<b>Почему WAF не спасает от DDoS, если политики собраны без приоритета и исключений</b>

<b>Почему WAF не спасает от DDoS, если политики собраны без приоритета и исключений</b>

DDoS и WAF решают разные задачи. Первый бьёт по доступности, второй — по содержимому запросов. Ошибка начинается, когда одна настройка пытается закрыть обе проблемы: включают агрессивные правила, а потом удивляются ложным срабатываниям и росту задержек.

Для защиты от объёмных атак важны базовые механизмы: rate limiting, чёткие правила по ASN/географии, контроль на уровне edge и возможность быстро перевести часть трафика в challenge. Но если политика слишком общая, она режет легитимных клиентов так же уверенно, как и шумный ботнет.

WAF-политики нужно строить по слоям:
— сначала блокируем очевидный мусор и сканеры;
— затем задаём исключения для API, платёжных и авторизованных путей;
— после этого добавляем точечные правила на параметры, заголовки и аномальные методы;
— отдельным слоем держим мониторинг false positive и ручную ревизию исключений ⚠️

Не пытайтесь лечить DDoS «умным» WAF-правилом. Если атака давит канал или соединения, нужен механизм защиты от перегруза, а не ещё один regex. Стабильность инфраструктуры — залог масштабируемости.