Пока не взломали

Семейный онлайн-бизнес, небольшой сайт, внезапно начинает захлёбываться. Заходит в логи — 400 000 уникальных IP за несколько часов колотят по главной странице. Для контекста: у них обычно 2-3 тысячи посетителей в день. Первая реакция — «Может это вирусный контент? Может нас кто-то упомянул?» Проверяет реферреры — тишина. Проверяет user agents — каша из Firefox, Chrome, Safari, всё как у людей. Вот только люди так не ходят: по 50 запросов в секунду с одного IP к одной и той же странице. Админ начинает банить через fail2ban. Через час понимает, что это как вычерпывать океан ложкой — IP меняются быстрее, чем он успевает добавлять правила...

в комментариях — квинтэссенция того, почему selfhosting и публичные сервисы живут в разных вселенных. Один юзер честно объясняет: «Бро, если кто-то захочет тебя положить — он положит. У тебя домашний канал 100-500 Мбит? Ботнет может гнать 100+ Гбит. Game over». Другой добавляет: «Cloudflare free tier — это единственный способ. Спрячь origin IP за прокси, молись чтобы не слили настоящий». Но самый вкусный комментарий от чувака, который попробовал: поднял сайт дома, через неделю словил атаку. Не какую-то терабитную историю — всего 2 Гбит UDP flood. Его домашний роутер от провайдера просто выключился от перегрева, пытаясь обработать миллионы пакетов в секунду...

Наконец-то дождались разговора по существу. Давайте разберем, что реально работает при защите от DDoS на типичных VPS, где канал — это не терабиты из презентаций, а скромные 100 Мбит–1 Гбит или 10 Гбит в лучшем случае. Начнем с неприятной правды: fail2ban + iptables — это защита от мусора, а не от DDoS. Когда у вас 100 Мбит канал и начинается даже небольшой UDP-флуд на 150–200 Мбит, fail2ban вообще ничего не успеет забанить — канал уже забит, пакеты не доходят до приложения, логи не пишутся. Fail2ban...

В штатах сейчас шумно вокруг сайта, где доксили (сливали данные) агентов ICE (иммиграционная полиция). Ресурс лег под мощным DDoS-ом. Админы жалуются прессе, что атака «сложная» и идет через российские прокси-серверы, из-за чего «невозможно отследить источник». Мы с вами знаем, как это переводится: «мы сэкономили на нормальном Scrubbing-центре и нас смыло обычным ботнетом». Использование российских IP — это классика жанра для маскировки, а не доказательство «руки Кремля». Но кейс показательный:...

) Кто тут любит low-code и n8n для связки сервисов? У меня для вас плохие новости. В популярных версиях нашли связку уязвимостей, которая превращает ваш удобный автоматизатор в решето. Суть в вебхуках: CVE-2026-21858 (кривая валидация ввода) в комбинации с CVE-2026-21877 (инъекция кода). Работает классически: атакующий шлёт специально сформированный запрос на вебхук, парсер n8n давится, но исполняет код. PoC уже гуляет по сети...