Защита VPS от DDoS-атак: полное руководство 2026

DDoS (Distributed Denial of Service) — распределённая атака на отказ в обслуживании, при которой тысячи заражённых устройств (ботнет) одновременно отправляют запросы на сервер, перегружая его ресурсы. Результат — сайт становится недоступен для реальных пользователей.

VPS особенно уязвим к DDoS по нескольким причинам: ограниченная пропускная способность канала (обычно 100 Мбит/с — 1 Гбит/с), отсутствие аппаратных средств фильтрации и общий IP-пул с другими клиентами провайдера. Даже атака в 1-2 Гбит/с может полностью вывести VPS из строя.

Типичные последствия DDoS для бизнеса

• Потеря выручки — каждый час простоя интернет-магазина обходится в тысячи рублей упущенной прибыли.
• Снижение позиций в поиске — Google и Яндекс понижают сайты с частыми перебоями в доступности.
• Репутационный ущерб — клиенты теряют доверие к нестабильному сервису.
• Штрафы провайдера — при массовых атаках провайдер может заблокировать IP-адрес, чтобы защитить сеть.

DDoS-атаки классифицируются по уровням модели OSI. Понимание типа атаки определяет выбор средств защиты.

L3/L4 — сетевые и транспортные атаки

• UDP Flood — массовая отправка UDP-пакетов для перегрузки канала. Самый распространённый тип.
• SYN Flood — эксплуатация TCP handshake: тысячи незавершённых соединений истощают ресурсы сервера.
• ICMP Flood (Ping of Death) — перегрузка канала ICMP-запросами.
• Amplification — усиление атаки через DNS, NTP или Memcached серверы. Мощность до 1 Тбит/с.

L3/L4 атаки направлены на исчерпание пропускной способности канала. Защита на уровне VPS малоэффективна — нужна фильтрация на стороне провайдера или scrubbing-центра.

L7 — атаки на уровне приложения

• HTTP Flood — массовые GET/POST запросы к ресурсоёмким страницам (поиск, фильтры каталога).
• SlowLoris — медленные HTTP-соединения, удерживающие воркеры веб-сервера.
• DNS Query Flood — перегрузка DNS-сервера запросами на разрешение домена.
• Bot-атаки — имитация поведения реальных пользователей, сложно отличить от легитимного трафика.

L7 атаки сложнее обнаружить, так как каждый отдельный запрос выглядит легитимно. Нужен анализ паттернов поведения и rate limiting.

Большинство крупных российских VPS-провайдеров предлагают базовую DDoS-защиту бесплатно или за дополнительную плату. Это самый простой способ защиты — не требует настройки на стороне клиента.

RUVDS — бесплатная базовая L3/L4 защита для всех VPS. Интеллектуальная фильтрация входящего трафика. ЦОД в Москве и Санкт-Петербурге. Расширенная защита — по запросу.

Timeweb Cloud — DDoS-защита на уровне дата-центра для всех облачных серверов. Автоматическое обнаружение аномального трафика. Возможность подключения расширенной защиты через партнёров.

AdminVPS — бесплатная базовая защита от L3/L4 атак. Безлимитный трафик. Для L7 рекомендуют подключение внешних сервисов (DDoS-Guard, G-Core).

FirstVDS — KVM-виртуализация с изоляцией ресурсов. Базовая сетевая фильтрация. Дополнительная DDoS-защита доступна как платная опция.

4VPS — встроенная защита от DDoS для всех тарифов. Гибкие правила фильтрации через личный кабинет.

Scrubbing-центр (центр очистки трафика) — специализированный узел инфраструктуры, через который направляется весь входящий трафик к вашему серверу во время атаки. Центр анализирует каждый пакет, отбрасывает вредоносные и пропускает легитимные.

Как работает scrubbing

1. Обнаружение аномалии — система фиксирует резкий рост трафика или подозрительные паттерны
2. Перенаправление — BGP-анонс перенаправляет трафик через scrubbing-центр
3. Фильтрация — аппаратные системы анализируют пакеты на L3/L4/L7, применяют правила
4. Доставка — очищенный трафик передаётся на целевой сервер по защищённому каналу

Крупные провайдеры (Selectel, DDoS-Guard) имеют собственные scrubbing-центры с пропускной способностью до нескольких Тбит/с. Для VPS-клиентов это означает, что атака фильтруется ещё до того, как достигнет сервера.

Даже при наличии провайдерской защиты, настройка файрвола на самом VPS — обязательный минимум. Это защищает от сканирования портов, брутфорса и мелких атак.

UFW — простой файрвол для Ubuntu

# Базовая настройка UFW
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp    # SSH
sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS
sudo ufw enable
sudo ufw status

iptables — защита от SYN Flood

# Ограничение SYN-пакетов (защита от SYN Flood)
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP

# Блокировка ICMP flood
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Ограничение подключений с одного IP
sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
sudo iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 50 -j DROP

# Сохранение правил
sudo iptables-save > /etc/iptables/rules.v4

Защита от UDP Flood

# Блокировка UDP на ненужных портах
sudo iptables -A INPUT -p udp --dport 0:1023 -j DROP
# Разрешить DNS (если нужен)
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT

Fail2Ban мониторит логи сервисов (SSH, Nginx, Apache) и автоматически блокирует IP-адреса, с которых приходят подозрительные запросы.

# Установка
sudo apt install fail2ban
sudo systemctl enable fail2ban

# Создание локальной конфигурации
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Настройка jail.local для защиты веб-сервера

# /etc/fail2ban/jail.local
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
ignoreip = 127.0.0.1/8

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
logpath = /var/log/nginx/error.log
maxretry = 10

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5

sudo systemctl restart fail2ban
sudo fail2ban-client status

Fail2Ban эффективен против брутфорс-атак и простых HTTP Flood. Для volumetric DDoS (L3/L4) его недостаточно — нужна провайдерская или внешняя защита.

Nginx может ограничивать количество запросов с одного IP-адреса, что эффективно против L7 HTTP Flood атак.

# /etc/nginx/nginx.conf (в блоке http)
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;

# В блоке server/location
limit_req zone=one burst=20 nodelay;
limit_conn addr 20;

# Возврат 429 вместо 503
limit_req_status 429;
limit_conn_status 429;

Параметр rate=10r/s означает 10 запросов в секунду с одного IP. Burst=20 допускает кратковременное превышение. Для API и корзины интернет-магазина рекомендуется отдельная зона с более мягкими лимитами.

GeoIP-фильтрация

# Блокировка трафика из стран-источников DDoS
# Установка: sudo apt install libnginx-mod-http-geoip2
# В nginx.conf:
geoip2 /usr/share/GeoIP/GeoLite2-Country.mmdb {
    $geoip2_data_country_code country iso_code;
}

map $geoip2_data_country_code $allowed_country {
    default no;
    RU yes;
    BY yes;
    KZ yes;
    UA yes;
}

# В server block:
if ($allowed_country = no) { return 444; }

Для комплексной защиты L3-L7 рекомендуется подключение внешних сервисов, которые работают как reverse proxy и фильтруют трафик до его поступления на VPS.

DDoS-Guard — российский сервис с собственными scrubbing-центрами. Тариф Normal от 24 400 руб./мес для L3-L7 защиты. Подходит для крупных проектов с высоким трафиком.

G-Core Labs — CDN + DDoS/WAF с 100+ точками присутствия. Тестовый тариф: 1 ТБ бесплатно. Полноценная альтернатива Cloudflare с русскоязычной поддержкой.

NGENIX — российский CDN с WAF и DDoS-защитой. Ориентирован на enterprise-клиентов. Интеграция с Яндекс.Облако.

Для малого и среднего бизнеса оптимальный подход: VPS с встроенной L3/L4 защитой от провайдера + Nginx rate limiting + Fail2Ban на сервере. Для крупных проектов — добавить внешний CDN с WAF.

1. Выбрать провайдера с встроенной DDoS-защитой (RUVDS, Timeweb Cloud, AdminVPS)
2. Настроить UFW: закрыть все порты кроме 22, 80, 443
3. Установить Fail2Ban для автоматической блокировки атакующих IP
4. Настроить Nginx rate limiting (10-30 req/s на IP)
5. Включить SYN cookies: echo 1 > /proc/sys/net/ipv4/tcp_syncookies
6. Ограничить connlimit в iptables (50 соединений на IP)
7. Отключить ICMP echo при необходимости
8. Настроить мониторинг трафика (Grafana + Prometheus, netdata)
9. Для крупных проектов: подключить CDN с WAF (G-Core, DDoS-Guard)
10. Регулярно обновлять ядро Linux и пакеты безопасности

Защита VPS от DDoS — это многоуровневая задача. Базовый уровень (UFW + Fail2Ban + rate limiting) защищает от мелких атак и ботов. Провайдерская L3/L4 фильтрация отсекает volumetric-атаки до того, как они достигнут сервера. Для критически важных проектов необходим внешний scrubbing-сервис с L7 защитой.

Выбирайте VPS-провайдера с встроенной DDoS-защитой — это избавит от 80% проблем без дополнительных затрат. Сравните провайдеров с анти-DDoS на EasyLinkLife и найдите оптимальное решение для вашего проекта.