DoS-атака — что это, виды, принцип работы и защита

DoS-атака (Denial of Service) — это атака на сетевой ресурс или онлайн-сервис с целью вызвать его отказ в обслуживании. Злоумышленник создаёт нагрузку на канал связи, вычислительные ресурсы или таблицы состояний сервиса, из-за чего легитимные пользователи не могут получить доступ к ресурсу. 

Основная особенность DoS-атаки в том, что она ведётся с одного хоста. В этом её отличие от DDoS — distributed denial of service («распределённый отказ в обслуживании»): такая атака выполняется одновременно с множества устройств. 

DoS-атака — что это, виды, принцип работы и защита

Под ударом могут оказаться:

  • каналы связи — злоумышленники стремятся исчерпать пропускную способность инфраструктуры,
  • вычислительные ресурсы — процессор и память сервера, которым не хватает мощности на обработку лавины запросов;
  • таблицы состояний и очереди соединений. 

Злоумышленники могут атаковать как целевой сервер, так и промежуточное сетевое оборудование на пути трафика — роутеры и коммутаторы, которые точно так же перестают справляться с нагрузкой.

Ранний пример атаки типа «отказ в обслуживании» зафиксировали ещё в 1974 году, и устроил её 13-летний школьник Дэвид Деннис. Он обнаружил, что определённая команда заставляет компьютеры Университета Иллинойса зависать, и написал программу, которая рассылала её на множество машин. Так школьник вывел из строя 31 устройство в Лаборатории компьютерных вычислений вуза.

Один из первых масштабных инцидентов, который привёл к отказу в обслуживании большого числа систем, связан с «червём Морриса». 2 ноября 1988 года аспирант Корнельского университета Роберт Таппан Моррис разработал и запустил свою программу в сети ARPANET — предшественнице интернета. Он утверждал, что не собирался причинять вред, а хотел лишь оценить масштаб сети и найти уязвимости раньше злоумышленников. Чтобы скрыть свою личность и создать ложный след, для запуска Моррис использовал компьютер в Массачусетском технологическом институте. 

Червь эксплуатировал известные на тот момент уязвимости популярных Unix-сервисов: открытый отладочный режим в Sendmail, переполнение буфера в Finger и механизмы удалённого выполнения команд rsh/rexec. Дополнительно он подбирал слабые пароли, для чего использовал словарь примерно из 400 распространённых слов и вводил в качестве пароля имя пользователя в расчёте на то, что они совпадают.

К катастрофе привела ошибка в самом механизме распространения. Червь должен был проверять, нет ли уже его копии на целевой машине, но Моррис добавил рандомизатор: в одном случае из семи новая копия создавалась даже при положительном ответе. Из-за этого системы заражались многократно, каждый экземпляр потреблял процессор и память, и в итоге ресурсы исчерпывались. Пострадало около 6000 компьютеров — примерно 10% всех узлов ARPANET того времени. Доставка почты задерживалась, исследования были сорваны, а ущерб оценили примерно в 96,5 миллиона долларов.

DoS vs DDoS — отличия

Хотя оба типа атак преследуют одну цель — сделать сервис недоступным, принципиально они различаются числом источников. Типологически DDoS — это частный случай DoS. Разница в том, что классическая DoS-атака ведётся с одного ПК, виртуальной машины или IP-адреса, а DDoS запускается одновременно с множества устройств. 

Это различие напрямую определяет, насколько легко выявить и нейтрализовать атаку. DoS-атака нацелена на конкретную систему и хорошо заметна: источник атаки обычно проще идентифицировать и заблокировать брандмауэром или сетевым фильтром, поскольку число вредоносных адресов ограничено.

С DDoS так не получится. Атака идёт одновременно из множества точек — это могут быть тысячи устройств и сотни тысяч IP-адресов, с которыми невозможно оперативно разобраться вручную. Источником часто служит ботнет — сеть заражённых устройств (компьютеров, роутеров, камер, ТВ-приставок), на которых запущены вредоносные скрипты. Их владельцы обычно не подозревают, что участвуют в атаке. 

Различается и мощность. При DoS-атаке злоумышленники генерируют относительно небольшой объём трафика, а DDoS способен достигать терабит и десятков миллионов запросов в секунду. Именно поэтому во многих случаях отбить DoS можно с помощью собственных средств фильтрации и настройки сервисов, а для защиты от распределённых атак необходимо специализированное antiDDoS-решение.

Обобщим ключевые отличия в таблице. 

КритерийDoS-атакаDDoS-атака
Источник Одно устройство или серверМножество: ботнет из тысяч заражённых устройств
Сложность исполненияОтносительно простая, легко реализуетсяСложная, требует координации и ресурсов или расходов на аренду готового ботнета
Масштаб Меньший объём трафикаОчень высокий объём — до 1 Тбит/с и выше, миллионы запросов в секунду
ОбнаружениеПростое: трафик идёт из одного источника, виден в логахСложное: трафик размыт по множеству разных адресов
ЗащитаМожно отразить без спецсредств — блокировкой IP силами сисадмина или сетевыми фильтрамиНужна профессиональная защита от antiDDoS-провайдера
ВлияниеОграниченное воздействие на цельСильное, способное полностью парализовать сервис

Читайте подробнее в нашем блоге, в чём разница между DoS и DDoS.

Виды DoS-атак

Хакеры могут атаковать инфраструктуру на разных уровнях сетевой модели OSI: забивать канал и ресурсы, эксплуатировать особенности работы сетевых протоколов или бить по логике приложения. Опишем распространённые виды DoS-атак. 

Атаки на исчерпание ресурсов (объёмные)

UDP-флуд заливает сетевое оборудование или сервер лавиной поддельных UDP-пакетов, занимая всю полосу пропускания. Протокол UDP не отслеживает целостность и доставку данных и не требует установки сессии, поэтому легко подменить адрес источника. Существует и фрагментированная разновидность: сервер получает пакет с пометкой «это только часть», резервирует область в памяти под сборку. Но остальные фрагменты не приходят — и оперативная память забивается до отказа.

Атаки с усилением (amplification) — злоумышленники используют протоколы с возможностью усиления и настройки сторонних серверов, чтобы увеличить поток трафика на жертву. Хакеры отправляют небольшие запросы на эти серверы, а IP отправителя подменяют на адрес жертвы. Ответы серверов по размеру намного больше запросов, что перегружает канал связи цели. 

ICMP-флуд — злоумышленники генерируют с множества IP-адресов поток поддельных ICMP-пакетов к ресурсу-жертве. Более сложная разновидность — Smurf-атака, когда хакеры отправляют множество ICMP-запросов на широковещательные адреса сети и в поле источника подменяют IP на адрес жертвы. Устройства начинают отвечать, что приводит к лавинообразному росту откликов и перегрузке каналов цели. 

Подробнее: Смурфы наступают, или Как распознать и остановить smurf-атаку

Атаки на протокольном уровне

Ping of Death — атака переразмеренными ICMP-пакетами. Обычный эхо-запрос занимает 64 байта (плюс 20 байт IP-заголовка), а стандарт IPv4 ограничивает суммарный размер пакета 65 535 байтами. Отправить пинг крупнее этого предела напрямую нельзя, но злоумышленник дробит искажённый пакет на фрагменты. При попытке собрать их обратно итоговый размер превышает допустимый, что вызывает переполнение памяти и сбой. 

Раньше системы зависали, получив такой пакет. Атака была особенно опасна тем, что не требовала от злоумышленника никаких знаний о жертве, кроме её IP-адреса. Современные ОС практически не подвержены этой атаке благодаря исправлениям стека TCP/IP. 

Teardrop эксплуатирует уязвимость стека TCP/IP в механизме фрагментации. Жертве отправляется множество фрагментированных пакетов со смещениями, которые узел заведомо не сможет корректно собрать. Сервер раз за разом безуспешно пытается восстановить пакеты, тратя на это чрезмерные ресурсы, его производительность резко падает. Атака актуальна в основном для старых реализаций TCP/IP и устаревших ОС Windows 95/NT.

SYN Flood — DoS-атака, которая злоупотребляет трёхэтапным TCP-рукопожатием (SYN → SYN+ACK → ACK):

  1. Злоумышленник шлёт массу SYN-пакетов, инициирует новые сессии, но финальный ACK не отправляет. 
  2. На сервере копятся полуоткрытые соединения, которые ждут ответа и удерживаются до истечения тайм-аута.  
  3. Очередь постоянно заполнена, таблица соединений переполняется, и на обработку реальных запросов ресурсов уже не остаётся.

Land Attack — метод, при котором сервер получает поток фальсифицированных TCP-SYN-пакетов, где адрес источника и адрес назначения совпадают и равны адресу самой жертвы. Машина начинает раз за разом обрабатывать такой пакет, расходует ресурсы, может зависнуть или аварийно завершить процессы. Современные операционные системы обычно невосприимчивы к этой атаке. 

Fraggle основана на таком механизме: хакер отправляет поддельные UDP-пакеты на адрес сети, подставив в качестве отправителя IP жертвы. Все устройства сети дружно отвечают на эти запросы — и на подставленный адрес обрушивается лавина трафика. По механизму действия это похоже на Smurf-атаку, отличие только в протоколе: Smurf работает через ICMP, а Fraggle — через UDP.

Атаки на уровне приложений

Slowloris — атака на веб-серверы, механизм которой связан с удержанием соединений. Злоумышленник открывает множество HTTP-соединений и тянет их как можно дольше, отправляя частичные запросы и заголовки, но никогда не завершая их полностью. Каждая такая пустая сессия занимает соединения, файловые дескрипторы и рабочие процессы веб-сервера, а пул параллельных соединений сервера исчерпывается — и он перестаёт принимать реальных клиентов.

HTTP GET/POST-флуд заваливает сервер огромным числом внешне легитимных HTTP-запросов. Они соответствуют протоколу и не содержат явных ошибок, поэтому сервер вынужден обрабатывать каждый — парсить, обращаться к базе, читать файлы, вызывать API (программный интерфейс приложений). GET-флуд обычно целится в ресурсоёмкие страницы (поиск, сложная фильтрация) или в крупные статические файлы (PDF, видео), чтобы максимально нагрузить дисковый ввод-вывод и канал.

POST-флуд бьёт сильнее даже при меньшем объёме, потому что обработка запросов требует проверки и сохранения данных, хэширования паролей. Такие атаки трудно обнаружить, потому что злоумышленники имитируют поведение людей, меняя URL, User-Agent (информацию о типе клиента) и другие заголовки. При использовании HTTPS дополнительно расходуются ресурсы на TLS-обработку. 

XML/JSON-бомбы — атаки, где крошечный запрос разрастается до гигантского объёма уже на стороне сервера. Классический пример — XML-бомба, она же Billion Laughs Attack: небольшой XML-документ содержит рекурсивно вложенные сущности, и при разборе каждая раскрывается во множество других, раздувая данные и перегружая память и процессор. 

JSON-бомба эксплуатирует разницу в потреблении памяти: компактный объект при десериализации (превращении строки обратно в объект в памяти) резко разрастается. Создаётся очень большая и сложная структура  данных, резко возрастает потребление памяти. Массовая «распаковка» таких объектов может вызвать отказ в обслуживании.  

Файрвол веб-приложений (WAF)

  • Защита от атак 24/7
  • Защита на уровне логики приложения
Подключиться

Реальные последствия DoS-атак

В первую очередь это финансовые потери. По оценке ИБ-экспертов компании «Стахановец», в России крупная компания теряет в среднем около 440–450 тыс. рублей за минуту простоя сервисов из-за атаки. За рубежом ставки ещё выше: по данным Splunk за май 2026 года, минута простоя критически важных приложений обходится организациям в 15 000 долларов. К этому добавляются отложенные расходы: на восстановление нормальной работы инфраструктуры после атаки и последующее усиление защиты может уйти немало времени и средств.

Организации часто несут и репутационный ущерб. Когда сайт грузится медленно или вовсе не открывается, пользователи, столкнувшиеся с недоступностью сервиса, уходят к конкурентам. Организация может не только получить прямые убытки здесь и сейчас, но и ухудшить отношения с клиентами и партнёрами, а в некоторых случаях и заплатить штрафы за невыполнение технических или регуляторных требований.

Правовые последствия

В российском правовом поле DoS- и DDoS-атаки квалифицируются сразу по нескольким статьям Уголовного кодекса:

Ключевая — ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Эта статья предполагает до 4 лет лишения свободы (ч. 1), до 5 лет при совершении группой лиц по предварительному сговору или организованной группой (ч. 2) и до 7 лет, если деяние повлекло тяжкие последствия или создало угрозу их наступления (ч. 3).

Также применяются:

  • ст. 272 «Неправомерный доступ к компьютерной информации»: наказание зависит от квалифицирующих признаков и варьируется от штрафа до 200 тыс. рублей (ч. 1) до 7 лет лишения свободы при наступлении тяжких последствий (ч. 4);
  • ст. 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру РФ» — до 10 лет лишения свободы. Применяется, если атака направлена на объект критической информационной инфраструктуры.

Как защититься от DoS-атак

Надёжная защита от DoS-атак включает в себя комплекс мер. Перечислим основные.

  1. Rate limiting (ограничение количества запросов) на уровне сервера.

Ограничивает число запросов, которое один клиент (обычно идентифицируемый по IP) может отправить серверу за заданный промежуток времени. Это защищает и от перегрузки при атаках на уровне приложений (L7), и от подбора паролей. Обычно используются алгоритмы «дырявого ведра» или «ведра с токенами»: запросы поступают с разной скоростью, но идут на обработку с фиксированной, заранее заданной. Если входящий поток превышает эту скорость, «ведро» переполняется и лишние запросы отклоняются. Такой подход сглаживает всплески трафика, характерные для атак, и при этом не блокирует разом все запросы с подозрительного адреса.

  1. TCP SYN cookies

Решают проблему SYN Flood — переполнение очереди полуоткрытых соединений. В обычном режиме после отправки SYN-ACK сервер сразу выделяет память под запись о новом соединении, чем и пользуются злоумышленники. 

Механизм SYN cookies меняет логику: вместо выделения памяти сервер вычисляет специальное значение — cookie — на основе данных пакета (IP-адреса, порты, начальный порядковый номер клиента ISN), секретного ключа и, как правило, метки времени. Это значение он вставляет прямо в поле собственного порядкового номера в SYN-ACK, не создавая записи о полуоткрытом соединении. Когда клиент отвечает ACK с номером, равным cookie + 1, сервер вычисляет значение cookie по параметрам соединения и сравнивает с полученным значением: совпало — соединение устанавливается полноценно, нет — пакет отбрасывается. В итоге сервер не хранит состояние под атаку, а проверяет легитимность клиента косвенно — по корректному финальному ACK. 

Метод имеет и недостатки — увеличивает нагрузку на процессор из-за вычисления хэшей и не поддерживает некоторые опции TCP. 

  1. Файрвол-правила. 

Брандмауэр настраивают на распознавание легитимных адресов и пользователей, ограничение числа подключений с одного IP, а также фильтрацию трафика с блокировкой или ограничением доступа из определённых источников. Полезно дополнить это межсетевым экраном для защиты на уровне приложений (WAF), автоматизировать проверку трафика и валидацию запросов к портам и службам сервера.

  1. Ограничение ICMP-трафика.

Снижает поверхность атаки для векторов, эксплуатирующих эхо-запросы (например, ICMP Flood и отражённые ICMP-атаки). Протокол ICMP служит для диагностики и передачи сообщений об ошибках. При атаке злоумышленник массово шлёт эхо-запросы, на которые система обязана отвечать, — и это перегружает процессор, память и канал. Идея ограничения в том, чтобы не блокировать ICMP полностью (иначе сломается сетевая диагностика), а установить лимит на интенсивность: всё, что превышает заданный порог, отбрасывается, а работоспособность сервисов сохраняется.

Настроить функцию можно двумя способами: 

  • встроенное ограничение запросов на уровне сетевого оборудования (роутеров, файрволов), ОС и веб-серверов;
  • динамическая блокировка, когда IP-адреса злоумышленников автоматически попадают в чёрный список на заданное время.
  1. Подключение специализированного antiDDoS-сервиса. 

Собственных ресурсов сервера может не хватить для защиты: при мощной атаке канал и оборудование часто не выдерживают объём трафика. Фильтрацию нередко предлагают хостинг- и интернет-провайдеры. Особой надёжностью отличаются специализированные облачные сервисы, которые консолидируют разные технологии в единый управляемый стек и обеспечивают комплексную защиту. 

Проверьте нашу защиту в действии

Организуем бесплатный тест или пилот по вашему запросу

Написать

Кроме того, не стоит забывать о базовых правилах защиты: 

  • непрерывно вести мониторинг и анализ трафика (перед основной атакой часто идёт пробная «короткими сериями»);
  • своевременно обновлять ПО;
  • закрывать базы данных от внешнего доступа и ограничивать права доступа ИИ-агентов, если они используются;
  • подключать резервные серверы и каналы связи;
  • распределять нагрузку через сеть доставки контента CDN и балансировщики;
  • скрывать реальные адреса за теми же CDN, балансировщиками, а также обратными прокси;
  • ограничивать доступ к админ-панели;
  • защищаться от спама через формы;
  • вести распределённое хранение данных с резервным копированием;
  • составить карту уязвимых мест инфраструктуры и чёткий план действий на случай сбоя;
  • проверять уровень готовности тестовыми атаками с помощью инструментов вроде Hping3, Tcpreplay и специализированных средств нагрузочного тестирования. 

Ответы на частые вопросы

Чем отличаются DoS- и DDoS-атаки?

DoS-атака ведётся с одного хоста. DDoS («распределённый отказ в обслуживании») запускается одновременно с множества устройств. Часто в атаке участвуют тысячи ботов, объединённые в ботнет. Удобная формула для запоминания: все DDoS — DoS, но не все DoS — DDoS.

Наказуема ли DoS-атака по закону?

Да. В российском правовом поле такие атаки квалифицируются сразу по нескольким статьям Уголовного кодекса. Основная — ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»: наказание зависит от квалифицирующих признаков и доходит до 4 лет по ч. 1, до 5 лет при сговоре или организованной группе по ч. 2, до 7 лет при тяжких последствиях по ч. 3. 

Также применяются ст. 272 «Неправомерный доступ к компьютерной информации»: от штрафа до 200 тыс. рублей (ч. 1) до 7 лет лишения свободы при тяжких последствиях (ч. 4) и ст. 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру РФ» — до 10 лет лишения свободы, если атака направлена на объект КИИ.

Можно ли защититься от DoS-атаки самостоятельно?

От простой — да. Поскольку трафик идёт из одного источника, его несложно вычислить в логах и заблокировать силами системного администратора или сетевых фильтров, анализирующих трафик. Дополнительно стоит применять WAF-решения и CDN, способные поглощать и распределять большой объём трафика. Однако чем мощнее атака и чем больше источников в ней задействовано, тем менее реально справиться собственными силами. Наиболее эффективный способ защиты — подключение облачного antiDDoS-сервиса. 

Какие сайты чаще подвергаются DoS-атакам?

Наиболее уязвимы сервисы с ограниченными ресурсами или ошибками конфигурации. Это могут быть как локальные сайты и личные блоги, так и интернет-магазины, корпоративные порталы и другие ресурсы. Отдельная категория — сервисы с уязвимостями: брешь в коде или настройках позволяет злоумышленнику целенаправленно её эксплуатировать с одного устройства, чтобы затем развернуть более серьёзное нападение.

Как понять, что мой ресурс под DoS-атакой?

Тревожных признаков несколько:

  • резко растёт нагрузка на процессор, оперативную память и накопитель по сравнению с обычным уровнем;
  • увеличивается объём трафика на один или несколько портов;
  • приложения и ОС зависают, аварийно завершаются;
  • скорость загрузки падает, особенно на страницах с динамическим контентом; 
  • появляются массовые ошибки 502, 503 и 504, а отдельные сервисы (авторизация, платежи, загрузка медиа) становятся недоступны.

Подтвердить подозрения помогает анализ логов сервера, брандмауэра и сетевых устройств. При атаке видно большое число однотипных запросов за короткое время, нередко с многократными обращениями к одному и тому же ресурсу. Косвенный индикатор — география: если сайт ориентирован на аудиторию в определённом регионе, а запросы идут со всего мира, среди источников появляются неизвестные IP, боты и заражённые устройства, это явный признак аномалии.