Что делать, если атака началась
Распознать мощную атаку, когда она обрушилась на вашу площадку, сравнительно просто. Сайт начинает грузиться медленно или вообще отказывается открываться, обычно с выпадением «пятисотых» ошибок (наиболее часто – 502-й и 504-й). Резко подскакивает трафик, возрастает нагрузка на серверное оборудование с увеличением числа пакетов и скорости их поступления.
Так или иначе, возникает главный вопрос: «Что делать?» Прежде всего нужно поднять по тревоге ваших технических специалистов и доподлинно установить факт нападения. При первичном подтверждении угрозы – сразу же связаться с хостинг-провайдером. Можно попытаться блокировать IP-адреса, с которых идет атака, серверными утилитами, например iptables и iproute в Linux или pf и ipfw в BSD. Правда, помогает это разве что в случае с лобовым и не слишком сильным ударом.
Попутно постарайтесь восстановить контроль над сервером