Провайдер повідомив про DDoS-атаку: як зрозуміти, що відбувається з сайтом
У зв’язку з тим, що масові DDoS-атаки на ресурси мережі стають дедалі частішими, постає питання щодо адекватної реакції власників сайтів на повідомлення про атаку від хостинг-провайдера. Що це означає, якщо провайдер повідомив про DDoS, і як слід реагувати на таке повідомлення? На ці та інші питання ми спробуємо дати вичерпні відповіді.
Що це означає, якщо провайдер повідомив про DDoS?
Особливість DDoS полягає в тому, що не завжди можна вчасно помітити прояви атаки, особливо з боку власника сайту. Тому, навіть якщо немає жодних ознак атаки і сайт працює нормально, ігнорувати повідомлення провайдера про DDoS не слід.
Слід зазначити, що появу деяких неполадок у роботі веб-ресурсу або мережевих служб легко можна сприйняти за прояв DDoS-активності. До таких неполадок, наприклад, належать:
- Затримки в роботі БД;
- Нестача ресурсів оперативної пам’яті (RAM) або процесора (CPU);
- Проблеми з плагіном або CMS;
- Збої в роботі служб DNS або CDN;
- Реальний сплеск трафіку після проведення рекламної кампанії;
- Переповнення SSD/HDD-диска.
Власник ресурсу не завжди може самостійно визначити справжню причину несправності. Однак, якщо провайдер повідомив про DDoS-атаку на сервер або IP-адресу, це є найімовірнішою версією. Тому таке повідомлення слід сприймати серйозно й не вживати заходів, які можуть погіршити ситуацію. Зокрема, категорично не рекомендується виконувати такі дії:
- Хаотично видаляти код сайту або плагіни;
- Часто перезавантажувати сервера;
- Без узгодження з технічною підтримкою переносити веб-ресурс на інший хостинг;
- Відновлювати сайт під час DDoS-атаки з резервних копій;
- Самостійно блокувати будь-які країни;
- Змінювати DNS-сервери;
- Відключати хмарні сервіси, що забезпечують додатковий рівень безпеки.
Чітке дотримання рекомендацій провайдера допоможе уникнути згубних наслідків атаки для вашого веб-ресурсу.
DDoS — це злом сайту чи ні?
У багатьох випадках метою хакерських атак є злом веб-системи, як, наприклад, у випадку brute force або MITM, однак із сайтом під DDoS ситуація зовсім інша. Тут усі дії зловмисника спрямовані на «перевантаження» одного або всіх одразу рівнів функціонування вашого веб-ресурсу — мережевого, канального, додатків, що унеможливило б його нормальну роботу. Це безпосередньо випливає з самої назви DDoS (Distributed Denial of Service) — «відмова в обслуговуванні».
У разі, коли це сталося, сайт під DDoS-атакою може стати недоступним для відвідування або працювати дуже повільно — тут багато що залежить від типу хостингу, на якому він розміщений. Сайт на shared-хостингу «впаде» швидше за всіх. На dedicated server він може й не «впасти», а просто сповільнити свою роботу, залежно від потужності та тривалості атаки. Сервер VPS/VDS знаходиться десь посередині.
У деяких випадках може знадобитися додатковий захист веб-ресурсу, щоб уникнути втрат. Це, наприклад, такі випадки:
- Сайт орієнтований на онлайн-торгівлю;
- Кожна хвилина простою впливає на рівень доходів;
- Є особистий кабінет, API, онлайн-оплата;
- Є необхідність «приховати» IP-адресу сервера;
- Провайдер рекомендує встановити WAF-захист сайту або підключити CDN.
Чому провайдер бачить атаку, а власник сайту — ні?
DDoS-атаку на сайт не завжди легко виявити через одну «дуже неприємну» її особливість — «маскування» під звичайний трафік. Тому нерідко навіть провайдер не завжди може вчасно зреагувати на неї. Тут усе залежить від рівня програмного забезпечення, яке він використовує. Наприклад, такі інструменти, як UEBA (User And Entity Behavior Analytics) або NDR (Network Detection and Response) на основі машинного навчання, допомагають виявляти аномалії в поведінці мережі та контролювати структуру трафіку на предмет наявності «зайвих» IP-пакетів з подальшим вжиттям заходів щодо запобігання атаці.
Крім того, багато атак відбуваються до рівня веб-сайту і можуть бути зафіксовані лише на рівні мережі або каналу за допомогою автоматизованих засобів виявлення.
Таким чином, хостинг-провайдер завжди буде краще обізнаний про стан мережі / каналу, ніж його клієнти, і зможе легко виявити, наприклад, такі аномалії:
- Різкі стрибки трафіку та «перевантаження» каналу передачі даних;
- Аномальна кількість IP-пакетів або HTTP-запитів із різних країн, IP-адрес або мереж ASN;
- Однотипні періодичні звернення до одного й того самого URL або login-page;
- Ознаки початку DDoS-атаки мережевого або канального рівня (L3/L4);
- Ознаки початку атаки рівня додатка (L7) — на веб-сторінку, API або форму.
З іншого боку, власник сайту може бачити лише наслідки атаки, коли вона вже «розгорнулася» і заважає нормальній роботі ресурсу. Як же зрозуміти, що сайт атакують? Ознаками DDoS-атаки можуть бути такі симптоми:
- Сайт не завантажується або працює нестабільно;
- Наявність помилок браузера типу 50х;
- Панель керування недоступна;
- Хвилеподібна поява зазначених симптомів;
- Різні рівні доступності сайту залежно від регіону.
Про що запитати у провайдера під час DDoS-атаки?
Під час DDoS-атаки на сайт не варто зайвий раз відволікати технічні служби хостера від робіт із відбиття атаки, а краще зосередитися на питаннях, які дійсно зможуть допомогти у захисті вашого ресурсу та сприятимуть зменшенню втрат.
До таких питань, зокрема, можна віднести наступні:
- Куди спрямована атака — на сервер, IP або домен;
- До якого рівня вона належить — L3, L4 чи L7 DDoS;
- Яка область її дії;
- Чи слід «приховувати» IP-адресу походження;
- Що ми можемо зробити, якщо сайт не працює через DDoS;
- Чи ввімкнені фільтри;
- Яка потужність DDoS;
- Чи потрібно підключити Cloudflare для захисту від DDoS;
- Чого ми не повинні робити.
При цьому слід мати на увазі, що остаточна інформація про DDoS-атаку на сервер, IP-адресу або мережу може бути відома лише за результатами аналізу після її закінчення, і додатково буде повідомлена провайдером, коли завершиться DDoS-атака на сайт.
Чи потрібно відразу переносити сайт на інший хостинг?
У разі, якщо хостинг повідомив про DDoS-атаку, потрібно суворо дотримуватися наведених тут рекомендацій і не робити жодних «зайвих» кроків, щоб не погіршувати ситуацію. Це пов’язано, насамперед, із тим, що в перші секунди/хвилини/години (!) атаки достеменно невідомо, на якому або яких рівнях вона здійснюється. Це може бути, наприклад, рівень L7 (додатка), L3/L4 (мережі/каналу) або всі рівні одразу. Тому в цій ситуації будь-які дії з сайтом під час DDoS-атаки виключені.
Чи допоможе Cloudflare у разі DDoS-атаки?
Американська компанія Cloudflare пропонує набір хмарних сервісів для захисту від DDoS-атак, зокрема послуги DNS, CDN та низку інших, які, безсумнівно, підвищують рівень захисту від DDoS. Однак рівень кіберзлочинців, завдяки інтеграції зі штучним інтелектом, постійно зростає. Так, згідно з щоквартальними звітами самої Cloudflare, лише за останній квартал 2025 року на інфраструктуру компанії було здійснено близько 8,5 мільйона DDoS-атак або близько 4 тисяч «штурмів» на годину (!). Це на 40 % більше порівняно з аналогічним періодом 2024 року.
Це свідчить про те, що такі «гіганти», як Cloudflare, стають першою ціллю кіберзлочинців, що не сприяє спокійному ставленню до DDoS з боку їхніх клієнтів. Тим більше, що в недалекому минулому Cloudflare вже «пропускала» серйозні «удари», а отже, її можливості не безмежні.
Що слід зробити власнику сайту в першу чергу?
Після отримання повідомлення від провайдера про DDoS-атаку власники сайтів повинні суворо дотримуватися наведених тут рекомендацій щодо того, що можна робити, а що категорично не рекомендується (див. вище).
Зокрема, для оцінки стану ресурсу ви можете самостійно виконати низку таких дій:
- Перевірити доступність панелі управління хостингом;
- Ознайомитися з аналітичними звітами хмарних сервісів безпеки;
- Запам’ятати помилки, що видаються браузером;
- Вивчити логи свого веб-ресурсу, якщо вони доступні;
- Переглянути аналітичні звіти про відвідуваність вашого ресурсу;
- Зафіксувати час виникнення порушень у функціонуванні веб-ресурсу;
- З’ясувати, чи були помічені якісь зміни напередодні атаки.
Що б ви не побачили чи не дізналися, у жодному разі не можна піддаватися паніці. Провайдер насамперед зацікавлений у виконанні своїх зобов’язань за договором SLA (Service Level Agreement), щоб уникнути репутаційних втрат і не втратити клієнтів. Після завершення атаки ви обов’язково отримаєте вичерпну інформацію щодо результатів її відбиття.