Контакты
Подписка 2026

Зондирующие DDoS-атаки как новая стратегия

Редакция журнала "Информационная безопасность", 01/07/25

В один из майских дней 2025 г. трафик на фронтенде обычного онлайн-сервиса неожиданно подскочил. Не катастрофически – лишь на считанные проценты. Появились всплески HTTP-запросов, чуть увеличилась задержка, возникли пара тревожных алертов о росте RPS. Потом все утихло. Обычная перегрузка? Фоновая активность? Или просто каприз трафика? Через неделю сервис лег, но уже не на минуту и не на десять: часы простоя, срыв SLA, гнев пользователей, экстренный брифинг с руководством. SOC с опозданием сопоставил события: перед атакой была "репетиция", но сигнал был слишком слабым, чтобы его услышали.

ris1-Jul-01-2025-10-56-44-2124-AM

Этот сценарий уже не гипотетический. Согласно данным StormWall, в мае 2025 г. было зафиксировано более 450 тыс. зондирующих DDoS-атак. Годом ранее таких было всего 44. Разница – в десять тысяч раз. В первом квартале 2025 г. доля зондирующих атак среди всех зафиксированных DDoS-инцидентов составила 43,6%. Для сравнения – в том же периоде 2024 г. этот показатель едва достигал 0,2%. Этот рост не просто впечатляет, он говорит о радикальном изменении тактики атакующих.

Признаки зондирующей DDoS-атаки

Что же такое зондирующая DDoS-атака? Это не разрушительная атака в привычном понимании, не ураганный flood, не массированный отказ в обслуживании. Это разведка боем – тонкая и расчетливая. Такие атаки, как правило, кратковременны. Они длятся не более 15 минут, зачастую всего 5–7, и не ставят своей целью парализовать сервис. Их задача – наблюдать. Проверять, где срабатывает WAF, как реагируют Rate Limits, что происходит при превышении порога RPS, как быстро вмешивается SOC. Это разведывательная операция, маскирующаяся под реальный трафик.

Чаще всего такие атаки происходят на седьмом уровне модели OSI – через HTTP или HTTPS. Злоумышленник имитирует действия пользователя: кликает по страницам, отправляет формы, вызывает API. Это не грубая нагрузка, а тщательно выстроенная иллюзия нормальной активности. При этом источники трафика могут быть ограничены – атака вполне может исходить от двух десятков географически распределенных IP-адресов, настроенных через прокси и ботнеты. Она не вызывает паники, не фиксируется классическими DDoS-сигнатурами и может пройти мимо автоматизированной защиты.

Но именно в этом ее сила. Пока аналитики SOC просматривают графики и решают, был ли инцидент реальным, злоумышленник уже получил нужную информацию. Он знает, какие фильтры сработали, какие нет. Он оценил порог срабатывания защиты, обнаружил слабозащищенные участки – устаревшие интерфейсы, админки без CAPTCHA, API без Rate Limit. Он записал время реакции команды и изучил поведение балансировщиков. Все это дает ему возможность подготовиться. В следующий раз атака, скорее всего, будет болезненной.

Опасность таких атак не в их объеме, а в их невидимости. Они не вызывают массовых жалоб, их нельзя показать руководству как "вот это была атака", они не нарушают отчетность – и потому на них не реагируют. Но именно они открывают путь к реальной катастрофе.

Интересно, что методика зондирования перекликается с военной разведкой. Противник не идет в лобовую атаку. Он бросает короткий рейд, чтобы выявить слабое звено, прощупать реакцию. Если огонь не открыт – значит, можно заходить глубже. Если открыт слишком поздно – значит, защита слабо организована. Если началась паника – значит, в штабе не знают, что делать. И только если атака встретила мгновенную, точную и скоординированную реакцию – только тогда противник понимает, что сюда лучше не соваться.

В кибербезопасности реакция должна быть именно такой. Игнорировать зондирующие атаки – значит оставить злоумышленнику возможность беспрепятственно изучать оборону.

Что делать?

Как должна выглядеть правильная стратегия защиты? Прежде всего, требуется внимательное отношение к мелочам. Кратковременные перебои в админке, единичные ошибки 5xx, всплески запросов в API не должны оставаться без внимания. Они могут быть первыми признаками зондирования. Поведенческая аналитика должна учитывать даже краткие эпизоды – особенно те, что повторяются с разной интенсивностью. WAF и антибот-фильтры нуждаются в регулярной переоценке: нельзя надеяться, что годичная конфигурация актуальна и сегодня. Периодическое моделирование атак на собственную инфраструктуру – не прихоть, а необходимость. Только так можно понять, что видит атакующий, и заранее отработать защиту.

Важно вовлекать в процесс SOC, DevOps, архитекторов. Зондирующая атака редко затрагивает только один слой. Сегодня это фронт, завтра – API, послезавтра – внутренняя DNS-зона. Защита должна быть сквозной, а реагирование – командным. Даже если атака не нанесла ущерба, она должна быть зафиксирована, проанализирована и учтена в дальнейшем планировании.

Резюмируя, можно сказать: зондирующая DDoS-атака – это не атака в полном смысле слова. Но именно с такого прощупывания начинается проникновение. Сегодня он стучится в вашу систему с вежливым HTTP-запросом, а завтра – уже с координированным L7-флудом.

Темы:DDoS-атаки
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Шум, сигнал, DDoS и устойчивость
    DDoS-атаки становятся сложнее и непредсказуемее – меняются их цели, сценарии и последствия для инфраструктуры. И даже при наличии автоматической защиты не всегда понятно, что именно происходит во время атаки и насколько система справляется. Редакция попросила экспертов поделиться видением, как меняются подходы к устойчивости и что действительно помогает держать сервисы в работе, когда нагрузка выходит за пределы допустимого.
  • DDoS–2025: новые угрозы и принципы защиты
    Рамиль Хантимиров, CEO и сооснователь StormWall
    В 2022 году многие компании прошли проверку на DDoS-прочность. В экстренных условиях кто-то спешно наращивал пропускную способность своих каналов, а кто-то – впервые подключал фильтрацию трафика. Казалось, многие приняли меры безопасности – угрозу удалось взять под контроль.
  • 5 вопросов при выборе Anti-DDoS
    Вадим Солдатенков, руководитель направления продуктов “Гарда Anti-DDoS”, группа компаний “Гарда”
    Первая DDoS-атака всегда приходит внезапно. Каналы заполняются мусорными запросами, задержки отклика сервера растут, пользователи жалуются, мониторинг показывает критические ошибки. DDoS-атаки, к сожалению, уже не исключение, а привычный фон. Каждая волна становится сложнее: за флудом на сетевом или транспортном уровнях модели OSI скрываются целевые запросы к API и прикладным сервисам, а шифрование трафика еще сильнее усложняет задачу. Разберем пять ключевых аспектов выбора Anti-DDoS-решения, от которых зависит выживаемость и устойчивость ИТ-инфраструктуры в условиях постоянных атак.
  • Эволюция решений по защите от DDoS-атак в 2025 году
    Михаил Хлебунов, директор по продуктам компании Servicepipe
    В 2025 г. DDoS-атаки достигли беспрецедентной мощности и сложности. Злоумышленники применяют искусственный интеллект для организации масштабных и целенаправленных многовекторных атак. Основными целями являются телеком и финансовый сектор.
  • Пять ошибок при реагировании на DDoS, которые совершают даже эксперты
    Виктор Минин, Председатель правления АРСИБ (Ассоциация руководителей служб информационной безопасности)
    Отборочный турнир Кубка CTF России – это всегда высокая конкуренция, плотный график заданий и тысячи одновременных запросов от участников к обслуживающей соревнования информационной системе. Инфраструктура работает под нагрузкой, и любое отклонение быстро превращается в цепную реакцию. Именно в такой обстановке осенью 2025 года произошел инцидент, который стал основой для этой статьи.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...