Провайдер сообщил о DDoS: как понять, что происходит с сайтом

В связи с участившимися массированными DDoS-атаками на ресурсы сети, встаёт вопрос адекватного реагирования владельцев сайтов на сообщения об атаке со стороны хостинг-провайдера. Что означает, если провайдер сообщил о DDoS, и как нужно реагировать на такое сообщение? На эти и другие вопросы мы попытаемся дать исчерпывающие ответы. 

Что это значит, если провайдер сообщил о DDoS?

Особенности DDoS заключаются в том, что не всегда можно вовремя увидеть проявления атаки, особенно со стороны владельца сайта. Поэтому, даже если отсутствуют какие-либо признаки атаки и сайт работает нормально, игнорировать сообщение провайдера о DDoS не следует.

Следует отметить, что появление некоторых неполадок в работе веб-ресурса или сетевых служб легко можно принять за проявление DDoS-активности. К таким неполадкам, например, относятся:

• Задержки в работе БД;
• Недостаток ресурсов RAM-памяти или CPU;
• Проблемы с плагином или CMS;
• Сбои в работе служб DNS или CDN;
• Реальный всплеск трафика после проведения рекламной кампании;
• Переполнение SSD/HDD диска.

Владелец ресурса самостоятельно не всегда может определить реальную причину неполадки. Однако, если провайдер сообщил о DDoS-атаке на сервер или IP – это основная версия. Поэтому такое сообщение нужно воспринимать серьёзно и не предпринимать шагов, которые могут усугубить ситуацию. В частности, категорически не рекомендуется выполнять следующие действия:

• Хаотически удалять код сайта или плагины;
• Выполнять частые перезагрузки сервера;

• Без согласования с техподдержкой переносить веб-ресурс на другой хостинг;
• Выполнять восстановление сайта под DDoS атакой из резервных копий;
• Самостоятельно блокировать какие-либо страны;
• Производить смену DNS-серверов;
• Отключать облачные сервисы, обеспечивающие дополнительный уровень безопасности.

Чёткое выполнение рекомендаций провайдера поможет избежать губительных последствий атаки для вашего веб-ресурса.    

DDoS — это взлом сайта или нет?

Во многих случаях целью хакерских атак является взлом веб-системы, как, например, в случае brute force или MITM, однако с сайтом под DDoS совсем иная ситуация. Здесь все действия злоумышленника направлены на «перегруз» одного или всех сразу уровней функционирования вашего веб-ресурса – сетевой, канальный, приложения, что сделало бы невозможным его нормальную работу. Это напрямую следует из самого названия DDoS (Distributed Denial of Service) – «отказ в обслуживании».

В случае, когда это произошло, сайт под DDoS атакой может стать недоступным для посещения или работать очень медленно – здесь многое зависит от типа хостинга, на котором он размещён. Сайт на shared-хостингe «упадёт» быстрее всех. На dedicated server может и не «упасть», а просто замедлит свою работу, смотря, какая мощность и продолжительность атаки. Сервер VPS/VDS находится где-то посередине.

В некоторых случаях может понадобиться дополнительная защита веб-ресурса, чтобы избежать потерь. Это, например, такие случаи:

• Сайт ориентирован на онлайн-торговлю;
• Каждая минута простоя влияет на уровень доходов;
• Есть личный кабинет, API, онлайн-оплата;
• Есть необходимость «спрятать» IP сервера;
• Провайдер рекомендует установить WAF защиту сайта или подключить CDN.

Почему провайдер видит атаку, а владелец сайта — нет?

DDoS-атаку на сайт не всегда легко обнаружить из-за одной «очень неприятной» своей характеристики – «маскирование» под обычный трафик. Поэтому нередко даже провайдер не всегда может вовремя среагировать на неё. Здесь всё зависит от уровня ПО, которое он использует. Например, такие инструменты, как UEBA (User And Entity Behavior Analytics) или NDR (Network Detection and Response) на базе машинного обучения помогают обнаруживать аномалии в поведении сети и контролировать структуру трафика на предмет наличия «лишних» IP-пакетов с последующим принятием мер по предотвращению атаки.

Кроме того, многие атаки происходят до уровня сайта и могут быть зафиксированы лишь на уровне сети или канала с помощью автоматизированных средств обнаружения.

Таким образом, хостинг-провайдер всегда будет лучше осведомлён о состоянии сети / канала, чем его клиенты, и сможет легко увидеть, например, следующие аномалии:

• Резкие скачки трафика и «перегруз» канала передачи данных;
• Аномальное количество IP-пакетов или HTTP-запросов с разных стран, IP или сетей ASN; 
• Однотипные периодические обращения к одному и тому же URL или login-page;
• Признаки начала DDoS-атаки сетевого или канального уровня (L3/L4);
• Признаки начала атаки уровня приложения (L7) – на веб-страницу, API или форму.

С другой стороны, владелец сайта может видеть только последствия атаки, когда она уже «развернулась» и препятствует нормальной работе ресурса. Как же понять, что сайт атакуют? Признаками DDoS атаки могут быть следующие симптомы:

• Сайт не загружается или работает неустойчиво;
• Наличие ошибок браузера типа 50х;
• Панель управления недоступна;
• Волнообразное появление указанных симптомов;
• Разные уровни доступности сайта в зависимости от региона.   

Что спросить у провайдера при DDoS?

Во время DDoS атаки на сайт не следует лишний раз отвлекать технические службы хостера от работ по отражению атаки, а лучше сконцентрироваться на вопросах, которые действительно смогут помочь в защите вашего ресурса и будут способствовать уменьшению потерь.

К таким вопросам, в частности, можно отнести следующие:

• Куда направлена атака – на сервер, IP или домен;
• К какому уровню относится –  L3, L4 или L7 DDoS;
• Какова область её действия;
• Следует ли «прятать» origin IP;
• Что мы можем сделать, если сайт не работает из-за DDoS;
• Включены ли фильтры;
• Какова мощность DDoS;
• Необходимо ли подключение Cloudflare от DDoS;
• Что мы не должны делать.

При этом следует иметь в виду, что окончательная информация об атаке DDoS на сервер, IP адрес или сеть может быть известна только по результатам анализа после её окончания, и дополнительно будет сообщена провайдером, когда завершится DDoS атака на сайт. 

Нужно ли сразу переносить сайт на другой хостинг?

В случае, если хостинг сообщил о DDoS, нужно строго придерживаться приведённых здесь рекомендаций и не делать никаких «лишних» шагов, чтобы не усугублять ситуацию. Это связано, прежде всего, с тем, что в первые секунды/минуты/часы (!) атаки достоверно неизвестно на каком или каких уровнях она осуществляется. Это может быть, например, L7 уровень приложения, L3/L4 сети/канала или все уровни сразу. И, поэтому, в этой ситуации любые работы с сайтом под DDoS атакой исключены. 

Поможет ли Cloudflare при DDoS?

Американская компания Cloudflare от DDoS предоставляет набор облачных сервисов, в том числе услуги DNS, CDN и ряд других, несомненно, улучшающих уровень защиты от DDoS. Однако уровень киберпреступников, благодаря интеграции с ИИ, постоянно растёт. Так, согласно ежеквартальным отчётам самой Cloudflare, лишь за последний квартал 2025 года на инфраструктуру компании было осуществлено около 8,5 миллиона DDoS-атак или около 4-х тысяч «штурмов» в час (!). Это на 40 % больше по сравнению аналогичным периодом 2024 года.

Это говорит о том, что такие «гиганты», как Cloudflare становятся первой целью киберпреступников, что не способствует спокойному отношению к DDoS со стороны их клиентов. Тем более, что в недавнем прошлом Cloudflare уже «пропускала» серьёзные «удары», а, значит, её возможности не безграничны.

Что делать владельцу сайта в первую очередь?

После получения сообщения провайдера о DDoS, владельцы сайтов должны строго придерживаться приведённых здесь рекомендаций касательно того, что можно делать, а что категорически не рекомендовано (см. выше).

В частности, для оценки состояния ресурса вы можете самостоятельно выполнить ряд следующих действий:

• Проверить доступность панели управления хостингом;
• Ознакомиться с аналитическими отчётами облачных сервисов безопасности;
• Запомнить ошибки, выдаваемые браузером;
• Изучить логи своего веб-ресурса, в случае их доступности;
• Просмотреть аналитические отчёты посещаемости вашего ресурса;
• Зафиксировать время появления нарушений в функционировании веб-ресурса;
• Выяснить, были ли замечены какие-либо изменения накануне атаки.  

Чтобы вы ни увидели или не узнали, ни в коем случае нельзя поддаваться панике. Провайдер в первую очередь заинтересован в выполнении своих обязательств по договору SLA (Service Level Agreement), чтобы избежать репутационных потерь и не потерять клиентов. По окончании атаки вы обязательно получите исчерпывающую информацию по результатам её отражения.