Тема
Режим
Язык
Главная
Статьи
Экспертные материалы о защите
Гайды
Пошаговые руководства
Глоссарий
Термины кибербезопасности
Инструменты
Бесплатные утилиты проверки
Безопасность
Аудит, DDoS-защита, пентесты
DevOps
CI/CD, Kubernetes, мониторинг
Мобильная разработка
iOS, Android, Flutter, React Native
Веб-разработка
Сайты, порталы, SaaS-платформы
Дизайн
UI/UX, прототипы, дизайн-системы
Кейсы
Тарифы
О проекте
Тема
Режим
Язык
Консультация
FREE Бесплатный аудит сайта за 15 мин Заказать →
NEW Остановили 2 млн атак credential stuffing Кейс →
Разборы атак и инструменты Telegram →
70% трафика могут быть ботами Проверить →
SOS Сайт под атакой? Поможем за 30 мин SOS →
AntiDDoS.su
Портал Услуги О проекте
Интернет-магазин электроники

L7-атака в чёрную пятницу

Магазин лёг под HTTP-флудом в пик продаж. Потери — 2.5 млн ₽ за 4 часа простоя. Внедрили Cloudflare + кастомные правила WAF.

Задача

В чёрную пятницу, в пик распродажи, сайт интернет-магазина подвергся L7 атаке (атаке на прикладном уровне). Мониторинг зафиксировал аномальный рост RPS380 000 запросов в минуту на страницу корзины.

Ботнет из 15 000 IP-адресов имитировал реальных покупателей: боты обходили простую CAPTCHA, добавляли товары в корзину и создавали максимальную нагрузку на Origin Server.

Симптомы атаки:
  • nginx отдавал 502/504 на 70% запросов
  • Latency выросла с 200ms до 15 секунд
  • Baseline трафика превышен в 50 раз
  • Redis исчерпал память на сессиях корзины
  • Легитимные пользователи получали таймауты

Потери за 4 часа простоя — 2.5 млн ₽. Стандартный Rate Limiting не справлялся — боты использовали ротацию IP через резидентные прокси.

Решение

Экстренные меры (первые 30 минут)

  1. Under Attack Mode в Cloudflare — JavaScript challenge для всех посетителей. Подробнее о настройке Cloudflare →
  2. Bot Management — автоматическая блокировка известных ботнетов
  3. Агрессивный Rate Limiting: 10 req/min на /cart и /checkout. Примеры правил для nginx →

Настройка WAF (48 часов)

  • WAF-правила: блокировка запросов без Cookie, с подозрительным User-Agent. Полный гайд по WAF →
  • IP Reputation: автоблок IP с плохой репутацией
  • Fingerprinting: TLS fingerprint + Canvas для идентификации ботов
  • CAPTCHA hCaptcha на добавление в корзину для score < 0.5

Архитектура защиты

Выстроили многоуровневую защиту по принципам отказоустойчивой архитектуры:

  • CDN + Cache: статика через Edge Server Cloudflare
  • Anycast: распределение трафика по PoP
  • Reverse Proxy: скрыли реальный IP Origin Server. Как проверить, что IP скрыт →
  • Auto-scaling PHP-FPM workers при росте нагрузки
  • Graceful Degradation: облегчённая версия каталога при перегрузке

Похожая ситуация? Посмотрите, как мы защищаем от DDoS — есть решения для разного бюджета.

Результаты

После внедрения защиты магазин успешно пережил новогоднюю распродажу без инцидентов.

  • Отражено 12 DDoS-атак включая L7 атаки до 45 Gbps
  • Latency снизилась на 40% благодаря CDN и кэшированию
  • Under Attack Mode включается автоматически при превышении baseline
  • Bot Management блокирует 99.7% бот-трафика
  • RPS в пике: 5000+ без деградации
" Мы думали, что DDoS — это что-то из фильмов про хакеров. Оказалось, это реальность, которая может стоить миллионы за несколько часов. Теперь у нас есть защита и чёткий план действий.
Директор по развитию Интернет-магазин электроники

Хотите такой же результат?

Расскажите о своём проекте — обсудим, как можем помочь

Обсудить проект Смотреть ещё кейсы