Редакция журнала "Информационная безопасность", 01/07/25
В один из майских дней 2025 г. трафик на фронтенде обычного онлайн-сервиса неожиданно подскочил. Не катастрофически – лишь на считанные проценты. Появились всплески HTTP-запросов, чуть увеличилась задержка, возникли пара тревожных алертов о росте RPS. Потом все утихло. Обычная перегрузка? Фоновая активность? Или просто каприз трафика? Через неделю сервис лег, но уже не на минуту и не на десять: часы простоя, срыв SLA, гнев пользователей, экстренный брифинг с руководством. SOC с опозданием сопоставил события: перед атакой была "репетиция", но сигнал был слишком слабым, чтобы его услышали.
Этот сценарий уже не гипотетический. Согласно данным StormWall, в мае 2025 г. было зафиксировано более 450 тыс. зондирующих DDoS-атак. Годом ранее таких было всего 44. Разница – в десять тысяч раз. В первом квартале 2025 г. доля зондирующих атак среди всех зафиксированных DDoS-инцидентов составила 43,6%. Для сравнения – в том же периоде 2024 г. этот показатель едва достигал 0,2%. Этот рост не просто впечатляет, он говорит о радикальном изменении тактики атакующих.
Признаки зондирующей DDoS-атаки
Что же такое зондирующая DDoS-атака? Это не разрушительная атака в привычном понимании, не ураганный flood, не массированный отказ в обслуживании. Это разведка боем – тонкая и расчетливая. Такие атаки, как правило, кратковременны. Они длятся не более 15 минут, зачастую всего 5–7, и не ставят своей целью парализовать сервис. Их задача – наблюдать. Проверять, где срабатывает WAF, как реагируют Rate Limits, что происходит при превышении порога RPS, как быстро вмешивается SOC. Это разведывательная операция, маскирующаяся под реальный трафик.
Чаще всего такие атаки происходят на седьмом уровне модели OSI – через HTTP или HTTPS. Злоумышленник имитирует действия пользователя: кликает по страницам, отправляет формы, вызывает API. Это не грубая нагрузка, а тщательно выстроенная иллюзия нормальной активности. При этом источники трафика могут быть ограничены – атака вполне может исходить от двух десятков географически распределенных IP-адресов, настроенных через прокси и ботнеты. Она не вызывает паники, не фиксируется классическими DDoS-сигнатурами и может пройти мимо автоматизированной защиты.
Но именно в этом ее сила. Пока аналитики SOC просматривают графики и решают, был ли инцидент реальным, злоумышленник уже получил нужную информацию. Он знает, какие фильтры сработали, какие нет. Он оценил порог срабатывания защиты, обнаружил слабозащищенные участки – устаревшие интерфейсы, админки без CAPTCHA, API без Rate Limit. Он записал время реакции команды и изучил поведение балансировщиков. Все это дает ему возможность подготовиться. В следующий раз атака, скорее всего, будет болезненной.
Опасность таких атак не в их объеме, а в их невидимости. Они не вызывают массовых жалоб, их нельзя показать руководству как "вот это была атака", они не нарушают отчетность – и потому на них не реагируют. Но именно они открывают путь к реальной катастрофе.
Интересно, что методика зондирования перекликается с военной разведкой. Противник не идет в лобовую атаку. Он бросает короткий рейд, чтобы выявить слабое звено, прощупать реакцию. Если огонь не открыт – значит, можно заходить глубже. Если открыт слишком поздно – значит, защита слабо организована. Если началась паника – значит, в штабе не знают, что делать. И только если атака встретила мгновенную, точную и скоординированную реакцию – только тогда противник понимает, что сюда лучше не соваться.
В кибербезопасности реакция должна быть именно такой. Игнорировать зондирующие атаки – значит оставить злоумышленнику возможность беспрепятственно изучать оборону.
Что делать?
Как должна выглядеть правильная стратегия защиты? Прежде всего, требуется внимательное отношение к мелочам. Кратковременные перебои в админке, единичные ошибки 5xx, всплески запросов в API не должны оставаться без внимания. Они могут быть первыми признаками зондирования. Поведенческая аналитика должна учитывать даже краткие эпизоды – особенно те, что повторяются с разной интенсивностью. WAF и антибот-фильтры нуждаются в регулярной переоценке: нельзя надеяться, что годичная конфигурация актуальна и сегодня. Периодическое моделирование атак на собственную инфраструктуру – не прихоть, а необходимость. Только так можно понять, что видит атакующий, и заранее отработать защиту.
Важно вовлекать в процесс SOC, DevOps, архитекторов. Зондирующая атака редко затрагивает только один слой. Сегодня это фронт, завтра – API, послезавтра – внутренняя DNS-зона. Защита должна быть сквозной, а реагирование – командным. Даже если атака не нанесла ущерба, она должна быть зафиксирована, проанализирована и учтена в дальнейшем планировании.
Резюмируя, можно сказать: зондирующая DDoS-атака – это не атака в полном смысле слова. Но именно с такого прощупывания начинается проникновение. Сегодня он стучится в вашу систему с вежливым HTTP-запросом, а завтра – уже с координированным L7-флудом.
