Атаки уровней 3, 4 и 7
Атаки уровня 3 направлены на сетевой уровень (IP, ICMP) — примеры: ICMP flood и атаки фрагментацией IP. Атаки уровня 4 направлены на транспортный уровень (TCP, UDP) — примеры: SYN flood, UDP-amplification и DNS-amplification. Атаки уровня 7 направлены на прикладной уровень (HTTP, HTTPS) — примеры: HTTP GET/POST flood и Slowloris. Каждый уровень требует своей защиты.
Объёмные атаки на уровнях 3 и 4 пытаются насытить сам сетевой канал. Крупнейшие публично раскрытые атаки преодолели порог в несколько терабит в секунду — Cloudflare сообщил о смягчении атаки 7,3 Тбит/с в мае 2025 года, а AWS Shield ещё в феврале 2020 года сообщал об атаке 2,3 Тбит/с. Эти атаки работают, потому что протоколы amplification (DNS, NTP, memcached, CLDAP) позволяют небольшому подделанному запросу вызвать гораздо больший ответ, отправленный жертве — задокументированы коэффициенты усиления 50x для DNS, 200x для NTP и 50 000x для memcached. Протокольные атаки на уровне 4 — SYN flood, ACK flood, атаки фрагментированными пакетами — истощают состояние отслеживания соединений на брандмауэрах и балансировщиках нагрузки, а не насыщают пропускную способность. Атаки уровня 7 — самые маленькие по байтам, но самые сложные для фильтрации: HTTP-flood с бот-сети из 100 000 узлов выглядит бит-в-бит как реальные пользователи, и только логика, осведомлённая о приложении, может их различить.
BGP blackhole и remote-triggered black hole (RTBH)
BGP-blackhole — это жёсткое, но эффективное последнее средство защиты: оператор сети анонсирует маршрут /32 для атакуемого IP в специальное BGP-сообщество blackhole, говоря всем вышестоящим пирам полностью сбрасывать трафик к этому IP. Цель остаётся офлайн, но остальная сеть остаётся работать. RTBH стандартизирован в RFC 5635 и поддерживается каждым оператором уровня Tier 1.
RTBH задокументирован в RFC 5635 (август 2009 года) и работает, помечая маршрут атрибутом сообщества, который вышестоящие пиры интерпретируют как «отбрасывать весь трафик, направленный на этот префикс». Защита тотальная — защищаемый IP становится недоступным со всего интернета, в том числе для легитимных пользователей, — но она защищает остальной парк клиента от сопутствующих повреждений. Из-за грубости, RTBH уместен, когда один IP насыщается атакой в несколько сотен Гбит/с, и стоимость более широкого простоя перевешивает поддержание этого одного IP онлайн. Многие низкоуровневые «VPS с защитой от DDoS» означают именно это: провайдер null-маршрутизирует Ваш IP при атаке, чтобы защитить остальной парк. По определению это смягчение отказа в обслуживании, но защищённый ресурс — сеть провайдера, а не Ваша.
Скрабинг-центры и перенаправление трафика
Скрабинг-центр — это укреплённая сетевая площадка, где трафик атаки фильтруется, а чистый трафик пересылается на источник. Трафик перенаправляется туда через анонс BGP (постоянный или по требованию) или через DNS. Мощность очистки в Тбит/с — главная метрика — у крупнейших провайдеров суммарная мощность очистки превышает 200 Тбит/с, у специализированных хостинг-провайдеров обычно 1-10 Тбит/с.
Скрабинг-центры используют специализированные устройства — Arbor TMS, Radware DefensePro, A10 Thunder, NSFOCUS ADS или крупномасштабные кастомные конвейеры на Linux/DPDK — которые проверяют каждый пакет, классифицируют безопасные и вредоносные паттерны и пересылают только чистую долю на источник. Перенаправление обычно делается через BGP: префикс клиента анонсируется из anycast-сети провайдера скрабинга во время атаки, втягивая весь трафик к ближайшей скрабинг-площадке. После очистки трафик туннелируется (GRE, IPSec, выделенный кросс-коннект или прямой пиринг) обратно на сервер источника. Задержка скрабинга обычно 1-3 мс в регионе плюс дополнительный путь от перенаправления. Постоянная очистка держит перенаправление непрерывно, устраняя время старта защиты ценой постоянного налога на задержку. Очистка по требованию перенаправляет только при обнаружении атаки, что дешевле, но вводит окно активации в 30-180 секунд, в течение которого атака доходит.
Постоянная защита против защиты по требованию
Постоянная защита маршрутизирует весь трафик через слой очистки 24/7 — нулевая задержка активации, но каждый пакет платит небольшой налог на задержку (обычно 1-5 мс). Защита по требованию активируется только при обнаружении атаки, устраняя задержку в стационарном состоянии, но оставляя источник уязвимым в течение окна активации (обычно 30-180 секунд). Гибридные настройки сочетают оба варианта: постоянно для HTTP/HTTPS, по требованию для сырого IP-трафика.
Выбор между постоянной защитой и защитой по требованию — это компромисс между задержкой в стационарном состоянии и уязвимостью в окне атаки. Чувствительные к задержке сервисы — игровые серверы, низкозадержечный трейдинг, голос/видео — обычно выбирают защиту по требованию и принимают задержку активации, потому что каждая миллисекунда стационарного RTT стоит им. Публично доступные веб-сервисы, API и SaaS-приложения обычно выбирают постоянную защиту или полностью проксированную CDN-подобную топологию, где IP источника даже не публично известен, что полностью устраняет окно атаки. Современные облачные edge-провайдеры (Cloudflare, Fastly, AWS Shield Advanced, Google Cloud Armor) по умолчанию работают в режиме постоянной защиты, потому что их сеть уже терминирует трафик в сотнях edge-локаций, и «обход» по сути нулевой.
Ограничение частоты, WAF и защита прикладного уровня
Ограничение частоты ограничивает запросы на исходный IP, на сессию или на URL, притупляя flood'ы уровня 7 без влияния на легитимный трафик. Web Application Firewall (WAF) проверяет HTTP-запросы по правилам — защита OWASP Top 10, кастомные правила частоты, гео-блокировка, JS-челленджи и CAPTCHA. Вместе они обрабатывают атаки уровня 7, которые одна объёмная очистка решить не может.
Объёмная очистка останавливается на границе IP и порта. Чтобы остановить HTTP-flood, выглядящий как реальный трафик Chrome, нужны правила, работающие с URL, заголовками, куками и поведением. Ограничение частоты — самый простой и эффективный контроль уровня 7: ограничьте один IP, скажем, 60 запросами в минуту на /login, остальные сбрасывайте. WAF идёт дальше с правилами, осведомлёнными о содержании: блокируйте запросы с шаблонами SQL-инъекций, аномальными user-agent, отсутствующими referrer, географическими источниками вне Вашей зоны обслуживания или размерами полезной нагрузки далеко за пределами легитимного диапазона. Современные WAF (AWS WAF, Cloudflare WAF, Fastly Next-Gen WAF, ModSecurity с OWASP Core Rule Set) также запускают JavaScript-челленджи, hCaptcha и эвристики отпечатков ботов, которые снижают частоту попаданий бот-сети на 99%+ без неудобств для реальных браузеров.
Что хостинг-провайдеры обычно включают и за что берут отдельно
Бесплатные или включённые уровни обычно покрывают объёмные атаки уровней 3-4 до фиксированного предела в Гбит/с (часто 10-100 Гбит/с) с использованием базового ограничения частоты и BGP-blackhole. Платные дополнения обычно включают постоянную очистку, WAF, защиту уровня 7, написание кастомных правил и SLA-гарантии защиты. Читайте контракт — «безлимитная защита от DDoS» часто означает «мы null-маршрутизируем Вас выше X Гбит/с».
Маркетинг провайдеров о DDoS сильно различается. Действительно полезная защита включает три вещи: (1) чётко указанная мощность в Гбит/с или Тбит/с, (2) покрытие уровней 3-7, включая защиту от HTTP-flood, и (3) письменное SLA с обязательствами по времени начала защиты и потерям трафика. Менее полезная защита — это один значок «защищено от DDoS» без числа мощности, что обычно означает только BGP-blackhole — Ваш IP будет null-маршрутизирован при атаке, и Вы будете офлайн на её время. При оценке спрашивайте: какова заявленная мощность на IP? Это постоянно или по требованию? Покрывает ли уровень 7? Каков SLA на время активации защиты? Что происходит, когда атака превышает лимит Вашего уровня? Ответы покажут, покупаете ли Вы реальную защиту или маркетинговый ярлык.