP flood
:53 :123 :161 :1900 :??? :80
UDP мусор
Firewall
DROP :53 DROP :123 ACCEPT *
0% 0%
ISP Blackhole
Ваш сервер
Онлайн

Ботнет посылает огромные объёмы UDP-пакетов на случайные порты целевого сервера.

Сервер генерирует ICMP-ответы «порт недоступен» на каждый пакет — двойная нагрузка.

Сетевой интерфейс и файрвол не справляются. Весь трафик, включая легитимный, теряется.

Upstream-фильтрация и ACL-правила на уровне провайдера блокируют мусорный трафик.

01

Быстрая диагностика

3 команды, которые покажут картину
Анализ трафика
Проверка логов ошибок
Мониторинг системы
⚠️
Важно
Главный признак DDoSаномальный объём запросов при отсутствии ошибок в приложении. Если в логах есть ошибки PHP/MySQL — сначала чините их. Настройте мониторинг, чтобы видеть аномалии сразу.
02

Алгоритм решения

Дерево решений

Да → Скорее всего атака. Включайте защиту (Cloudflare Under Attack, WAF).

Нет → Ищите проблему в приложении/сервере.

Да → Чините приложение. PHP Fatal, MySQL gone away, out of memory — это не DDoS.

Нет → Смотрите на паттерн трафика.

Да → Заблокируйте IP, добавьте rate-limit.

Нет, но много с одной подсети → Блокируйте подсеть через firewall.

Резюме
DDoS = много трафика + чистые логи приложения. Сломалось = обычный трафик + ошибки в логах. Не путайте — иначе будете чинить не то.

Тест: Как отличить DDoS от «сломалось»

Вопрос 1 из 3
В каком проценте случаев падение сайта — не DDoS?
В 60% случаев причина банальнее — что-то сломалось.
Что нужно проверить в первую очередь при падении сайта?
Часто причина — закончившаяся память или ресурсы.
Что может вызвать симптомы, похожие на DDoS?
Резкий трафик с рекламы может выглядеть как атака.
0 / 3

Получите план защиты под ваш сайт

Оставьте контакт и адрес сайта — пришлём план защиты и список приоритетных шагов.

  • Приоритетные шаги на 7 дней
  • Быстрая обратная связь
  • План в удобном формате
Без спама. Можно указать Telegram (@username) или email.
Написать в Telegram

Читайте также

Статья

Мессенджер MAX от VK обнаружен в обращении к иностранным сервисам и серверам конкурентов

Исследователи обнаружили подозрительную сетевую активность российского мессенджера MAX: приложение обращается к...

Читать →
Инструмент

CI/CD Pipeline Security: полный гайд по защите

SolarWinds, Codecov, Log4j, XZ Utils — взлом одного инструмента компрометирует тысячи компаний.

Читать →
Статья

APT-группировка Mythic Likho атакует критическую инфраструктуру России

Эксперты Positive Technologies выявили новую волну целевых атак на российские субъекты КИИ с использованием...

Читать →
← Все статьи Нужна помощь?