Когда сайт «ложится» под нагрузкой. Что на самом деле происходит
Любой сайт или онлайн-сервис работает благодаря серверу, который обрабатывает запросы пользователей и хранит данные. Но у этой системы есть предел: одновременно она может обслужить лишь определённое количество обращений. То же касается и интернет-канала — его пропускная способность ограничена.
Этим и пользуются злоумышленники. Они создают так называемые ботнеты — сети заражённых устройств, которые начинают массово отправлять запросы на один и тот же сервер. В какой-то момент нагрузка становится критической, и система перестаёт справляться. Сайт либо сильно замедляется, либо полностью перестаёт открываться.
Директор по информационной безопасности компании «БелИнфоНалог» Дмитрий Корнев рассказал «Фонарю», что такие атаки строятся на простом принципе перегрузки, но последствия у них могут быть крайне серьёзными.
— DDoS-атака не обязательно связана со взломом или кражей данных. Её задача — сделать сервис недоступным для пользователей. При этом сама инфраструктура может оставаться целой, но фактически парализованной. Бизнес в этот момент теряет клиентов, деньги и доверие. Особенно критично это для компаний, у которых вся работа завязана на онлайн-сервисы, — объясняет специалист.
Почему атакуют и кому это выгодно
Причины таких атак могут быть разными, но чаще всего речь идёт о прямой выгоде. Иногда злоумышленники требуют деньги за прекращение атаки. И хотя такие случаи редко становятся публичными, бизнес нередко оказывается перед выбором: платить или нести убытки.
Отдельная история — недобросовестная конкуренция. Например, ещё в 2022 году количество атак на онлайн-ритейл выросло в семь раз. Особенно пострадали интернет-магазины электроники, мебели и одежды.
Есть и так называемые хактивисты — люди, которые используют атаки как способ привлечь внимание к своим взглядам. Их активность заметно выросла после 2022 года, а затем снова усилилась в 2023-м, когда под удар попали ритейлеры и финансовые организации.
Но иногда DDoS — это лишь отвлекающий манёвр
— В ряде случаев атака используется как прикрытие для других действий. Пока специалисты заняты восстановлением работы сервиса, злоумышленники могут пытаться проникнуть в систему или украсть данные. Это делает такие атаки особенно опасными, потому что основной ущерб может быть не сразу заметен, — говорит Дмитрий Корнев.
Атаки становятся мощнее и дольше
За последние годы ситуация заметно ухудшилась. В 2022 году количество DDoS-атак в мире выросло на 74 процента по сравнению с предыдущим годом. При этом увеличилась и их мощность, и продолжительность.
Тогда же была зафиксирована одна из самых масштабных атак: на ресурсы клиента Cloudflare обрушилось 26 миллионов запросов в секунду. Для этого использовался ботнет из более чем пяти тысяч устройств.
Россия также оказалась в числе стран, на которые приходится значительная доля атак — 8,4 процента от мирового объёма в 2022 году. При этом сильнее всего пострадали финансовый сектор, телеком, государственные сервисы и ритейл.
Достаточно вспомнить несколько громких случаев. В феврале 2022 года более 50 мощных атак обрушились на портал Госуслуг, из-за чего он временно перестал работать. Осенью того же года была зафиксирована крупная атака на СберБанк с участием десятков тысяч устройств. А летом 2023 года пользователи не могли купить билеты из-за сбоя в работе сайта и приложения РЖД.
Атаки стали постоянными
По данным отчёта Selectel, в 2025 году ситуация стала ещё напряжённее. За год было отражено более 140 тысяч атак — это на четверть больше, чем годом ранее. В среднем фиксировалось около 11,7 тысячи инцидентов в месяц.
При этом выросла не только частота, но и «вес» атак. Максимальная мощность достигла 569 гигабит в секунду, а скорость — 193 миллиона пакетов в секунду. Увеличилась и продолжительность: суммарное время атак превысило 22 тысячи часов.
Отдельные компании сталкивались с атаками, которые длились почти месяц без перерыва.
— Сегодня мы видим, что DDoS перестали быть редкими инцидентами. Это уже постоянный риск, с которым нужно работать на уровне бизнес-процессов. Появились так называемые «зондирующие» атаки — они могут быть не очень мощными, но происходят регулярно и помогают злоумышленникам искать слабые места. После этого наносится более серьёзный удар, — отмечает эксперт.
Атаки упростились, но стали эффективнее. Как они работают сейчас
Интересно, что при росте числа атак их разнообразие, наоборот, сократилось. Почти 87 процентов случаев приходится всего на два типа: TCP SYN Flood и TCP PSH/ACK Flood.
В первом случае сервер получает огромное количество запросов на установление соединения и «зависает» на этапе ожидания ответа. Во втором — система перегружается потоком поддельных пакетов, на обработку которых уходят ресурсы.
Это означает, что злоумышленники делают ставку не на сложность, а на масштаб и повторяемость.
Защита есть, но она требует системного подхода
Защититься от DDoS-атак можно, но для этого недостаточно одного инструмента. Нужен комплекс мер: постоянный мониторинг трафика, использование специализированных решений и регулярное обновление систем безопасности.
Речь идёт, в том числе, о системах фильтрации трафика, Web Application Firewall и инструментах мониторинга, которые позволяют быстро обнаружить атаку и отреагировать на неё.
По словам Дмитрия Корнева, попытки справиться своими силами часто обходятся дороже, чем обращение к профессионалам.
— Компании нередко недооценивают масштаб угрозы и пытаются защититься самостоятельно. Но в реальности это требует серьёзных ресурсов и экспертизы. Гораздо эффективнее подключать специализированные сервисы, которые обеспечивают круглосуточную защиту, фильтруют трафик и умеют быстро реагировать на новые типы атак. Это позволяет не только снизить риски, но и сохранить стабильность бизнеса, — подчёркивает специалист.
Сегодня DDoS-атаки — это уже не исключение, а часть цифровой реальности. И чем раньше бизнес начнёт воспринимать их как постоянную угрозу, тем больше шансов сохранить устойчивость и доверие клиентов.
