DoS и DDoS-атаки: что это такое и в чём разница

DoS (Denial of Service, «отказ в обслуживании») — это атака, которая выводит сервис из строя, перегружая его запросами или эксплуатируя уязвимость. Ключевое слово здесь — «один». Один источник, один атакующий хост, один IP-адрес.

Суть проста: сервер или сетевой канал имеют конечные ресурсы. Оперативная память, процессорное время, пропускная способность канала — всё это ограничено. DoS-атака целенаправленно исчерпывает один из этих ресурсов, пока сервис не перестанет отвечать на запросы легитимных пользователей.

Именно потому, что источник один, DoS относительно просто заблокировать: достаточно выявить атакующий IP и закрыть от него трафик на уровне фаервола. Это не значит, что атака безвредна — пока она идёт, сервис недоступен. Но у защитника есть конкретная цель, с которой можно работать.

Как выглядит DoS на практике

Один из характерных примеров — реальный инцидент из публичного разбора: сервер получал около 4 150 запросов в течение одного часа с IP-адреса 45.155.53.76. При этом атакующий скрипт каждый раз менял строку User-Agent, имитируя разные браузеры и операционные системы — Windows, Linux, Chrome, Firefox. Без мониторинга трафика такая активность может выглядеть как случайный всплеск.

Но источник всё равно один. Rate limiting в Nginx или правило в Fail2ban после нескольких сотен запросов блокируют его — и атака прекращается.

Основные техники DoS

Ping of Death. Отправка ICMP-пакетов, размер которых превышает максимально допустимый (65 535 байт). Уязвимые системы не могли корректно обработать такой пакет и зависали или перезагружались. Классика 1990-х, большинство современных стеков давно закрыли эту уязвимость.

Slowloris. Атака держит открытыми максимальное количество соединений с веб-сервером, отправляя намеренно неполные HTTP-запросы. Сервер ждёт окончания запроса, слот соединения занят, новые соединения не принимаются. Работает даже при минимальной пропускной способности на стороне атакующего.

Buffer overflow. Эксплуатация переполнения буфера: атакующий отправляет данные, объём которых превышает выделенную память. При отсутствии корректной обработки сервис аварийно завершает работу.

UDP Flood / ICMP Flood. Канал засыпается пакетами в объёме, который превышает его пропускную способность. Легитимные запросы просто не доходят до сервера — он занят обработкой мусорного трафика.

DDoS (Distributed Denial of Service, «распределённый отказ в обслуживании») — та же идея, что и DoS, но атака координируется одновременно с тысяч или миллионов устройств. Именно это слово «distributed» меняет всё.

Отдельный компьютер ограничен пропускной способностью своего интернет-канала. Объединив тысячи машин, злоумышленник получает суммарную мощность, которую невозможно перекрыть простой блокировкой IP — адресов слишком много, они постоянно меняются, и часть трафика выглядит как вполне обычный пользовательский.

Откуда берутся тысячи машин: ботнеты

Основа DDoS — ботнет. Это сеть устройств, заражённых вредоносным ПО, которыми злоумышленник управляет удалённо, как правило без ведома их владельцев. В ботнет могут входить персональные компьютеры, серверы, роутеры, IoT-устройства — смарт-телевизоры, камеры видеонаблюдения, умные колонки.

Масштабы современных ботнетов впечатляют. Aisuru-Kimwolf, зафиксированный в 2025 году и состоявший преимущественно из заражённых Android-телевизоров, насчитывал от 1 до 4 миллионов устройств и был способен генерировать до 31,4 Тбит/с трафика. Ни один частный канал связи такую нагрузку физически не выдержит.

Арендовать мощность ботнета на чёрном рынке сегодня несложно. Часовая атака небольшой мощности стоит десятки долларов, серьёзные инциденты — сотни.

DoS и DDoS: в чём разница

На практике вопрос «dos или ddos» часто возникает именно в момент инцидента — когда сервис уже недоступен и нужно быстро понять, с чем столкнулся. Разбираем ключевые отличия dos и ddos по параметрам.

Если в логах один IP генерирует аномальный трафик — скорее всего DoS. Если трафик идёт с тысяч адресов, распределённых по разным странам и подсетям — это DDoS.

Сетевая модель OSI описывает семь уровней передачи данных, и DDoS-атаки работают на трёх из них — сетевом, транспортном и прикладном. Каждый уровень атакуется по-своему, и каждый требует своего инструмента защиты. Нельзя взять WAF и надеяться, что он закроет терабитный флуд на уровне канала. Равно как и upstream-фильтрация не спасёт, если атакующий имитирует живых пользователей.

L3 — удар по каналу

На третьем уровне модели OSI атакующего не интересует ни приложение, ни сервер — его цель сам канал связи. Задача: физически забить его до предела, чтобы легитимный трафик перестал проходить. UDP-флуд, ICMP-флуд, carpet bombing — вариант, при котором поток размазывается по всему диапазону IP-адресов, а не концентрируется в одной точке.

В 2025 году в России прирост атак на сетевом уровне составил 83%, пиковая мощность отдельных инцидентов достигала 1,3 Тбит/с. Противодействовать этому силами собственной инфраструктуры невозможно — клиентский канал всегда уже провайдерского. Фильтрация должна работать выше по потоку, до того как трафик пересёк границу твоей сети.

L4 — атака на таблицу соединений

Транспортный уровень — это про протоколы передачи данных. Здесь атакующий не пытается забить канал объёмом, он пытается исчерпать ресурсы самого сервера. Самый распространённый приём — SYN-флуд.

TCP-соединение устанавливается в три шага: клиент отправляет SYN, сервер отвечает SYN-ACK, клиент подтверждает ACK. Атакующий отправляет тысячи SYN-пакетов и пропадает — третий шаг не приходит. Сервер держит незакрытые соединения в очереди, ждёт подтверждений, и в какой-то момент очередь заканчивается. Новые запросы, в том числе от реальных пользователей, уже не помещаются.

Амплификационные схемы работают на том же уровне, но иначе: небольшой запрос отправляется к уязвимому SSDP-устройству, которое генерирует ответ в 30–60 раз крупнее и направляет его на жертву. Атакующий тратит минимум ресурсов, объём трафика у цели — огромный.

L7 — маскировка под реального пользователя

Прикладной уровень — самый сложный с точки зрения защиты. Запросы технически корректны: правильные HTTP-методы, нормальные заголовки, валидные URL. Сервер их обрабатывает как обращения живых людей — вплоть до момента, когда бэкенд уже не справляется.

Число инцидентов с API в России за 2025 год выросло на 68%. Многовекторные сценарии, когда L3/L4 и L7 бьют одновременно, составили 52% от всех случаев — вдвое больше, чем годом ранее. На этом уровне нет другого инструмента кроме WAF: только он анализирует содержимое запроса, а не его сетевые параметры.

Разведывательные атаки

Отдельно стоит упомянуть короткие зондирующие удары, число которых в России в 2025 году выросло в 5 300 раз. Большинство длилось меньше 15 минут — не потому что у атакующего не хватило ресурсов, а потому что цель другая. Проверить периметр: как быстро среагировала защита, на каком уровне, есть ли незакрытые векторы. После разведки следует уже прицельный удар. Инциденты, которые выглядят как незначительный шум, нередко оказываются первым шагом чего-то серьёзнее.

Цифры дают наглядное представление о масштабе проблемы. Cloudflare в своём ежегодном отчёте насчитал рост числа инцидентов на 236% относительно 2023 года. IV квартал 2025-го давал 5 500 атак в час — не в сутки, именно в час, в среднем по году.

Российская картина в общую тенденцию вписывается, но с несколькими характерными особенностями. По данным StormWall, средняя мощность атак на отечественные компании за год прибавила 63% и вышла на 116 Гбит/с. Это не пиковые выбросы — это среднее. Отдельные инциденты достигали 1,3–1,4 Тбит/с. Общее число случаев выросло почти вдвое.

Роскомнадзор насчитал больше 21 тысячи подтверждённых инцидентов за год — прирост к 2024-му превысил 100%. «Сбер» оценил финансовые потери российского бизнеса в 2025 году как минимум втрое выше предыдущего года. Реальные цифры, скорее всего, ещё выше: инциденты публично не раскрываются.

По отраслям лидируют телекоммуникации — 34% всех атак, прирост по отрасли 62%. Финансовый сектор вырос на 38%. Образование неожиданно оказалось в топ-3: всплески фиксировались в июле в период поступления в вузы и в сентябре с началом учебного года — именно тогда, когда нагрузка на онлайн-ресурсы максимальна и ИТ-команда и без того перегружена.

За большинством инцидентов стоит вполне понятная бизнес-логика или политический мотив.

Конкуренты. Самый распространённый заказчик атак в ритейле, геймингe и телекоме — прямой соперник. Положить сайт конкурента накануне пика продаж технически проще и дешевле, чем выигрывать в честной борьбе. В ноябре 2025-го, перед «чёрной пятницей», число атак на интернет-магазины за один месяц выросло в четыре раза.

Вымогатели (Ransom DDoS). Схема отработана: сначала запускают атаку, потом присылают требование с суммой и угрозой продолжить, если не заплатить. В III квартале 2025 года 74% атак на российские компании были именно такими. Часть бизнесов платит — простой обходится дороже.

Хактивисты. Политически мотивированные группы атакуют государственные ресурсы, СМИ, инфраструктурные объекты. Телеком остаётся постоянным лидером по числу таких инцидентов.

Прикрытие для проникновения. DDoS как дымовая завеса — задокументированная практика. Пока команда занята флудом, через другой вектор идёт попытка реального взлома. Поэтому при любом инциденте стоит параллельно проверять периметр на других направлениях, не ограничиваясь борьбой с флудом.

Симптомы атаки не всегда очевидны сразу, особенно если нет настроенного мониторинга.

Ошибки 502, 503, 504 в браузере и в логах — один из первых сигналов. Особенно если они появились внезапно и массово, без видимых причин на стороне инфраструктуры.

Резкий скачок входящего трафика. Нормальный трафик растёт постепенно или по предсказуемой модели — пики в рабочие часы, спад ночью. Аномальный рост на несколько сотен процентов за несколько минут без маркетинговых событий — повод смотреть глубже.

Нагрузка на CPU и RAM без видимых причин. Если сервер начинает задыхаться при обычном числе пользователей — возможно, он обрабатывает что-то лишнее.

Аномальная активность в логах. При DoS — один IP с нетипично высоким числом запросов. При DDoS — тысячи разных IP, часто с автоматически меняющимися User-Agent и заголовками, равномерное распределение запросов по времени (нехарактерное для живых пользователей).

Недоступность отдельных сервисов при том, что другие продолжают работать. Это может указывать на целевую атаку конкретного эндпойнта — например, API или страницы оформления заказа.

Выбор инструментов защиты напрямую зависит от уровня атаки. Нет универсального решения, которое закрывает всё сразу, — каждый уровень требует своего.

Против объёмных атак L3–L4

Единственное, что работает против атак мощностью в сотни гигабит, — это фильтрация выше по потоку. Если флуд уже добрался до твоего канала, блокировать его «изнутри» поздно. Провайдерская upstream-фильтрация перехватывает мусорный трафик на магистральном уровне, до того как он вообще пересёк границу инфраструктуры.

Scrubbing-центры — специализированные узлы, куда маршрутизируется весь входящий трафик во время инцидента. Каждый пакет проходит анализ в реальном времени, легитимные запросы пропускаются к серверам, остальное отсекается. BGP Anycast распределяет нагрузку между несколькими точками присутствия, не позволяя атакующему «утопить» один узел.

Против DoS и точечных векторов

Rate limiting и списки контроля доступа — достаточный инструмент для атак с одного источника. Ограничить количество запросов с IP, заблокировать известные вредоносные диапазоны, настроить Fail2ban на автоматический бан после превышения порога — этого хватает для DoS. Как только источников становится тысяча, эти меры перестают работать.

Против L7

WAF смотрит внутрь HTTP-запроса, а не только на его сетевые параметры. Аномальные паттерны, нетипичные заголовки, повышенная частота обращений к конкретным эндпойнтам — всё это поводы для блокировки до того, как запрос добрался до бэкенда. Без WAF L7-атаки проходят через любую сетевую фильтрацию незамеченными.

CDN параллельно решает две задачи: распределяет нагрузку по точкам присутствия и скрывает реальные IP-адреса серверов — усложняя прямое нацеливание.

Мониторинг до инцидента

Traffic Mirroring — инструмент другого класса. Зеркалирование трафика на сетевых интерфейсах виртуальных машин позволяет видеть аномалии в реальном времени до того, как атака набрала полную силу. K2 Cloud остаётся единственным российским облачным провайдером с поддержкой этой возможности.

Поскольку больше половины атак в 2025 году были многовекторными, наиболее надёжная конфигурация — связка провайдерской фильтрации L3–L4 и WAF на прикладном уровне. Закрыть только один из них означает оставить другой открытым.

Anti-DDoS в K2 Cloud работает на базе платформы Servicepipe и закрывает уровни L3–L4. Эффективность фильтрации — 99% и выше, мониторинг круглосуточный, доступность фиксируется в SLA.

Ключевое отличие от традиционных схем — в том, как происходит подключение. Классическое anti-DDoS-решение подразумевает отдельное оборудование, изменение сетевой архитектуры, согласование маршрутизации. В зависимости от ситуации это занимает от нескольких дней до нескольких недель — и точно не то, что нужно в момент активной атаки.

В K2 Cloud защита встроена в саму платформу. Каждый защищённый Elastic IP-адрес автоматически направляет входящий трафик через Servicepipe ещё до того, как он попадает в инфраструктуру. Чтобы поставить конкретный ресурс под защиту, нужно заменить его текущий IP на защищённый — через консоль, API или Terraform, без остановки сервиса. DNS обновляется следом, если нужно.

Это даёт возможность прикрывать сервисы точечно: только платёжный шлюз, только публичный API, только личный кабинет. Не обязательно переводить под защиту всё сразу. Модель оплаты — pay as you go, без абонентской платы за неиспользуемый резерв.

Новым заказчикам доступен бесплатный пилот на срок до двух недель — при условии, что инфраструктура на момент подключения не находится под активной атакой.

Решение ищут в момент атаки. На нормальный выбор времени нет — берут первое доступное, часто переплачивают за срочность или соглашаются на то, что не подходит. Тестировать и подключать инструменты нужно заранее, когда есть время разобраться без давления.

Один уровень вместо двух. WAF беспомощен, если канал уже физически забит флудом — он просто не получит трафик для анализа. L3–L4 фильтрация не видит умные L7-атаки, которые имитируют легитимные запросы. В 2025 году каждый второй инцидент в России был многовекторным — это означает, что однослойная защита статистически не работает.

Инфраструктуру не тестировали под нагрузкой. Стресс-тест — не паранойя, а способ убедиться, что периметр выдержит реальную атаку, а не только выглядит правильно на бумаге. Лучше обнаружить слабое место на учениях, чем в прямом эфире.

Размытые гарантии в договоре. «99,9% доступности» и «99,9% доступности во время активной атаки» — разные вещи. Если SLA-гарантии провайдера распространяются только на штатный режим, в момент инцидента они не стоят ничего. Стоит уточнять явно, как ведёт себя SLA именно под нагрузкой.

Нет сценария реагирования. Когда сервис падает, не время выяснять, кто за что отвечает. Кто переключает трафик, кто пишет клиентам, кто звонит провайдеру — это решается заранее. Иначе к прямым потерям от простоя добавляются потери на неразбериху.

В чём принципиальная разница между DoS и DDoS-атакой?

DoS — атака с одного устройства. DDoS — с тысяч или миллионов машин (ботнет). DoS проще заблокировать, поскольку источник один и его можно закрыть фаерволом. DDoS несравнимо опаснее по масштабу и сложности защиты.

Можно ли защититься от DoS обычным фаерволом?

От DoS — да, в большинстве случаев достаточно. Правило блокировки по IP или rate limiting закроет атаку с одного источника. Против DDoS с тысячами адресов это не работает — нужна фильтрация на уровне провайдера.

Что такое ботнет и при чём тут DDoS?

Ботнет — сеть заражённых устройств под удалённым управлением злоумышленника. Именно ботнеты обеспечивают «распределённость» в DDoS: трафик идёт одновременно с миллионов разных адресов, что делает блокировку по IP бесполезной.

Как понять, что сервис прямо сейчас атакуют?

Основные признаки: резкий скачок входящего трафика, ошибки 502–504, аномальная нагрузка на CPU/RAM, тысячи запросов с разных IP в логах. При DoS в логах будет один аномальный IP. При DDoS — их тысячи, часто с меняющимися заголовками.

Защищает ли переезд в облако от DDoS?

Переезд в облако снижает некоторые риски, но не устраняет угрозу. Для надёжной защиты нужен отдельный сервис Anti-DDoS с фильтрацией трафика на уровнях L3–L4 и WAF на уровне приложения.

Что такое многовекторная DDoS-атака?

Атака, которая одновременно задействует несколько уровней: например, объёмный L3-флуд плюс SYN-флуд на L4 плюс HTTP-флуд на L7. В 2025 году такие инциденты составляли 52% всех зафиксированных в России случаев — именно поэтому защита одного уровня не даёт полного периметра.

Разница между DoS и DDoS — не просто терминология. Это два разных сценария с разными последствиями и разными инструментами ответа.

Атака с одного IP закрывается фаерволом. Ботнет из миллиона устройств требует провайдерской фильтрации, scrubbing-центров и понимания того, на каком уровне OSI ведётся удар. Поставить не тот инструмент — значит потерять время именно тогда, когда оно дороже всего.

2025 год не оставил иллюзий: атаки стали чаще, мощнее и сложнее одновременно. Инструментов для противодействия достаточно — вопрос только в том, подключены ли они заранее.

Подробнее о сервисе Anti-DDoS и других решениях безопасности — на сайте K2 Cloud. Бесплатный пилот на две недели доступен новым заказчикам.