Где-то недели две назад нас прощупывали. Рабочий сайт тупил. Часик так поработает и пауза. Какое-то время на это не обращал внимание, пока вчера сайт полностью не лег на целый день.
Сижу, смотрю в логи. За вчерашние сутки — 2 447 964 запроса. Средний RPS 28, в пиковые часы с 08:00 до 16:00, по 170 тысяч запросов в час, это ~50 RPS. Сегодня все в том же темпе.
Проблема
У меня честный вопрос: кому мы мешаем? Мы небольшая IT-компания в нише, где нет большой политики и миллиардных контрактов. Конкуренты? Обиженный клиент? Пытаются сделать больно нашим клиентам в рабочее время? Разбираюсь по фактам.
Провел небольшое расследование и собрал статистику:
Всего запросов: 2 447 964
Средний RPS: 28
Пиковый час (16:00): 177 164 запросов
Минимум (20:00): 10 303 запросов
Вчерашнее распределение по часам:
=== Нагрузка по часам (вчера) ===
00:00 — 84 690 запросов
01:00 — 42 586
02:00 — 57 603
03:00 — 75 511
04:00 — 91 871
05:00 — 94 590
06:00 — 98 846
07:00 — 146 990
08:00 — 171 044 ← пик утренний
09:00 — 140 138
10:00 — 161 200
11:00 — 140 094
12:00 — 148 158
13:00 — 112 530
14:00 — 141 870
15:00 — 121 985
16:00 — 177 164 ← пик вечерний, максимум дня
17:00 — 162 475
18:00 — 127 229
19:00 — 12 267 ← обрыв, -90%
20:00 — 10 303 ← минимум
21:00 — 34 834
22:00 — 35 838
23:00 — 58 148
С 07:00 до 18:00 стабильные 120-170 тысяч запросов в час. В 19:00 обрыв в 10 раз. В 21:00 — снова подъём до 34 тысяч. Ночью — средние 50-90 тысяч.
Бот, запущенный в режиме «поставил и ушёл», так себя не ведёт. Тут либо живой оператор, либо скрипт с расписанием, которому выставлены разные режимы на разные часы. И цель не «уронить сайт намертво», а именно замедлять его в рабочее время. С 19:00 до 20:00 — что-то вроде «ужина», потом снова вечерняя смена.
И самое показательное — поисковые запросы :
/search/?tags=Markdown,База знаний,Linux
/search/?tags=ITIL,договор,удаление данных
/search/?tags=3.1.6,вложения,обновления,личный кабинет
/search/?tags=3.1.2,обновление,Управление IT-отделом 8,пароли
/search/?tags=3.1.12.7,канбан,обновления,задание,уведомления
Это наши собственные теги из базы знаний продукта Управление IT-отделом 8. Кто-то ходил по сайту руками, собрал теги конкретно по нашему продукту (даже с указанием версий 3.0.37, 3.1.2, 3.1.6, 3.1.12.7) и скормил их боту. Атака «на авось» так не умеет. Это разведка, сделанная человеком, понимающим, что у нас за продукт и где у нас тяжёлые запросы.
Выводы
- Атака распределённая (сотни уникальных IP, по 700-1400 запросов с каждого), но не из ботнета — это арендованная VPS-ферма.
- Атака имитирует браузер: подтягивает всю статику, шлёт легальные URL.
- Атака с предварительной разведкой: атакующий собрал конкретно наши теги с нашими версиями продукта.
- Атака с живым оператором: работает по графику рабочего дня, ротирует источники день ко дню.
- Бюджет атакующего — сотни долларов в месяц.
Три гипотезы, кому мы помешали
Без IR-расследования точного ответа не будет. Но версии стоит перебрать.
1. Конкуренты. Работа по графику рабочего дня, ручной подбор тегов по нашему продукту с номерами версий, ротация источников — всё указывает сюда. Аналитики РБК и Positive Technologies прямо говорят: DDoS как инструмент конкурентной борьбы чаще всего заказывают в узких нишах, где «немного просесть» конкуренту — заметный плюс себе. Ниша B2B-софта с понятной клиентской базой — идеальная мишень.
2. Отвлечение внимания. DDoS как дымовая завеса под другую активность: попытка эксплойта, брутфорс, вынос данных. В отчётах «Лаборатории Касперского» и «Солара» это второй по популярности сценарий 2025-го. Мы прошлись по логам аутентификаций и подозрительных POST — пока чисто, но внимание держим.
3. Заказ «на сдачу». Бывший клиент, бывший сотрудник. В 2025-м заказать DDoS стало тривиально: по Forbes и «Ростелекому», медианная цена атаки в даркнете — 20 долларов. Но наша атака дороже. Это не разовая покупка на 20 долларов, это длительный заказ с ротацией. Если «на сдачу», то от сильно обиженного с деньгами.
Я склоняюсь к первой версии.
Немного статистики. Почему это теперь касается всех
Пока разбирал свой инцидент, полез смотреть общую картину 2025-го. Беру только то, что есть минимум в двух источниках.
По России:
- Роскомнадзор зафиксировал рост числа DDoS-атак на 100% год к году — с ~10 тыс. в 2024-м до 21+ тыс. в 2025-м.
- По StormWall, количество «зондирующих» атак выросло в 5300 раз. Короткие 10-15-минутные атаки — разведка перед основным ударом.
- Многовекторные атаки (L3/L4/L7 одновременно) — 52% от всех инцидентов, было 25%.
- Главные цели: телеком (34%), финансы (21%), ритейл (16%). IT-услуги — в «остальном». Это не делает нас безопаснее, это значит, что мы не в новостях.
По миру:
- StormWall отразил 19,4 млн атак против 6,6 млн в 2024-м — рост почти втрое.
- Средняя длительность — 31 минута.
- Selectel зафиксировал атаку с 2 050 039 уникальных IP одновременно.
- Пиковая мощность — 2,5 Тбит/с.
Вопрос в зал
Мы в итоге подключили DDoS-защиту. Не буду писать название — тестирую со вчерашнего дня, рекомендовать рано. Скажу только, что это дорого. И главный вывод для себя: бюджет на DDoS-защиту теперь у меня в годовом плане, на уровне антивируса и бэкапов. Не «на всякий случай», а потому что это уже случилось.
Коллеги, что у вас стоит от DDoS и ботов? Cloudflare (жаль с ним у нас в РФ проблемы, так бе его подключил), DDoS-Guard, StormWall, Qrator, Selectel, защита от хостера, свой nginx с fail2ban или вообще ничего?
И сколько уходит в месяц? Хочу собрать картину по рынку — у меня ощущение, что адекватная защита для малого бизнеса начинается от цифр, которые для малого бизнеса серьёзные. Проверим, правда ли это.