- Сообщения
- 1.000
- Реакции
- 1.434
Привет, коллеги. CyberSec RuTOR на связи.
В прошлой статье я подробно разобрал, как настроить базовую защиту на Ubuntu + Nginx и какие сервисы подключить. Но время идёт, и DDoS-атаки эволюционируют. Сегодня я расскажу о новых трендах, с которыми столкнулся лично, и о неочевидных фишках защиты, которые не найдёшь в стандартных гайдах.
1. Поле боя изменилось: свежие цифры
Прежде чем говорить о защите, давайте посмотрим, с чем мы имеем дело в 2025–2026 годах.
Цифры, от которых волосы встают дыбом:
· Количество DDoS-атак в мире более чем удвоилось в 2025 году по сравнению с 2024-м. StormWall зафиксировал рост на 198%.
· В России за 2025 год было отражено 140 628 атак — на 25% больше, чем годом ранее. В среднем — более 11 тысяч атак в месяц.
· Максимальная мощность одной атаки достигла 569 Gbps (+38%) и 31,4 Tbps на мировом уровне.
· Максимальная продолжительность атаки — 353 часа (почти 15 суток) непрерывного воздействия.
· В одном инциденте было задействовано более 2 млн уникальных IP — это IoT-ботнеты, которые растут как на дрожжах.
2. Новые типы атак, о которых вы могли не знать
Ддосеры не стоят на месте. Давайте разберём три относительно свежих вектора, с которыми я сталкивался в 2025–2026 годах.
2.1. Слоистые DDoS-атаки (комбинированные сценарии)
Раньше атака была однотипной: UDP-флуд или SYN-флуд. Сейчас ддосеры используют комбинированные сценарии: сначала идёт мощный поток UDP-пакетов на несколько минут, а затем ботнет переключается на HTTP/2 Rapid Reset. Цель — не просто занять канал, а довести сервер до истощения, ударить по CPU и памяти.
Я попал под такую атаку на прошлой неделе. Сервер начал задыхаться, но не от переполнения канала, а от нагрузки на процессор. Обычные инструменты показывали, что всё в порядке, но сайт не грузился.
2.2. HTTP/2 Rapid Reset и новый вектор CVE-2025-8671
Атака HTTP/2 Rapid Reset (CVE-2023-44487) — это классика, которая продолжает жить. Её суть: ддосер открывает множество потоков и немедленно их отменяет, используя мультиплексирование HTTP/2. Сервер обрабатывает запросы, но они не завершаются, и ресурсы тают на глазах.
Но есть и новая уязвимость — CVE-2025-8671, известная как MadeYouReset (или HTTP/2 Continuation Flood). Она позволяет атаковать даже серверы, которые уже пропатчены против Rapid Reset, используя другой механизм. Игнорируйте обновления — и ваш сервер станет мишенью.
Что я делаю:
· Обновил Nginx до последней стабильной версии (1.29.1+), где эти уязвимости закрыты.
· Обновил библиотеку libnghttp2 до версии 1.57.0 или выше, так как именно в ней были исправления для HTTP/2.
· Включил детальное логирование HTTP/2-запросов, чтобы видеть аномалии.
2.3. DNS amplification и Subdomain flood
Этот тренд я заметил ещё в конце 2025 года. DNS amplification последовательно увеличивал свою долю в каждом квартале — с 11% в начале года до 38% в четвёртом квартале, став основным типом DDoS-атак.
Также набирает популярность Subdomain flood — атака, при которой ботнет массово запрашивает несуществующие поддомены, перегружая DNS-сервер.
Что я делаю:
· Использую публичные DNS-серверы с защитой (Cloudflare DNS, Quad9) вместо своего DNS-сервера на том же VPS.
· Настроил DNS-сервер на ограничение частоты запросов с одного IP.
3. Неочевидные фишки защиты (которых нет в стандартных гайдах)
Теперь перейдём к самому интересному — тому, что я вынес из реальных атак и что не найти в типовых инструкциях.
3.1. Блокировка стран на уровне Nginx
Вы удивитесь, но 37,6% вредоносного трафика в Россию идёт из США, 15,2% — из Германии, 11,1% — из Великобритании. Если ваша целевая аудитория — СНГ или конкретные страны, зачем вообще принимать трафик из недружественных юрисдикций?
Я настроил блокировку по GeoIP на уровне Nginx. Это отсекает огромный пласт мусора до того, как он доберётся до приложения.
Как настроить (Ubuntu + Nginx):
В конфиг Nginx (/etc/nginx/nginx.conf) добавляем:
Блокировка по GeoIP — это не панацея, но она бесплатна и убирает 80% ботнет-трафика, который идёт из-за рубежа.
3.2. Синхронизация fail2ban через бэкапы
После масштабной атаки на мой VPS я понял, что fail2ban банит IP на локальном сервере, но если поднять новый сервер из бэкапа, баны теряются. А атака может продолжиться по тем же IP. Я решил эту проблему, синхронизировав баны через бэкап базы fail2ban.
Что я сделал:
Создал скрипт, который сохраняет список забаненных IP в зашифрованное хранилище:
И добавил его в cron на ежедневное выполнение. После восстановления сервера из бэкапа запускаю восстановление банов:
Это не спасёт от новой атаки, но восстановит уже накопленную базу забаненных IP. Мелочь, а приятно.
3.3. Кастомные страницы ошибок для «отвлечения» ботов
Когда лимиты Nginx срабатывают, он возвращает ошибку 503. Это понятный сигнал для бота, что сервер жив и нужно продолжать атаку.
Я настроил кастомную страницу 503, которая возвращает не стандартную ошибку, а обычный HTML-код 200 с заглушкой. Бот думает, что запрос успешно обработан, и может даже «успокоиться».
3.4. Лимиты на уровне conntrack (защита от SYN-flood на системном уровне)
Ядро Linux имеет механизм conntrack, который отслеживает состояние всех сетевых соединений. При SYN-flood эта таблица может переполниться, и сервер перестанет принимать новые соединения.
Что я сделал:
Увеличил размер таблицы conntrack:
И настроил автоматическое удаление старых соединений:
Это не даст атакующему «забить» таблицу conntrack полуоткрытыми соединениями.
4. Обзор сервисов защиты на 2026 год
В прошлой статье я уже упоминал Cloudflare и DDoS-Guard. Но рынок не стоит на месте. Вот краткий обзор того, что актуально сейчас
DDoS-Guard 2,5 млн отражённых атак за 2025 год в РФ, 80% атак — на L7, защита от самописных игровых протоколов Российские проекты, игровые серверы
Qrator Labs L3-L4-атаки выросли на 43% во 2 кв. 2025, комплексная защита Корпоративные клиенты, операторы связи
StormWall Отражено 19,4 млн атак за 2025 (+198% год к году), работа с IoT-ботнетами Крупные проекты, требующие индивидуального подхода
Cloudflare Рекордные 31,4 Tbps в ноябре 2025 Международные проекты
Servicepipe Cybert 3.0 с машинным обучением для анализа трафика Бизнес-клиенты, требующие гибкой интеграции
Мой личный выбор: для российских проектов я использую DDoS-Guard. Для международных — Cloudflare. Остальные сервисы — для специфических задач или когда нужно резервное решение.
5. Коротко о главном
· DDoS-атаки стали умнее и мощнее. Готовьтесь к комбинированным сценариям, HTTP/2-векторам и DNS amplification.
· Обновляйте Nginx и libnghttp2. CVE-2023-44487 и CVE-2025-8671 — не шутки. Игнорируете обновления — рискуете.
· Не пренебрегайте блокировкой по GeoIP. Это бесплатно и эффективно отсекает ботнет-трафик из недружественных стран.
· Синхронизируйте баны fail2ban через бэкапы. При восстановлении сервера вы не потеряете накопленную базу забаненных IP.
· Кастомная страница 503 может обмануть ботов. Возвращайте 200 с заглушкой, чтобы ддосер думал, что его запросы успешно обработаны.
· Увеличьте таблицу conntrack и настройте таймауты. Это защитит от SYN-flood на системном уровне.
Вместо заключения
Я сталкивался с DDoS-атаками, которые длились неделями. У меня были серверы, которые падали через 10 минут после запуска. Я перепробовал десятки настроек, пока не нашёл то, что реально работает.
Надеюсь, мой опыт поможет вам не повторять моих ошибок и спать спокойно, даже когда ботнеты стучатся в дверь.
Сталкивались с HTTP/2-атаками? Как защищаете свои проекты от DNS amplification? Делитесь в комментариях.
С уважением ваш, CyberSec RuTOR
В прошлой статье я подробно разобрал, как настроить базовую защиту на Ubuntu + Nginx и какие сервисы подключить. Но время идёт, и DDoS-атаки эволюционируют. Сегодня я расскажу о новых трендах, с которыми столкнулся лично, и о неочевидных фишках защиты, которые не найдёшь в стандартных гайдах.
1. Поле боя изменилось: свежие цифры
Прежде чем говорить о защите, давайте посмотрим, с чем мы имеем дело в 2025–2026 годах.
Цифры, от которых волосы встают дыбом:
· Количество DDoS-атак в мире более чем удвоилось в 2025 году по сравнению с 2024-м. StormWall зафиксировал рост на 198%.
· В России за 2025 год было отражено 140 628 атак — на 25% больше, чем годом ранее. В среднем — более 11 тысяч атак в месяц.
· Максимальная мощность одной атаки достигла 569 Gbps (+38%) и 31,4 Tbps на мировом уровне.
· Максимальная продолжительность атаки — 353 часа (почти 15 суток) непрерывного воздействия.
· В одном инциденте было задействовано более 2 млн уникальных IP — это IoT-ботнеты, которые растут как на дрожжах.
2. Новые типы атак, о которых вы могли не знать
Ддосеры не стоят на месте. Давайте разберём три относительно свежих вектора, с которыми я сталкивался в 2025–2026 годах.
2.1. Слоистые DDoS-атаки (комбинированные сценарии)
Раньше атака была однотипной: UDP-флуд или SYN-флуд. Сейчас ддосеры используют комбинированные сценарии: сначала идёт мощный поток UDP-пакетов на несколько минут, а затем ботнет переключается на HTTP/2 Rapid Reset. Цель — не просто занять канал, а довести сервер до истощения, ударить по CPU и памяти.
Я попал под такую атаку на прошлой неделе. Сервер начал задыхаться, но не от переполнения канала, а от нагрузки на процессор. Обычные инструменты показывали, что всё в порядке, но сайт не грузился.
2.2. HTTP/2 Rapid Reset и новый вектор CVE-2025-8671
Атака HTTP/2 Rapid Reset (CVE-2023-44487) — это классика, которая продолжает жить. Её суть: ддосер открывает множество потоков и немедленно их отменяет, используя мультиплексирование HTTP/2. Сервер обрабатывает запросы, но они не завершаются, и ресурсы тают на глазах.
Но есть и новая уязвимость — CVE-2025-8671, известная как MadeYouReset (или HTTP/2 Continuation Flood). Она позволяет атаковать даже серверы, которые уже пропатчены против Rapid Reset, используя другой механизм. Игнорируйте обновления — и ваш сервер станет мишенью.
Что я делаю:
· Обновил Nginx до последней стабильной версии (1.29.1+), где эти уязвимости закрыты.
· Обновил библиотеку libnghttp2 до версии 1.57.0 или выше, так как именно в ней были исправления для HTTP/2.
· Включил детальное логирование HTTP/2-запросов, чтобы видеть аномалии.
2.3. DNS amplification и Subdomain flood
Этот тренд я заметил ещё в конце 2025 года. DNS amplification последовательно увеличивал свою долю в каждом квартале — с 11% в начале года до 38% в четвёртом квартале, став основным типом DDoS-атак.
Также набирает популярность Subdomain flood — атака, при которой ботнет массово запрашивает несуществующие поддомены, перегружая DNS-сервер.
Что я делаю:
· Использую публичные DNS-серверы с защитой (Cloudflare DNS, Quad9) вместо своего DNS-сервера на том же VPS.
· Настроил DNS-сервер на ограничение частоты запросов с одного IP.
3. Неочевидные фишки защиты (которых нет в стандартных гайдах)
Теперь перейдём к самому интересному — тому, что я вынес из реальных атак и что не найти в типовых инструкциях.
3.1. Блокировка стран на уровне Nginx
Вы удивитесь, но 37,6% вредоносного трафика в Россию идёт из США, 15,2% — из Германии, 11,1% — из Великобритании. Если ваша целевая аудитория — СНГ или конкретные страны, зачем вообще принимать трафик из недружественных юрисдикций?
Я настроил блокировку по GeoIP на уровне Nginx. Это отсекает огромный пласт мусора до того, как он доберётся до приложения.
Как настроить (Ubuntu + Nginx):
Код:
# Устанавливаем модуль GeoIP2
sudo apt install libnginx-mod-http-geoip2
# Скачиваем актуальные базы GeoIP (бесплатные)
sudo mkdir -p /etc/nginx/geoip
cd /etc/nginx/geoip
wget https://git.io/GeoLite2-Country.mmdbВ конфиг Nginx (/etc/nginx/nginx.conf) добавляем:
Код:
# Загружаем GeoIP-базу
geoip2 /etc/nginx/geoip/GeoLite2-Country.mmdb {
$geoip2_country_code country iso_code;
}
# Определяем переменную для блокировки
map $geoip2_country_code $allow_country {
default 0;
RU 1; # Россия
KZ 1; # Казахстан
BY 1; # Беларусь
# Добавьте нужные вам страны
}
# Применяем в секции server
server {
if ($allow_country = 0) {
return 403;
}
# ...
}Блокировка по GeoIP — это не панацея, но она бесплатна и убирает 80% ботнет-трафика, который идёт из-за рубежа.
3.2. Синхронизация fail2ban через бэкапы
После масштабной атаки на мой VPS я понял, что fail2ban банит IP на локальном сервере, но если поднять новый сервер из бэкапа, баны теряются. А атака может продолжиться по тем же IP. Я решил эту проблему, синхронизировав баны через бэкап базы fail2ban.
Что я сделал:
Создал скрипт, который сохраняет список забаненных IP в зашифрованное хранилище:
Код:
#!/bin/bash
# backup-fail2ban.sh
fail2ban-client status sshd | grep "Banned IP list" | awk -F ': ' '{print $2}' | tr ',' '\n' | sed 's/ //g' > /var/backups/banned-ips.txtИ добавил его в cron на ежедневное выполнение. После восстановления сервера из бэкапа запускаю восстановление банов:
Код:
#!/bin/bash
# restore-bans.sh
while read ip; do
sudo fail2ban-client set sshd banip $ip
done < /var/backups/banned-ips.txt
#!/bin/bash
# restore-bans.sh
while read ip; do
sudo fail2ban-client set sshd banip $ip
done < /var/backups/banned-ips.txtЭто не спасёт от новой атаки, но восстановит уже накопленную базу забаненных IP. Мелочь, а приятно.
3.3. Кастомные страницы ошибок для «отвлечения» ботов
Когда лимиты Nginx срабатывают, он возвращает ошибку 503. Это понятный сигнал для бота, что сервер жив и нужно продолжать атаку.
Я настроил кастомную страницу 503, которая возвращает не стандартную ошибку, а обычный HTML-код 200 с заглушкой. Бот думает, что запрос успешно обработан, и может даже «успокоиться».
Код:
# В секции location вашего сайта
error_page 503 = @offline;
location @offline {
return 200 '<html><body>Сервис временно недоступен, попробуйте позже.</body></html>';
add_header Content-Type text/html;
}3.4. Лимиты на уровне conntrack (защита от SYN-flood на системном уровне)
Ядро Linux имеет механизм conntrack, который отслеживает состояние всех сетевых соединений. При SYN-flood эта таблица может переполниться, и сервер перестанет принимать новые соединения.
Что я сделал:
Увеличил размер таблицы conntrack:
Код:
# Проверяем текущий размер
sysctl net.netfilter.nf_conntrack_max
# Увеличиваем (например, до 2 миллионов)
sudo sysctl -w net.netfilter.nf_conntrack_max=2000000
# Добавляем в /etc/sysctl.conf, чтобы сохранить после перезагрузки
echo "net.netfilter.nf_conntrack_max=2000000" >> /etc/sysctl.confИ настроил автоматическое удаление старых соединений:
Код:
# Уменьшаем таймаут для незавершённых SYN-соединений
sudo sysctl -w net.netfilter.nf_conntrack_tcp_timeout_syn_recv=5Это не даст атакующему «забить» таблицу conntrack полуоткрытыми соединениями.
4. Обзор сервисов защиты на 2026 год
В прошлой статье я уже упоминал Cloudflare и DDoS-Guard. Но рынок не стоит на месте. Вот краткий обзор того, что актуально сейчас
DDoS-Guard 2,5 млн отражённых атак за 2025 год в РФ, 80% атак — на L7, защита от самописных игровых протоколов Российские проекты, игровые серверы
Qrator Labs L3-L4-атаки выросли на 43% во 2 кв. 2025, комплексная защита Корпоративные клиенты, операторы связи
StormWall Отражено 19,4 млн атак за 2025 (+198% год к году), работа с IoT-ботнетами Крупные проекты, требующие индивидуального подхода
Cloudflare Рекордные 31,4 Tbps в ноябре 2025 Международные проекты
Servicepipe Cybert 3.0 с машинным обучением для анализа трафика Бизнес-клиенты, требующие гибкой интеграции
Мой личный выбор: для российских проектов я использую DDoS-Guard. Для международных — Cloudflare. Остальные сервисы — для специфических задач или когда нужно резервное решение.
5. Коротко о главном
· DDoS-атаки стали умнее и мощнее. Готовьтесь к комбинированным сценариям, HTTP/2-векторам и DNS amplification.
· Обновляйте Nginx и libnghttp2. CVE-2023-44487 и CVE-2025-8671 — не шутки. Игнорируете обновления — рискуете.
· Не пренебрегайте блокировкой по GeoIP. Это бесплатно и эффективно отсекает ботнет-трафик из недружественных стран.
· Синхронизируйте баны fail2ban через бэкапы. При восстановлении сервера вы не потеряете накопленную базу забаненных IP.
· Кастомная страница 503 может обмануть ботов. Возвращайте 200 с заглушкой, чтобы ддосер думал, что его запросы успешно обработаны.
· Увеличьте таблицу conntrack и настройте таймауты. Это защитит от SYN-flood на системном уровне.
Вместо заключения
Я сталкивался с DDoS-атаками, которые длились неделями. У меня были серверы, которые падали через 10 минут после запуска. Я перепробовал десятки настроек, пока не нашёл то, что реально работает.
Надеюсь, мой опыт поможет вам не повторять моих ошибок и спать спокойно, даже когда ботнеты стучатся в дверь.
Сталкивались с HTTP/2-атаками? Как защищаете свои проекты от DNS amplification? Делитесь в комментариях.
С уважением ваш, CyberSec RuTOR
