Что делать, когда ваш сайт под DDoS-атакой: пошаговое руководство

DDoS‑атака — это одновременная отправка огромного количества запросов к вашему серверу, из‑за чего он перестаёт отвечать легитимным пользователям. Если ваш сайт уже не отвечает, необходимо сразу выполнить несколько проверенных действий, чтобы минимизировать простой и вернуть доступ в течение нескольких минут.

Как определить, что ваш сайт находится под DDoS‑атакой?

Признаки DDoS‑атаки видны сразу: резкое падение скорости загрузки, рост количества соединений в журнале сервера и отсутствие ответов даже на простые запросы.

• Проверьте метрики в реальном времени — если запросов превышает 10 Гбит/с, это подозрительно.
• Сравните текущий трафик с историческим: рост более 80% за 5 минут указывает на аномалию.
• Откройте консоль администрирования и посмотрите количество 5xx‑ошибок; их количество часто превышает 500 за минуту.

Для быстрой диагностики используйте сервисы мониторинга, например, Pingdom или встроенный график в панели управления хостингом.

Почему обычные меры защиты иногда не помогают?

Стандартные файрволы и ограничение запросов часто не выдерживают массивные объёмы трафика, генерируемые современными ботнет‑сетями.

К 2026 году средний размер DDoS‑атаки достиг 25 Тбит/с, что превышает пропускную способность большинства небольших дата‑центров. Кроме того, атаки используют распределённые источники, поэтому блокировать отдельные IP‑адреса бессильно.

Поэтому необходимо применять многоуровневую защиту: фильтрацию на уровне DNS, CDN‑передачу и специальные анти‑DDoS‑сервисы.

Что делать, если атака уже началась?

Сразу переходите к пошаговому плану, который позволит сократить простой до минимумa.

• 1. Активируйте режим «Under Attack» в вашем CDN (Cloudflare, Yandex Cloud) — это автоматически фильтрует подозрительные запросы.
• 2. Переключите DNS‑записи на резервный IP‑адрес; процесс обычно занимает 30 секунд.
• 3. Включите ограничение соединений по стране, если атака исходит из одного региона (например, только из Китай).
• 4. Запустите скрипт блокировки по шаблону User‑Agent, который часто используют бот‑скрипты.
• 5. Свяжитесь с провайдером и запросите трафик‑шилдинг — они могут перенаправить часть нагрузки на их фильтры.

Все действия фиксируйте в журнале, чтобы потом проанализировать эффективность.

Как быстро переключить трафик на резервный сервер?

Самый надёжный способ — использовать DNS‑failover с автоматическим переключением.

Настройте два A‑записа: основной и резервный. При превышении порога нагрузки (например, более 5 000 RPS) ваш провайдер автоматически меняет TTL на 60 секунд и направляет запросы на резервный сервер.

• Подготовьте образ резервного сервера с теми же версиями ПО и базой данных.
• Тестируйте переключение в режиме «maintenance» раз в месяц, чтобы убедиться, что процесс занимает не более 5 минут.
• Установите мониторинг доступности (ping, HTTP‑check) с порогом 99,9 % SLA.

В случае полной потери доступа к основному хостингу, используйте облачный сервер в другом регионе, стоимость которого может быть 0 ₽ в рамках бесплатного тарифа.

Какие бесплатные онлайн‑инструменты помогут в реальном времени?

Для быстрой оценки и реагирования существует несколько сервисов, доступных без регистрации.

• IP‑Geolocation API — показывает географию источников запросов.
• Network‑Tools.org — проверка открытых портов и скорости соединения.
• DDoS‑Simulator (2026 версия) — позволяет смоделировать нагрузку и проверить эффективность ваших правил.
• Log‑Analyzer от toolbox‑online.ru — разбирает журналы и выделяет подозрительные IP‑адреса за секунды.

Все инструменты работают в браузере, не требуют установки и позволяют собрать данные для последующего отчёта.

Воспользуйтесь бесплатным инструментом DDoS‑Shield на toolbox-online.ru — работает онлайн, без регистрации.