Мы привыкли говорить «DDoS» одним словом, но на деле это целый зоопарк приёмов, каждый из которых бьёт по своему слою. Сетевые лавины на уровне L3 перегружают каналы сырым трафиком, L4 штурмует транспорт — SYN-флуды и UDP-бури нацелены на исчерпание таблиц состояний, а L7 уже имитирует «живых» пользователей и выматывает саму веб-прикладную логику. Отсюда и правило: лечим там, где болит. Магистральные очистки отбрасывают грубый шум, интеллектуальные фильтры ловят транспортные аномалии, а на прикладном уровне нам помогает WAF, умеющий читать HTTP-диалоги между строк. И всё это должно работать раньше, чем бизнес заметит просадку. Именно поэтому мы оцениваем провайдера не только по цене и железу, но и по тому, как устроена его оборона «по слоям» — от глобальной сети до обратного прокси, будь то собственные узлы или партнёрские фильтрационные площадки, что хорошо видно на практических предложениях вроде https://hstq.net/.

L3: где считая байты, выигрывают секунды

На сетевом уровне первичную развязку даёт ёмкость аплинков и возможность «чистить» трафик до входа в дата-центр. Когда провайдер умеет принимать терабиты «грязного» потока и возвращать уже «вымытые» мегабиты клиенту, мы получаем главное — устойчивую доступность. Для этого применяются blackhole/RTBH только как крайняя мера, а в штатном режиме — GRE-туннели с отмывкой и BGP-анонс подсетей на фильтрационные узлы. Чем быстрее маршрутизаторы и чем ближе точки присутствия к источнику атаки, тем ниже латентность во время шторма.

L4: когда транспорт «пыхтит», но сервис жив

Транспортные атаки хитрее: они нацелены не на пропускную способность, а на состояние — очереди соединений, таймауты, таблицы NAT. Здесь важна поведенческая аналитика на границе: отслеживание неестественного соотношения SYN/ACK, ограничение скорости для подозрительных префиксов, агрессивный rate limiting с учётом истории IP, а также «песочницы» для подозрительных сессий. Провайдеры держат отдельные профили под разные протоколы и порты, чтобы не «пережечь» легитимных пользователей, когда волна накрывает игры, VoIP или публичные API.

L7: атаки, которые притворяются вашими пользователями

Прикладной слой — самая дорогая для атакующего, но и самая неприятная для нас история. Тут нагрузка ложится на CPU и БД: тысячи «честных» HTTP-запросов в секунду пересчитывают корзины, строят поисковые выборки, валят кэш. На этом уровне провайдеру нужен не просто обратный прокси, а умная прослойка, которая понимает сигнатуры, поведение и контекст. Мы учим защиту отличать холодный парсинг от теплого клиента, читать заголовки, проверять последовательность шагов в сессии, а при необходимости — требовать дополнительные доказательства «человечности» без раздражающих капч для всех подряд.

Роль WAF: хирург в операционной, а не охранник на входе

Web Application Firewall — это не «ещё один фильтр», а инструмент тонкой медицины. WAF видит структуру запросов, валидацию параметров, характерные паттерны для SQLi/XSS/RCE, поведенческие метрики по устройству и сессии. Он умеет делать виртуальные патчи быстрее, чем выйдет релиз, и согласовывает политику с балансировщиками и CDN, чтобы не резать легитимный пульс. В продакшне мы всегда идём по пути «наблюдай → симулируй блокировку → блокируй», чтобы не устроить самострел по бизнес-метрикам. В связке с антибот-механикой WAF удерживает L7-шторм там, где сетевые щиты уже бессильны.

Как провайдеры комбинируют щиты и мечи

Лучшие практики — это не одна «серебряная пуля», а оркестр: крупные аплинки и фильтрационные центры на периметре, поведенческие модели и rate limiting на транспорте, WAF и антибот на приложении, плюс кэш и «ленивые» пути рендеринга на стороне самих приложений. Важны короткие петли обратной связи: телеметрия из балансировщиков уходит в системы принятия решений, профили обновляются онлайн, а правила раскатываются атомарно. Мы оцениваем провайдера по тому, насколько ему доступна эта «многоэтажность» из коробки и как быстро она активируется под конкретный профиль сервиса.

Где смотреть живые условия и акции

Проверяя, что именно предлагает площадка на практике, мы обращаем внимание на конкретику: географию узлов, параметры портов, SLA реакции, включённые профили DDoS и наличие управляемых услуг администрирования. У многих поставщиков есть разделы с действующими спецпредложениями: например, на странице акций хостинг за $0.99, VDS за $1 и выделенный сервер за $29.99, таймеры до окончания, удвоение сроков и бонусная поддержка — всё это можно увидеть тут: https://hstq.net/promo.html. Такие страницы полезны не только ради цены: по ним видно, какие локации и уровни защиты реально доступны «здесь и сейчас», а также как быстро активируются услуги и на каких условиях работает тест или возврат.

Что делать нам, чтобы атаки не стали бизнес-событием

С нашей стороны важно готовить сервис к «штормовой погоде»: сегментировать публичные и внутренние зоны, выдерживать idempotent-принцип для опасных операций, прогревать кэш и отдавать тяжёлые страницы через заранее настроенный CDN, держать инфраструктуру как код и уметь быстро переключать профили трафика на альтернативные точки присутствия. Но решающее — это союз с провайдером, у которого слои обороны выстроены в единую линию, а WAF разговаривает с балансировщиками и антибот-движком как один организм. Тогда даже длительный шквал останется для наших пользователей просто незаметной переменой погоды, а для нас — плановым учением, которое мы пройдём без лишней драмы.