Как понять, что на сайт идет DDoS-атака

Понять, что на сайт идет DDoS-атака, не всегда просто. Нету какой то четкой грани или определенного параметра — нужно смотреть на ситуацию целиком. Атака может происходить разными способами, а иногда и их комбинациями. Возможные варианты:

1. Сайт работает в какой то степени, но открывается или очень очень медленно, либо открывается только в части случаев (типичные ошибки - 503 Service Unavailable, 504 Gateway Timeout). Типичная ситуация, когда атака не очень интенсивная, но ее хватает, чтобы полностью загрузить сервер с сайтом. Если зайти на сервер по SSH, то можно увидеть, что нагрузка в разы выше положенного (Load Average существенно выше обычно. Обычно в десятки раз).
2. Сайт не открывается совсем. В некоторых случаях может выводится «заглушка» хостинга о том, что «сайт временно заблокирован» или подобное. Такое возможно, когда служба поддержки хостинга «видит» атаку и, чтобы не пострадали другие клиенты, блокирует атакуемый сайт (есть разные варианты блокировок — зависит от фантазии хостинга). Обычно владельцу сайта при этом отправляется письмо о том, что сайт под атакой, и необходимо воспользоваться сервисом по защите от DDoS-атаки. Если при этом зайти по SSH на сервер, то нагрузка будет около нулевой, т. к. весь трафик фильтруется хостингом. Самый простой для обнаружения вариант — владелец сайта поставлен в известность техподдержкой хостинга. Такой вариант характерен для относительно мало-интенсивной атаки, при которой инфраструктура хостинга в целом продолжает работать (обычно это атака на уровне L7 OSI — HTTP-flood и подобное).
3. Не работает как ваш сайт так и сайт хостинг-провайдера. Атака такой интенсивности, при котором полностью «забиты» каналы данного оператора. Такой сценарий сложно отличить от какой то не штатной ситуации у хостинг-провайдера (сетевые проблемы — обрыв связи и подобное). Обычно, владельца сайта попытаются уведомить о проблемах. Это самый сложный вариант — сложно диагностируется и сложно устраняется. Атака серьезного уровня. Есть большая сложность воспользоваться каким-либо сервисом фильтрации DDoS, т. к., при отсутствии актуальных резервных копий, могут быть проблемы с доступом к серверу даже по FTP или SSH (может не получится скачать файлы сайта, чтобы перенести к другому оператору или AntiDDoS-сервису).

В целом, обнаружение DDoS-атаки может вызвать сложности у неподготовленного человека. Если у Вас есть подозрения, что вас атакуют — напишите нам [email protected], мы вынесем свой вердикт и предложим способы решения.