Ваш сайт атакуют: что происходит и что делать прямо сейчас

Понедельник, 9:15 утра. Вы открываете ноутбук, проверяете сайт — а он не грузится. Белый экран. Или бесконечная загрузка. Телефон начинает звонить: клиенты не могут оформить заказ, менеджеры не могут войти в CRM, партнёры спрашивают «у вас всё в порядке?». Паника нарастает. Вы звоните хостеру — и слышите: «Похоже, вас атакуют».

Если вы сейчас в этой ситуации — остановитесь и дочитайте эту статью. Мы разберём по шагам: что происходит с вашим сайтом, почему он «лёг», и главное — что конкретно делать прямо сейчас, чтобы вернуть его к жизни. Если видите ошибку 502/504 — начните с экстренного гайда. Хотите понять это атака или поломка? У нас есть и такой гайд.

Представьте, что ваш магазин — это физический бутик на улице. В обычный день заходит 200–300 покупателей. Всё работает. А теперь представьте, что кто-то нанял 50 000 человек, и они одновременно ломятся в вашу дверь. Не чтобы купить — просто чтобы занять место. Настоящие покупатели не могут протиснуться. Это и есть DDoS — Distributed Denial of Service, распределённая атака на отказ в обслуживании.

Ваш сервер — это тот самый магазин. Он рассчитан на определённое количество одновременных посетителей. Когда на него обрушиваются сотни тысяч или миллионы фальшивых запросов, он просто не справляется. Результат — сайт перестаёт отвечать. Не потому что сломался, а потому что захлебнулся.

Важный момент: при DDoS-атаке ваши данные обычно в безопасности. Атакующий не взламывает сайт, не крадёт базу клиентов (хотя иногда DDoS используют как прикрытие для взлома — об этом ниже). Цель атаки — сделать сайт недоступным. Это как перекрыть дорогу к вашему офису: сам офис цел, но добраться до него невозможно.

Средняя DDoS-атака в 2024–2025 годах длится от 30 минут до 12 часов. Но бывают и затяжные — по несколько дней. Мощность атак постоянно растёт: если в 2020 году атака в 100 Гбит/с считалась серьёзной, то в 2025 году фиксируются атаки мощностью более 3 Тбит/с. Cloudflare в октябре 2024 года отразила рекордную атаку в 3.8 Тбит/с. Впрочем, для «посадки» обычного бизнес-сайта хватает атаки в 5–10 Гбит/с — и стоит такая атака на чёрном рынке от 50 долларов в час.

Не каждое падение сайта — это атака. Иногда сервер падает от вполне мирных причин: закончилось место на диске, упала база данных, неудачное обновление. Мы подробно разбирали разницу в статье «Как отличить DDoS от 'сломалось'». Здесь — основные признаки.

Есть быстрый способ проверки: откройте статистику сервера (в панели хостинга или Google Analytics в реальном времени). Если вы видите тысячи и десятки тысяч «посетителей» — а обычно их в этот час, скажем, 50 — это почти наверняка атака. Особенно если география запросов вдруг стала экзотической: вместо привычных России и СНГ появились Бангладеш, Вьетнам, Бразилия.

Ещё один индикатор — ошибки 502 и 504. Если при попытке открыть сайт видите «502 Bad Gateway» или «504 Gateway Timeout» — это значит, что промежуточный сервер (nginx, прокси) не может получить ответ от вашего приложения. Сервер жив, но приложение «захлебнулось». Подробнее о диагностике таких ошибок — в нашем экстренном гайде по 502/504.

Итак, вы убедились (или подозреваете), что это атака. Вот что делать прямо сейчас — по шагам. Вам не нужно быть техническим специалистом. Вам нужно правильно организовать процесс.

Шаг 1. Свяжитесь с хостинг-провайдером (минуты 0–5)

Первый звонок — хостеру. Не через тикет, а по телефону или чату с пометкой «срочно». Скажите прямо: «Мой сайт [домен] недоступен, я подозреваю DDoS-атаку. Мне нужна помощь прямо сейчас». Хостер может:

— Подтвердить или опровергнуть атаку (у них есть инструменты мониторинга)
— Включить базовую фильтрацию трафика
— Переключить ваш сайт на защищённый канал
— В крайнем случае — временно заблокировать входящий трафик, чтобы спасти сервер

Запишите, что скажет техподдержка: тип атаки, объём трафика, рекомендации. Эта информация понадобится позже.

Шаг 2. Оповестите команду (минуты 5–10)

Напишите в рабочий чат или позвоните ключевым людям. Кого оповестить:

— Системный администратор / DevOps (если есть) — это его территория
— Руководитель отдела продаж — чтобы предупредил клиентов
— Маркетолог / SMM — чтобы подготовил коммуникацию
— Руководство — чтобы были в курсе

Шаблон сообщения: «Сайт [домен] недоступен из-за DDoS-атаки с [время]. Работаем над восстановлением. Ожидаемое время — [2–4 часа]. Обновления каждые 30 минут».

Шаг 3. Подключите сервис защиты (минуты 10–30)

Если у вас нет защиты от DDoS (а раз вы читаете эту статью — скорее всего нет), самое время её подключить. Да, прямо во время атаки. Самый быстрый способ — Cloudflare.

Cloudflare можно подключить за 15–20 минут даже в экстренной ситуации. Потребуется доступ к управлению DNS-записями вашего домена (обычно у регистратора — Reg.ru, Timeweb, GoDaddy и т.п.). Мы написали подробный гайд по настройке Cloudflare — ваш технический специалист сможет пройти его за полчаса.

Если технического специалиста нет — звоните в компании, которые специализируются на защите от DDoS. Многие предлагают экстренное подключение. Да, это будет стоить денег. Но это дешевле, чем терять бизнес час за часом. О том, сколько на самом деле стоит простой сайта, мы подробно считали в отдельной статье.

Пока технари работают над восстановлением — у вас другая задача. Клиенты, которые видят неработающий сайт, думают самое плохое: «компания закрылась», «их взломали, мои данные украли», «ненадёжные, пойду к конкурентам».

Ваша задача — перехватить нарратив. Вот как:

Социальные сети — моментально

Опубликуйте пост в тех каналах, где вас читают клиенты. Примерный текст:

«В настоящее время наш сайт временно недоступен из-за внешней кибератаки. Данные клиентов в безопасности. Наша команда и специалисты по безопасности работают над восстановлением. Ожидаемое время — [X часов]. Приносим извинения за неудобства. Для срочных вопросов: [телефон / email / мессенджер]».

Ключевое: данные в безопасности, мы работаем, есть альтернативные каналы связи.

Email-рассылка — в течение часа

Если у вас есть активные заказы, подписчики, клиенты в процессе сделки — отправьте email. Не всем подряд, а тем, кого затрагивает простой. Тон: спокойный, честный, профессиональный.

Внутренняя коммуникация — каждые 30 минут

Обновляйте команду о статусе. Даже если статус — «пока без изменений». Люди паникуют от неизвестности, а не от плохих новостей. Определите одного ответственного за коммуникацию — чтобы информация не расходилась.

Хорошо организованная коммуникация во время инцидента — половина успеха. Подробнее об этом мы писали в статье об инцидент-менеджменте при DDoS-атаках.

За годы работы мы видели десятки ошибок, которые владельцы бизнеса совершают в панике. Вот самые частые:

Менять хостинг «на бегу»

Кажется логичным: этот сервер атакуют — переедем на другой. На практике миграция в состоянии стресса почти всегда приводит к потере данных, нерабочим настройкам и ещё большему простою. Атакующий, скорее всего, атакует домен, а не IP-адрес — смена хостинга без защиты ничего не даст.

Отключать сервер

«Выключу, подожду, включу — авось пройдёт». Не пройдёт. Атака не направлена на ваш выключатель. Она направлена на ваш адрес. Как только включите — всё начнётся заново. А время простоя увеличится.

Пытаться «заблокировать IP-адреса вручную»

При DDoS-атаке используются тысячи и десятки тысяч IP-адресов (ботнет — сеть заражённых устройств по всему миру). Блокировать их вручную — это как вычерпывать океан чайной ложкой. Вы заблокируете 100 — придут 10 000 новых.

Делать вид, что ничего не происходит

Самая опасная стратегия. Клиенты видят неработающий сайт. Поисковики видят неработающий сайт. Конкуренты видят неработающий сайт. Каждый час молчания — это удар по репутации. Общайтесь с клиентами, даже если новости неутешительные.

Винить свою команду

DDoS-атака — это внешнее воздействие. Это не «админ недоглядел» и не «разработчики написали плохой код». Это целенаправленная атака извне. Разбор ошибок — после. Сейчас — командная работа. О том, кто и зачем атакует сайты, мы поговорим отдельно.

Вот как обычно выглядит восстановление, если действовать правильно. Это реалистичный сценарий для бизнеса, который впервые столкнулся с DDoS:

0–30 минут: Обнаружение, связь с хостером, оповещение команды. Сайт всё ещё лежит.

30–60 минут: Подключение сервиса защиты (Cloudflare или аналог). Смена DNS-записей. DNS-записи начинают обновляться по интернету — это занимает от 15 минут до нескольких часов в зависимости от TTL (времени жизни записи).

1–2 часа: Фильтрация начинает работать. Часть пользователей уже может открыть сайт через обновлённые DNS. Другая часть пока идёт по старому маршруту — напрямую к серверу.

2–4 часа: Большинство трафика проходит через защиту. Сайт доступен для 80–95% пользователей. Атака продолжается, но фильтруется. Сервер «дышит».

4–12 часов: DNS полностью обновился. Весь трафик идёт через защиту. Сайт работает нормально. Атака может продолжаться, но пользователи этого не замечают.

12–48 часов: Обычно атака прекращается. Атакующий видит, что сайт не падает, и перестаёт тратить ресурсы. Но защиту отключать нельзя — атака может вернуться. О том, что делать после атаки, у нас есть отдельный подробный разбор.

Допустим, у вас нет штатного админа. Ваш сайт на обычном хостинге. Атака идёт. Вот минимум, который вы можете сделать самостоятельно:

1. Позвоните хостеру — это всё ещё шаг номер один. Попросите включить любую доступную защиту. Многие хостеры предлагают базовый «анти-DDoS» — просто его нужно активировать.

2. Зарегистрируйтесь на Cloudflare — dash.cloudflare.com. Бесплатный план включает базовую защиту от DDoS. Добавьте свой домен, следуйте инструкциям. Самый сложный момент — смена NS-серверов у регистратора домена. Позвоните в поддержку регистратора — они помогут сменить NS-записи, если вы объясните ситуацию.

3. Включите режим «Under Attack» — если Cloudflare уже подключён (или вы только что его подключили и DNS обновился), найдите в панели переключатель «Under Attack Mode». Он заставляет каждого посетителя пройти проверку — это отсекает ботов.

4. Оповестите клиентов — через соцсети, мессенджеры, email. Не молчите.

5. Зафиксируйте всё — время начала, что видите, что говорит хостер. Если будете обращаться в полицию или к юристам — эта информация пригодится.

Экстренная самопомощь — это хорошо. Но есть ситуации, когда без специалиста не обойтись:

— Атака продолжается более 6 часов, несмотря на предпринятые меры
— Cloudflare подключён, но сайт всё равно лежит (атакуют по IP в обход CDN)
— Хостер сообщает о «нулевой маршрутизации» (null route) — он просто отключил ваш IP от интернета
— Параллельно с DDoS появились признаки взлома (изменённые страницы, утечка данных)
— Атака затрагивает не только сайт, но и почту, внутренние системы
— Вы получаете требования о выкупе

В таких случаях вам нужен специалист по информационной безопасности или компания, специализирующая на защите от DDoS. Стоимость экстренного подключения защиты — от 20 000 до 100 000 рублей, в зависимости от сложности. Да, это деньги. Но это несопоставимо меньше, чем потери от продолжающегося простоя. Средний интернет-магазин с оборотом 5 млн рублей в месяц теряет около 170 000 рублей в день при полном простое.

О том, как выбрать защиту от DDoS, мы написали отдельный подробный гайд — без технического жаргона, с конкретными критериями и вопросами, которые нужно задать провайдеру.