Защита сайта от DDoS: WAF, Anti-DDoS, CDN — что выбрать в 2026

По данным Qrator Labs и StormWall, в 2026 году количество DDoS-атак на российский сегмент выросло на 47% год к году. Средняя продолжительность атаки — 4 часа, а пиковая мощность — до 2 Тбит/с. Простая блокировка по IP уже не работает: атакующие используют ботнеты из десятков тысяч устройств и L7-атаки, имитирующие легитимный трафик.

Три уровня защиты: что делает каждый

Эффективная защита строится по принципу глубокой обороны (defense in depth). Каждый компонент закрывает свою часть угроз:

• Anti-DDoS (L3/L4) — фильтрует объёмные атаки на уровне сети: SYN flood, UDP flood, амплификации DNS/NTP
• CDN — распределяет нагрузку по точкам присутствия, скрывает реальный IP origin-сервера
• WAF (L7) — отбивает прикладные атаки: SQL-инъекции, XSS, ботов, слоулорис-атаки на медленное HTTP-соединение

Российские провайдеры Anti-DDoS: сравнение

После 2022 года Cloudflare и Akamai стали недоступны для многих российских проектов. Появилась зрелая отечественная экосистема:

• Qrator Labs — лидер рынка, защита до 4 Тбит/с, BGP-anycast в 14 точках присутствия, цена от 60 000 ₽/мес
• StormWall — фокус на e-commerce и СМИ, гибридная схема защиты, от 30 000 ₽/мес за базовый тариф
• DDoS-Guard — бюджетный сегмент, от 4 500 ₽/мес, подходит для небольших сайтов и блогов
• Selectel Anti-DDoS — встроен в инфраструктуру облака Selectel, удобен если хостинг там же
• G-Core Labs — глобальный CDN с присутствием в РФ, защита L3/L4/L7 в одном пакете

WAF: что выбрать для прикладного уровня

WAF (Web Application Firewall) защищает от уязвимостей OWASP Top 10. Российские лидеры — PT Application Firewall от Positive Technologies и Wallarm. Оба входят в реестр отечественного ПО и подходят для проектов под требования ФСТЭК и КИИ.

1. Определите профиль угроз: e-commerce, госуслуги, медиа — у каждого свои паттерны атак
2. Выберите модель развёртывания: облачный WAF (быстро, дешевле) или on-premise (для КИИ обязательно)
3. Настройте правила в режиме мониторинга 2-4 недели — соберите baseline легитимного трафика
4. Переключите в блокирующий режим, начиная с самых критичных правил
5. Подключите SOC или 24/7 мониторинг — атаки часто идут в ночное время

Сколько стоит полная защита

Бюджет защиты зависит от профиля бизнеса. Для среднего корпоративного сайта с 100k посетителей в месяц минимальный пакет (Anti-DDoS + базовый WAF + CDN) стоит от 50 000 ₽/мес. Для e-commerce с критичной выручкой — от 150 000 ₽/мес. Стоимость одного дня простоя интернет-магазина с оборотом 5 млн ₽/день — около 5 млн ₽ упущенной выручки + репутационные потери.

Защита от DDoS — не разовая покупка, а процесс. Угрозы эволюционируют: в 2026 году растут атаки через IoT-ботнеты и AI-генерируемый трафик. Регулярный аудит защиты раз в 6 месяцев и тренировки SOC обязательны.