Что происходит при DDoS и как отличить атаку от нагрузки

Значимый прорыв формирует отрасль ИИ: SrvTrantor 30 минут назад Что происходит при DDoS и как отличить атаку от нагрузки Средний 9 мин 1. 2K Блог компании RUVDS. com Хостинг Серверное администрирование * IT-инфраструктура * Системное администрирование * Мнение Почти каждый, кто админит VDS/VPS, хоть раз перезагружал сервер при DDoS-атаках или при подозрительно резком росте трафика.

Это не помогает, ну а что ещё делать… Для того, чтобы этого не было, в статье под катом разберу, что происходит при разных видах DDoS, как правильно их диагностировать и с помощью чего можно отличить атаку от органического роста. Кто атакует в 2026 году и зачемНачну с основ. DDoS-атака — это отправка большого количества запросов на ресурс, в результате чего может произойти прекращение работы ресурса («отказ в обслуживании» или DoS).

Технические детали

Источники такой атаки можно разделить на две категории: Самые распространённые — это ботнеты из заражённых IoT-устройств (даже солнечных батарей) и роутеров. Сейчас в даркнете такую атаку на несколько часов можно купить за несколько долларов, при этом технические навыки для её организации не нужны. Вторая по распространённости — организованные группы (конкуренты, вымогатели и хактивисты).

Конкуренты атакуют перед пиковыми продажами, вымогатели сначала дудосят, а потом шлют письмо с требованием выкупа. В свою очередь, хактивисты атакуют политические сайты, СМИ, госсектор в основном по идеологическим мотивам. Также за атаку можно принять обычную нагрузку.

Например, конкурент мог запустить парсер без лимита, поисковый бот мог зависнуть на календаре с бесконечными страницами или вообще ваш партнёр мог встроить ваш виджет на страницу с миллионом просмотров. Про органические причины роста трафика рассказывать не буду, но и они бывают. Зачастую главная цель атаки на VDS — это веб-сервер, SSH, почтовый сервис, DNS или API-эндпоинт.

Отраслевые последствия

То есть во всех случаях это конкретный сервис, но бывают и многовекторные атаки. Также иногда злоумышленники меняют цель в процессе, например, сначала бьют по 80-му порту, видят защиту, переключаются на 443-й, потом на API, а потом на поддомен. Это нормально, потому что они ищут самое слабое звено.

Виды DDoS-атак и что при них происходитПо данным Cloudflare, в 2025 году в мире было зафиксировано около 47,1 млн DDoS-атак (рост на 121% за год). Рекорд мощности единичной атаки достиг 31,4 Тбит/с — атака длилась всего около 35 секунд. Однако виды таких атак разнятся.

Объёмные атаки Это тот самый сценарий, который большинство представляет при слове DDoS. В этом случае на ваш IP льётся трафик, который превышает ширину канала VDS. Обычно это UDP-флуд, ICMP-флуд или DNS amplification (DNS-усиление).

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.