Отбили дважды: как провайдер «Уфанет» отразил мощнейшие DDoS-атаки 

Провайдеры часто становятся мишенью для хакеров. По данным наших аналитиков, в 3 квартале 2025-го количество DDoS-атак на эту отрасль в России выросло на 53% по сравнению с аналогичным периодом прошлого года. Всё чаще злоумышленники запускают многовекторные атаки, атакуя инфраструктуру одновременно на всех уровнях (L3-L7).

Как провайдер «Уфанет» отразил мощнейшие DDoS-атаки

Даже крупным игрокам бывает сложно выстоять в этой схватке. Не все средства защиты помогают провайдерам одновременно отбивать атаки на нескольких фронтах, бесперебойно предоставлять клиентам трафик и обеспечивать комфортный сервис. 

Компания «Уфанет» в числе тех, кто справился с таким вызовом. Рассказываем, как провайдеру удалось отразить две DDoS-атаки мощностью 600 Гбит/с и укрепить оборону с помощью StormWall.

Клиент/отрасльАО «Уфанет» / Телеком
Наш сервисЗащита сети от DDoS-атак 
Ресурсы под защитой StormWall Оборудование системы передачи данных
IP-адреса

Коротко о главном

Клиент

АО «Уфанет» ― крупный интернет-провайдер, оператор кабельного и IP-телевидения. Компания работает на рынке с 1997 года, предоставляет услуги для физических и юридических лиц в 7 регионах России. 

Задача: защитить сети от мощнейших DDoS-атак 

Компания «Уфанет» подвергается DDoS-атакам уже более 10 лет. IT-специалисты накопили богатый опыт по защите инфраструктуры и используют решения от нескольких поставщиков.  

Тем не менее, в 2024 году провайдер столкнулся с самой мощной и масштабной DDoS-атакой за всю свою историю. Утром 22 апреля система мониторинга зафиксировала резкий всплеск трафика сразу в нескольких регионах присутствия компании. 

Злоумышленники запустили многовекторную атаку, которая была направлена на разные компоненты инфраструктуры:

  • приложения и сайты провайдера, 
  • колл-центр,
  • IP-адреса клиентов — физических и юридических лиц,
  • оборудование — коммутаторы и маршрутизаторы.

Киберпреступники стремились как вывести из строя сайты и серверы компании, так и переполнить каналы связи. Сначала атаковали одну группу из 1000-2000 IP-адресов, затем переключались на другую. Хакеры генерировали вредоносный трафик мощностью до 600 Гбит/с, что сопоставимо с мощностью каналов связи самой компании. 

Схема атаки: даты и количество IP-адресов

Количество атакованных IP-адресов росло, а цели менялись 

Специалисты «Уфанет» вычислили группировку, которая инициировала DDoS-атаку. Эта команда хакеров обладает огромными ресурсами и с 2022 года нападает на инфраструктуру операторов связи и других компаний. Вредоносный трафик генерировался из разных стран, включая США и Румынию. Однако большинство ударов приходилось на рабочее время средней полосы России. Специалисты провайдера не исключали, что заказчики находились в нашей стране. Перед атакой они могли изучать сеть «Уфанет», подключаясь под видом клиентов. 

«Мы перевели входящий трафик на апстримы — операторов связи, с которыми сотрудничаем — с подключённой защитой от DDoS. Вредоносный трафик фильтровался на их стороне, к нашим каналам поступали легитимные данные. Благодаря этому ресурсы большинства клиентов оставались доступными. Но хотелось сделать наш сервис максимально безотказным для них за счёт нескольких поставщиков защиты от DDoS-атак», — рассказывает Александр Шабаев, директор IT-инфраструктуры «Уфанет».

Для этого нужно было решить три задачи:

  1. Наладить идеальную работу защиты от DDoS-атак. 
  2. Создать «резерв», который спасёт при технических работах или аварии у текущих поставщиков. Атака продолжалась, и оставаться без прикрытия было опасно.
  3. Минимизировать количество ложноположительных и ложноотрицательных срабатываний защиты от DDoS. Они возможны при масштабных атаках и зависят от оборудования и настроек. Например, некоторые сервисы защиты отфильтровывали не только вредоносный трафик, но и легитимный. Клиенты не могли зайти на зарубежные сайты в тех странах, откуда шла атака.

Выбор решения: за скоростью и качеством — к StormWall 

Ранее IT-специалисты «Уфанет» регулярно тестировали сервисы для защиты от DDoS-атак, обменивались опытом с коллегами из других компаний. Поэтому у них уже был пул решений, которые можно дополнительно подключить к имеющимся. 

Когда началась мощнейшая DDoS-атака, IT-специалисты обратились к нескольким крупным вендорам. В том числе к StormWall. 

Основными критериями при выборе поставщика были:

  1. Скорость подключения: атаку нужно срочно остановить.
  2. Качество фильтрации: необходимо отсекать вредоносный трафик, но не оказывать влияния на легитимных пользователей.
  3. Оперативная и грамотная работа техподдержки: важно оперативно реагировать на запросы провайдера, анализировать ситуацию и точечно настраивать защиту.

Из всех возможных вариантов дополнительной защиты от DDoS-атак StormWall оказался наилучшим. 

Подключение защиты: поддержка, которая не спит 

Специалисты StormWall подключили сервис защиты сетей от DDoS-атак сразу — в день обращения. Процедура заняла 4 часа. 

Подключение провели на физическом уровне: подвели два независимых интернет-канала и с помощью BGP-протокола начали анонсировать IP-префиксы клиента через наши центры фильтрации. Это позволило мгновенно перенаправлять трафик под атакой, не меняя настройки серверов клиента. 

После подключения защиты StormWall качество работы сервисов для абонентов сразу улучшилось. При этом специалисты техподдержки оставались на связи 24/7 и мгновенно реагировали на все возникающие вопросы.

«Особо хочу отметить скорость подключения и вовлечённость специалистов StormWall. В процессе отражения атаки максимально участвовали не только ваши инженеры поддержки, но и узкопрофильные технические специалисты, и руководители компании. С другими поставщиками были ситуации, когда мы пытались решить сложную задачу вечером или ночью. Но не находили инструкций в чек-листе вендора и долго ждали ответа специалистов. Со StormWall таких проблем не возникало», — рассказывает Александр Шабаев, директор IT-инфраструктуры «Уфанет».

Результаты: злоумышленники вернулись, но зря 

Подключение защиты StormWall позволило:

  1. Полностью восстановить работоспособность ресурсов провайдера.
  2. Улучшить качество фильтрации во время атак. 
  3. Снизить нагрузку на собственную инфраструктуру провайдера. 
  4. Избежать даунтаймов, чтобы легитимные пользователи не заметили разницы.
  5. Обеспечить высокие показатели непрерывной доступности сервисов.

Мощнейшая DDoS-атака прекратилась, так как злоумышленники не смогли достичь своих целей. Однако через год они вернулись и повторили такое же нападение на сервисы провайдера и адреса его клиентов. 

IT-специалисты «Уфанет» зафиксировали атаку, обратились к нам, и мы оперативно очистили вредоносный трафик снова. Наши инженеры применили новый набор правил для фильтрации. На время атаки весь трафик на постоянной основе перенаправлялся через фильтры защиты и только потом попадал на сервер по чистому каналу. 

Ситуация мгновенно улучшилась, показатели работы оборудования снова стали стабильными. Новую угрозу отбили ещё быстрее и эффективнее, и последствия для компании были несоизмеримо меньше, чем год назад. 

«Объём легитимного трафика активно растёт, так как количество абонентов постоянно увеличивается. Чтобы удовлетворить растущие потребности в фильтрации, мы увеличили канал трафика. Благодаря StormWall наши сети под надёжной защитой — теперь DDoS-атаки не страшны, и мы можем сфокусироваться на масштабировании ресурсов и развитии сервиса», — рассказывает Александр Шабаев, директор IT-инфраструктуры «Уфанет».

Защита сети от DDoS-атак

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить