Как защитить личный кабинет от DDoS-атак без дорогих сервисов

DDoS-атака — это когда сотни тысяч ботов одновременно стучатся к вам на сайт, пытаясь его положить. Услуги защиты от DDoS у провайдеров стоят десятки тысяч рублей в месяц. Для малого бизнеса это часто неподъёмно. Но есть способы защититься бесплатно или дёшево, используя правильные настройки и облачные сервисы. Расскажу о пяти методах, которые может реализовать даже предприниматель без deep knowledge.

Способ 1. Включите защиту на уровне хостинга (бесплатно)

Многие российские VPS (RuVDS, Beeline, Timeweb) предоставляют базовую защиту от DDoS на уровне инфраструктуры. Она не спасёт от мощной атаки, но от мелких и средних — да. Узнайте у своего провайдера, включена ли она по умолчанию. Часто её нужно активировать в личном кабинете одним переключателем.

Способ 2. Используйте бесплатный Cloudflare (или прокси-сервис)

Cloudflare — это сеть CDN, которая берёт на себя весь трафик, фильтрует ботов и отдаёт реальным пользователям только чистые запросы. Бесплатный тариф отлично защищает от DDoS небольших сайтов. Настройка: меняете DNS на Cloudflare, включаете режим «I’m under attack» при атаке. Единственный минус — для личных кабинетов нужно правильно настроить кэширование, чтобы не кэшировать персональные страницы. Но это решается парой правил.

Способ 3. Ограничьте частоту запросов (rate limiting) на уровне IIS

Если атака идёт на конкретную страницу (например, логин), можно настроить ограничение: не более 10 запросов в минуту с одного IP. Это делается в IIS с помощью модуля Dynamic IP Restrictions (бесплатно). Или на уровне приложения: в платформе Falcon Space можно написать хранимую процедуру, которая будет записывать IP и блокировать на время при превышении лимита.

Способ 4. Спрячьте кабинет за другим поддоменом или портом

Атакуют обычно основной домен. Если вы перенесёте страницы логина и важные API на другой поддомен (например, login.my-site.ru) или нестандартный порт (8443), то автоматические боты могут не найти их. Это не спасёт от целенаправленной атаки, но от случайных скриптов — да.

Способ 5. Добавьте капчу и проверку на ботов (бесплатные аналоги reCAPTCHA)

Страницы входа, регистрации, отправки форм — самые уязвимые. Поставьте на них капчу. Не обязательно платную. Используйте бесплатную hCaptcha или Яндекс.Капчу (недорого). Это отсечёт простых ботов.

Что делать, если атака всё равно пробила

Экстренный план:

1. Свяжитесь с хостинг-провайдером — у них могут быть инструменты для фильтрации трафика, которые включаются по запросу.
2. Временно отключите «тяжёлые» страницы (поиск, отчёты) или замените их на статические заглушки.
3. Используйте бесплатный тариф Cloudflare в режиме «I’m under attack» (показывает страницу-проверку для всех новых посетителей).

Пример: как интернет-магазин отбил DDoS без затрат

На магазин с личными кабинетами совершили атаку мощностью 10 Гбит/с (не очень большая). Хостинг базовую защиту не давал. Владелец за 15 минут подключил Cloudflare (бесплатно), сменил DNS, а через час атака стихла — боты не проходили проверку. Ни одного часа простоя. Сейчас сайт постоянно работает через Cloudflare, и больше атак не было.

Запомните: не обязательно покупать дорогие сервисы. Правильная архитектура и бесплатные инструменты защищают от 90% DDoS-угроз. Но всё же для спокойствия настройте мониторинг (простой пинг каждые 5 минут) — если сайт падает, узнаете первыми.