Защита
от DDoS-атак
на уровнях OSI
L3, L4 и L7
Что такое DDoS
DDoS-атака — это кибератака, при которой на сервер или сетевую инфраструктуру направляется большое количество запросов с целью перегрузки ресурсов и вывода сервиса из строя.
Почему важна защита от DDoS-атак
Защита сайта от DDoS-атак необходима, поскольку DDoS остается одной из самых распространенных киберугроз в России. В зоне повышенного риска — коммерческие сайты и онлайн-сервисы, для которых недоступность ресурса приводит к прямым финансовым потерям.
По данным аналитики за 2025 год, количество DDoS-атак на российские компании выросло примерно на 42 % по сравнению с 2024 годом, а отдельные исследования фиксируют рост почти в 1,8 раза в отдельных отраслях.
Основными целями злоумышленников остаются телекоммуникационные компании, финансовые организации и онлайн-ритейл. Пики атак традиционно приходятся на третий квартал.
Чем поможет Мастерхост
Мастерхост предоставляет комплексную защиту от DDoS-атак на уровнях L3, L4 и L7 на базе решений DDoS-Guard – одного из лидеров в сфере кибербезопасности.
Стоимость услуги – от 250 ₽ в месяц: защищенный IP-адрес и 1 Мбит/с очищенного трафика.
DDoS-атаки могут воздействовать на разные уровни сетевой модели OSI. Именно поэтому защита строится на нескольких уровнях одновременно.
Ниже приведены основные типы атак и их особенности.
Модель OSI
На первом уровне модели OSI происходит передачи физических сигналов (токов, света, радио) от источника к получателю. На этом уровне мы оперируем кабелями, контактами в разъемах, кодированием единиц и нулей, модуляцией и так далее.
На втором уровне мы оперируем понятием «фрейм», или как еще говорят, «кадр». Тут появляются первые идентификаторы – MAC-адреса. Они состоят из 48 бит и выглядят примерно так: 00:16:52:00:1f:03
Сетевой уровень вводит термин «маршрутизация» и, соответственно, IP-адрес. Кстати, для преобразования IP-адреса в MAC-адреса и обратно используется протокол ARP.
Транспортный уровень, как можно понять из названия, обеспечивает передачу данных по сети. Здесь две основных рок-звезды – TCP и UDP. Разница в том, что различный транспорт применяется для разной категории трафика.
Сеансовый уровень занимается тем, что управляет соединениями или, попросту говоря, сессиями. Он их разрывает. Помните мем про «НЕ БЫЛО НИ ЕДИНОГО РАЗРЫВА»? Мы помним. Так вот, это 5 уровень постарался.
На шестом уровне творится преобразование форматов сообщений, такое как кодирование или сжатие. Тут живут JPEG и GIF, например.
На седьмом этаже, на самой верхушке айсберга, обитает уровень приложений! Тут находятся сетевые службы, которые позволяют нам как конечным пользователям, серфить просторы Интернета.
Рассмотрим DDoS-атаки на уровнях L3, L4 и L7
L3 Сетевой уровень
Ping flood – В основе этой атаки используется протокол ICMP третьего уровня модели OSI. Злоумышленники отправляют тысячи или даже миллионы ping-запросов на сервер за раз.
Smurf attack – ICMP протокол не имеет механизма проверки подлинности источника отправки пакета, что создает возможность для злоумышленника подменять адрес отправителя в ICMP-пакете. При атаке такого вида атакующий отправляет запросы тысячам серверов с подмененным адресом источника, ответы же на эти запросы уходят на адрес жертвы, а не на адрес атакующего.
L4 Транспортный уровень
TCP SYN Flood – При установке TCP-соединения между хостами происходит так называемое трехэтапное рукопожатие («three-way handshake»). Хост, инициирующий TCP-соединение, должен послать первый сегмент с флагом SYN, получатель в ответ отправляет сегмент с флагом SYN-ACK и последний этап – инициатор отправляет подтверждение – сегмент с флагом ACK. На этом TCP-соединение считается установленным.
При атаке такого вида как TCP SYN Flood происходит отправка большого количества SYN запросов на атакуемый хост, часто с подмененным адресом отправителя, при этом злоумышленник не отправляет ожидаемое подтверждение – ACK. Атакуемый хост при этом вынужден ожидать получения подтверждения по этим «полуоткрытым» соединениям. Подобная атака может привести к исчерпанию возможностей сервера по установке новых соединений.
UDP flood – в отличие от предыдущего типа атаки, данный вид использует другой протокол транспортного уровня UDP. UDP не имеет встроенной системы установки соединения, а также не обеспечивает гарантию доставки данных. При атаках такого типа, злоумышленник отправляет большое количество UDP-датаграмм на хост жертвы с целью исчерпать ресурсы устройства для обработки запросов.
Когда сервер принимает UDP-датаграмму на какой-либо порт, ему необходимо выполнить несколько шагов:
- Проверить, что данный порт «слушает» какая-либо программа.
- Если нет программы, готовой принять данные, уведомить отправителя ICMP-пакетом об этом.
Данная процедура потребляет ресурсы сервера и при большом количестве UDP-датаграмм, это может привести к нехватке ресурсов для обработки новых запросов сервером.
L7 Уровень приложения
HTTP flood – данная атака использует HTTP-протокол и является весьма распространенной. Суть атаки сводится к тому, чтобы добиться отказа в обслуживании какого-либо веб-сервиса, отправляя большое количество http запросов к нему. Злоумышленник может прибегнуть к помощи ботнетов для генерации запросов из разных источников, включая разные страны, что делает блокировку по IP адресам малоэффективной или невозможной. При всем этом отличить легитимные запросы от нелегитимных бывает не просто. Для защиты от подобного вида атак используются сложные алгоритмы фильтрации, но и они не имеют 100% эффективности.
Здесь представлен далеко не весь спектр возможных атак, но достаточный для понимания, что у злоумышленников есть, из чего выбирать.
Как это работает
Защита работает гораздо эффективнее, когда сервис имеет возможность работать с трафиком в оба направления, потому что при этом задействует больше алгоритмов фильтрации. Если же Ваша защита стоит меньше предложенной нами, скорее всего в ней используется асинхронная маршрутизация, когда входящий трафик пропускают через инфраструктуру партнера, а исходящий трафик отправляют через свою, что само по себе дешевле.
Подключение услуги
Мы предлагаем эффективную защиту от DDoS-атак на уровнях L3, L4 и L7 на базе решений нашего партнера DDoS-Guard с опытом работы в сфере кибербезопасности более 10 лет.
-
Уровни L3 и L4 можно подключить в Личном кабинете при создании виртуальной машины или добавлении IP-адреса.
-
Уровень L7 подключается отдельно по заявке или самостоятельно через Личный Кабинет.
Для защиты уровня L7 требуется SSL-сертификат. При необходимости вы можете выпустить и установить бесплатный сертификат.
Для подключения защиты необходимо переключиться на IP из пула защищенных адресов. Переключение занимает около 40 минут.
Для подключения выделенного IP-адреса с защитой от DDoS на виртуальном хостинге перейдите в раздел «Услуги», выберите нужный домен и закажите IP-адрес с активированной защитой от DDoS.
Мы подготовили подробную инструкцию по активации защиты от DDoS.
Для подключение выделенного IP-адреса с защитой от DDoS-атак для VPS-сервера перейдите в раздел «Облачные сервисы», далее выберите VPS-сервер, для которого необходимо подключить услугу. Далее в разделе «Публичная сеть» нажмите на «Добавить IPv4». В появившемся окне переключите ползунок на активацию защиты от DDoS.
Для Вашего удобства мы подготовили более подробную инструкцию по активации защиты от DDoS.