Первая DDoS-атака всегда приходит внезапно. Каналы заполняются мусорными запросами, задержки отклика сервера растут, пользователи жалуются, мониторинг показывает критические ошибки. DDoS-атаки, к сожалению, уже не исключение, а привычный фон. Каждая волна становится сложнее: за флудом на сетевом или транспортном уровнях модели OSI скрываются целевые запросы к API и прикладным сервисам, а шифрование трафика еще сильнее усложняет задачу. Разберем пять ключевых аспектов выбора Anti-DDoS-решения, от которых зависит выживаемость и устойчивость ИТ-инфраструктуры в условиях постоянных атак.
Автор: Вадим Солдатенков, руководитель направления продуктов “Гарда Anti-DDoS”, группа компаний “Гарда”
Вопрос 1. Где держать защиту?
Первый вопрос – в определении ответственного за отражение DDoS-атак. Поручить провайдеру или организовать собственную локальную защиту? Каждый из вариантов имеет свои сильные и слабые стороны, которые необходимо учитывать, а решение во многом зависит от готовности заказчика держать Anti-DDoS под собственным контролем.
Защита на стороне провайдера обеспечивает широкую полосу фильтрации и понятный SLA. Операторская защита эффективна в основном на уровне L3–L4 при отражении объемных флудов. Ее ограничения по большей части связаны с асимметрией очистки, относительными задержками между выявлением атаки и началом фильтрации, зависимостью от человеческого фактора. При этом SLA в лучшем случае предусматривает возмещение оператором только стоимости услуги, но не реальные убытки бизнеса. Например, недавно крупный проект E-commerce в России потерял более 40 млн руб. за сутки простоя под DDoS-атакой, а компенсация от провайдера составила лишь месячную стоимость сервиса.
Локальная защита, напротив, позволяет специалисту по информационной безопасности напрямую управлять политиками, учитывать изменения в работе сервисов и поддерживать интеграцию с SOC и другими системами. Основное ограничение здесь – пропускная способность каналов связи. Если компания использует канал в 20 Гбит/с, любая атака сверх этой величины сделает его недоступным.
Поэтому оптимальный подход должен быть комбинированным: объемные атаки на каналы связи следует отражать на уровне провайдера, а более сложные, на сетевые устройства и приложения – локально. Например, комплекс "Гарда Anti-DDoS" [1] не только обеспечивает локальную защиту, но и способен автоматически включать фильтрацию на провайдерском комплексе при первой угрозе переполнения каналов. Такой подход создает баланс между масштабом и контролем. В результате организация получает устойчивую модель: провайдер снимает пиковую нагрузку, локальный Anti-DDoS обеспечивает точность, а распределение ответственности снижает риск единой точки отказа.
Вопрос 2. Вскрывать ли шифрованный трафик?
Второй вопрос касается глубины обработки HTTPS-трафика, поскольку сегодня он стал основной средой проведения атак.
Специалисты по информационной безопасности оказываются перед выбором: ограничиться косвенным анализом HTTPS без его расшифровки или использовать более глубокий анализ в режиме проксирования с расшифровкой TLS. И этот выбор напрямую влияет на качество DDoS-защиты.
Защита без расшифровки опирается на косвенные признаки: анализ Handshake TLS, поведенческие паттерны, JA3/JA4-отпечатки, базы IP. В этом случае отсекается часть атак, но сложные сценарии останутся незамеченными. Полная расшифровка HTTPS дает возможность точечно блокировать атаку на основании анализа содержимого запросов, однако требует ресурсов и контроля над использованием ключей и сертификатов для организации защищенного соединения.
Комплекс "Гарда Anti-DDoS" в рамках одного решения поддерживает эшелонированную защиту. Он выполняет основную фильтрацию трафика на входе в локальную сеть компании. После чего прошедшие запросы направляются в модуль L7-экрана, где происходит вскрытие и анализ шифрованного трафика. Выявленные данные об атакующих передаются на эшелон выше, чтобы блокировать атаку как можно раньше.
Такой вариант архитектуры Anti-DDoS максимально эффективен для финансовых организаций, которым регулятор запрещает передачу приватных ключей третьим лицам, например провайдерам. Кроме того, локальная обработка трафика исключает задержки на его доставку и возврат через внешние центры очистки, что критично для сервисов с высокой доступностью.
Вопрос 3. Автоматизация или человек?
Третий вопрос определяет подход к управлению защитой с верным балансом автоматизации, искусственного интеллекта и участия человека. Для службы ИБ это решение о том, как распределить ресурсы между алгоритмами и дежурными командами и какие сценарии закрепить в инструкциях.
Современные системы Anti-DDoS почти идеально автоматизируют базовые задачи: фильтрацию по пороговым значениям, выявление аномалий, применение фидов. Но многовекторные атаки в 2025 г., иногда достигавшие беспрецедентных пиков в 400 млн RPS, показали ограниченную применимость полной автоматизации. В реальных кейсах именно человек вручную корректировал политики, комбинировал методы фильтрации и быстро принимал решение. Без этого атаки могли привести к серьезным перебоям.
Получается, что Anti-DDoS должен работать как связка алгоритмов и специалистов. В Runbook нужно фиксировать условия вмешательства и роли участников. Особенно это важно при комбинированных атаках на API или системы авторизации, в которых автоматические правила часто не способны отличить атаку от всплесков легитимного трафика. С точки зрения практики ИБ это означает необходимость регулярных учений и отработки различных сценариев противодействия.
Вопрос 4. Какой нужен запас по мощности?
Четвертый вопрос касается баланса ресурсов и затрат на Anti-DDoS в условиях непредсказуемости роста трафика при атаке. Как спланировать мощность: строить систему с запасом или опираться на сценарное масштабирование?
По данным центра компетенций сетевой безопасности группы компаний "Гарда", количество DDoS-атак в России в 2025 г. выросло на 35%, а средняя их мощность – на 40%. При этом параллельно увеличивается и легитимный трафик. И такая динамика, по-видимому, будет сохраняться еще долго. Поэтому комплексный подход к защите должен обеспечивать возможность защищаемой инфраструктуры принимать и обрабатывать растущие объемы трафика. Желательно постоянно поддерживать не менее, чем двукратный запас, иметь план на случай экстренного расширения, использовать возможности эшелонированной защиты для снижения вредоносной нагрузки.
Итак, операторскую защиту следует привлекать для отражения объемных атак, а контролируемый локальный эшелон в компании – это база для обеспечения надежной защиты как от атак на сетевую инфраструктуру, так и на уровне приложений. Сочетание этих компонентов Anti-DDoS позволяет управлять и трафиком, и затратами. При этом долгосрочная экономика часто оказывается аргументом в пользу локальных решений: TCO ниже, зависимость от тарифов меньше, а команда получает необходимые компетенции.
Вопрос 5. С чем интегрировать?
Anti-DDoS может работать как изолированный инструмент, но все же важно встроить фильтрацию в более широкий контур защиты и определить, насколько глубоко интегрировать связанные с этим процессы.
Anti-DDoS показывает максимальную эффективность в связке со специализированными сетевыми средствами защиты класса NGFW, WAF, NDR или XDR. В этом случае блокировка "плохого" трафика по данным из этих систем осуществляется сразу на границе сети, а информация о легитимной активности помогает гарантированно пропускать заведомо "хорошие" запросы. Пример 2025 г.: при атаке на крупный медиапортал именно связка Anti-DDoS и XDR позволила корректно разделить легитимный всплеск аудитории после публикации популярной новости и злонамеренную активность. Без интеграции последствия были бы критичны.
API-интеграция и стандартизованные интерфейсы позволяют добиться скорости и качества реакции на атаки. Работа нескольких связанных между собой эшелонов защиты от одного вендора образуют систему с бесшовной интеграцией, что является технологическим преимуществом как с точки зрения скорости взаимодействия под нагрузкой, так и эксплуатационной поддержки в контексте оптимизации затрат. В любом случае важно, чтобы интеграция между ИБ-решениями была не формальной, а эффективно работающей, причем в реальном времени.
Алгоритмы, фиды, профили
Отдельно стоит упомянуть, что существуют различные методы фильтрации трафика: с помощью алгоритмов, используемых Anti-DDoS-решением, на основе фидов и по профилям. Алгоритмы хорошо обеспечивают предсказуемость и объяснимость. Фиды расширяют возможности алгоритмов, снабжая их дополнительными индикаторами, но требуют выбора и проверки источников. Профилирование и поведенческая аналитика дают интересные и часто правильные решения, основанные только на динамике трафика, но увеличивают риск ложноположительных (а иногда и ложноотрицательных) срабатываний. Поэтому оптимальным является комбинированный подход, где алгоритмы составляют основу, фиды усиливают защиту, а профили используются для вспомогательных сигналов.
Регуляторика
Российские нормативные документы задают базовые требования к обеспечению устойчивости информационных систем. Главными их источниками выступают ФСБ России, ФСТЭК России и ЦБ РФ (например, приказы ФСТЭК России № 17, № 239, № 31; ГОСТ Р 57580.1-2017). Защита от DDoS-атак необходима для государственных информационных систем (ГИС), значимых объектов КИИ (ЗО КИИ), информационных систем общего пользования (ИСОП) и автоматизированных системам управления технологическими процессами (АСУ ТП).
С точки зрения практики применения Anti-DDoS, минимальный уровень соответствия требованиям регуляторов достигается при использовании фильтрации, предоставляемой оператором связи. Однако для бизнес-критичных сервисов такой подход недостаточен – вспомним, например, меру ЗИС.3 "Эшелонированная защита информационной (автоматизированной) системы" из приказа № 239 ФСТЭК России. Эшелонированная схема защиты в рассматриваемом случае может объединять локальные Anti-DDoS-средства с инспекцией прикладного трафика и взаимодействие с операторским центром очистки. Именно такая комбинация позволяет обеспечить реальную устойчивость и будет соответствовать регуляторным требованиям.
Отдельную категорию информационных систем составляют ИСОП – федеральные государственные системы, публикующие сведения о деятельности правительства и ведомств. Их защита регламентируются приказами ФСБ России № 416 и ФСТЭК России № 489. В документах нет прямого упоминания DDoS, но закреплены нормы, которые фактически подразумевают противодействие подобным атакам: использование средств фильтрации и блокирования сетевого трафика, сертифицированных компетентными органами, и обеспечение защиты от воздействий, нарушающих функционирование систем. Для публичных ресурсов, постоянно доступных из интернета, это означает необходимость внедрения механизмов Anti-DDoS как составной части общей архитектуры защиты.
Стоит отметить, что многие информационные системы могут совмещать в себе одновременно разные типы ИС (ГИС, КИИ, АСУ ТП, ИСОП), поэтому на практике необходимо руководствоваться требованиями к каждому из них.
Заключение
DDoS-защита должна состоять из нескольких уровней. Эффективная схема – это объединение в едином контуре трех эшелонов: провайдера, привлекаемого "по требованию" для защиты от объемных атак на каналы связи, локального решения для защиты сетевой инфраструктуры и средства противодействия атакам на уровне приложений. При этом автоматизация включается в типовые сценарии, человек своим участием закрывает сложные случаи. Правильная стратегия – эшелонирование, интеграция и готовность к тому, что атаки будут эволюционировать, а требуемое время реакции сокращаться.
Отметим, что в перспективе выбор и настройка защиты от DDoS будут усложняться – к этому мы видим все предпосылки. Атаки становятся многовекторными, шифрованными и все более и более доступными по цене, а защитные механизмы смещаются от изолированных решений к комплексным, с обменом данными в реальном времени. Поэтому руководителям служб ИБ предстоит принимать решения не только о продуктах, но и об архитектурных принципах, позволяющих поддерживать устойчивость инфраструктуры под аномальной нагрузкой.
Реклама: ООО «Гарда Технологии». ИНН 5260443081. Erid: 2SDnjcciksr