Бот не пройдет: как эшелонированный подход защищает от любых атак на web

Ботнет-атаки и вредоносная активность ботов составляют около 40% трафика в интернете, паразитная нагрузка на инфраструктуру наносит прямой ущерб компаниям и организациям. О том, как эшелонированная защита помогает поставить надежный заслон перед ботоводами, рассказывают Евгений Воронцов, ведущий менеджер по продвижению решений ИБ компании «Мобиус Технологии», и Глеб Габитов, пресейл-инженер Servicepipe.

Атаки на web-сервисы происходят постоянно, и кейсы, которые появляются в инфополе, в основном связаны с DDoS-атаками. Причина в том, что у таких атак есть начало и конец, а потому проще выявить конкретные инциденты. В отличие от DDoS, ботнет-атаки не имеют выраженного начала и конца — боты орудуют в трафике перманентно. При этом они генерируют паразитную нагрузку, которую вынуждены обрабатывать сервисы и инфраструктура. По данным Servicepipe, в 2025 году доля реальных пользователей в трафике составляла менее половины. Остальную нагрузку создавали боты, из них до 20% — обеляемые сайтами краулеры крупных поисковых гигантов — Yandex, Google, Bing и другие, а около 40% — пришлось на вредоносную активность. Иначе говоря, практически треть всего трафика создают боты злоумышленников.

Соответственно, очень остро стоит вопрос защиты веб-приложений и веб-инструментов от этой нагрузки. Без нее появляются перебои во многих бизнес-процессах, ведь через эти инструменты сегодня идет продажа товаров, бронирование билетов, взаимодействие с клиентами и так далее. Как следствие, в отсутствие такой защиты бизнес теряет деньги, доверие пользователей и репутацию. Тем не менее при выстраивании защиты компании нередко допускают серьезные ошибки, которые значительно снижают ее эффективность и негативно влияют на работу самих сервисов.

1. Применение грубых методов фильтрации. Речь идет, например, о rate limiting и блокировке по IP-адресам. Эти меры приносят частичный эффект, однако всё чаще легко обходятся злоумышленниками. Кроме того, они негативно влияют на легитимных пользователей: массовая блокировка может задеть большое количество клиентов, особенно если они пользуются услугами одного и того же провайдера. Например, последнее время все больше живущих в России пользователей заходят на ресурсы отечественных компаний с иностранных IP, используя средства анонимизации. И грубая блокировка по географическому признаку может отсечь их часть.

2. Использование только одного компонента защиты, например только WAF. Такой подход уязвим по нескольким причинам. Во-первых, при интенсивной атаке именно WAF становится точкой отказа, так как его глубокие механизмы разбора запросов требуют много ресурсов, что перегружает WAF и порой требует расширения лицензий, за которые платит компания.

Во-вторых, большое количество событий и ложных срабатываний создает нагрузку на аналитиков, которые не успевают обрабатывать инциденты, что влечет за собой дополнительные затраты на фонд оплаты труда и снижает скорость реагирования. Другой пример — использование только анти-DDoS без антибота и WAF: в этом случае можно защититься от пиковых нагрузок, но остаться без защиты от постоянной активности ботов и целенаправленных атак «нулевого дня», проводимых после успешного обнаружения уязвимостей веб-ресурса в результате сканирования утилитами.

3. Избыточное использование CAPTCHA для борьбы с ботами. Такая практика приводит к снижению конверсии, поскольку велик риск, что пользователь просто уйдет с ресурса. Есть исследования, по которым CAPTCHA не могут пройти до 29% реальных пользователей, если символы чувствительны к регистру. При этом продвинутые боты могут легко пройти проверки и попасть на ресурс.

4. Не предпринимать вообще ничего — самая критическая ошибка. Вектор атак меняется: особенно актуальны стали L7 DDoS, массированные атаки на уровне приложений. Такие атаки интенсивны, достигают, по данным Servicepipe, десятки миллионов запросов в секунду и могут серьезно нарушить работу даже крупных сервисов. Компании, которые пренебрегают даже элементарной защитой, оказываются под ударом в первую очередь.

Типы ботнет-атак

Боты — это всего лишь инструмент и, как любой инструмент, может использоваться и во благо, и во вред. Полезные боты обеспечивают индексирование, сбор метрик и другой информации для статистики. Вредоносные боты, напротив, создают нагрузку, совершают атаки и нарушают работу сервисов. Рассмотрим, какие типы атак могут проводиться с помощью ботов.

1. Парсинг: боты, запрограммированные на массовое копирование контента с сайта, применяются для сбора информации и построения фишинговых копий ресурсов или для создания лендингов с демпинговыми предложениями. Такая активность наносит двойной ущерб: с одной стороны, идет утечка уникального контента, с другой — создается избыточная нагрузка на серверы. Предположим, средний трафик сайта 150 Мбит/с. Если треть приходится на ботов, то при ежемесячных OPEX-расходах в 300 тысяч рублей получается, что компания тратит до 1,2 млн рублей в год только на поддержание инфраструктуры, обрабатывающей ненужный вредоносный трафик. На практике Servicepipe известны случаи, когда доля парсинга в трафике в определенные дни на отдельных ресурсах достигала 80%.

2. Скальпинг и автоматические выкупы. Когда бренд выпускает ограниченную коллаборацию или выпуск лимитированной модели, либо организатор выкладывает билеты в продажу популярного исполнителя в определенное время, то даже те пользователи, которые пришли на сайт минута в минуту, остаются ни с чем, потому что все моментально скупают боты. Делается это для последующей перепродажи по завышенной цене.

3. Атаки на бизнес-логику: сюда входит автоматическое списание бонусов с чужих аккаунтов, подбор логинов/паролей, злоупотребление промоакциями, реферальными программами и т.п. Зачастую такие атаки проходят в фоновом режиме без резких всплесков трафика, что усложняет их обнаружение.

4. SMS-бомбинг: это особый вид атак на API web-сервисов и бюджеты, когда злоумышленники используют легитимную механику авторизации по SMS — массово осуществляют попытки авторизации с множества случайных номеров. В результате компания вынуждена оплачивать тысячи фейковых SMS. При этом злоумышленники не получают прибыли, но наносят прямой ущерб бизнесу, порой весьма серьезный. Иногда, вопреки низкой частотности атаки, компании теряют на этом до 1 млн рублей в день.

5. Влияние ботов на цифровые каналы. Ботовый трафик искажает воронки и выборки, делая нерелевантными результаты рекламных кампаний. Также искажаются метрики в системах web-аналитики. В результате команда, оценивая гипотезу или анализируя привлеченный пользовательский трафик, опирается на недостоверные данные, поскольку доля ботового трафика может быть очень ощутима. Например, по отдельным рекламным кампаниям на Smart TV доля нелегитимных просмотров достигала 99%, в ноябре 2025 года в сезон распродаж в интернет-рекламе доля ботового трафика уже составляет порядка 35%.

Кроме того, высокая доля паразитного трафика влияет на показатели SEO. В частности, при превышении определенного порога бот-активности поисковые системы могут понизить позиции сайта в результатах выдачи, из-за чего ресурс теряет как пользовательский трафик, так и позиции на рынке среди конкурентов.

Три компонента эшелонированной защиты

Современный подход к защите web-сервисов должен покрывать и DDoS-атаки, и вредоносные действия, которые проводятся с помощью ботов, и целенаправленные атаки. Поэтому три ее обязательных компонента — защита от DDoS-атак, антибот и WAF. Разберем требования к каждому из них.

1. Защита от DDoS-атак

Инструменты защиты от DDoS-атак обязаны отличать вредоносную активность от всплеска реальной пользовательской активности. Это особенно актуально в периоды распродаж или маркетинговых акций, когда наблюдается резкий рост легитимного трафика. Конкуренты нередко используют такие моменты для DDoS-атак, стремясь нарушить работу сайта или сервиса в самый пик продаж. Поэтому система фильтрации трафика должна корректно обрабатывать органический трафик даже при параллельно идущей атаке, не блокируя добросовестных клиентов.

Следующий критерий — поддержка актуальных сетевых протоколов. Хотя HTTP/2 существует уже более 10 лет, активный переход на него начался не так давно, и злоумышленники адаптируют свои стратегии под его особенности. Важно также, чтобы защита работала и с протоколами gRPC, IPv6 и WebSocket.

Система защиты должна быть готова к гибридным атакам, сочетающим сетевые и прикладные векторы, и справляться с рекордной нагрузкой.

Отдельное внимание необходимо уделять DNS. Даже при надежной защите веб-сервера и сетевой инфраструктуры атака на DNS-провайдера может привести к полной недоступности ресурса. Если зона делегирована одному провайдеру без защиты или не зарезервирована у другого провайдера, его уязвимость становится слабым звеном всей цепочки. В результате даже полностью защищенный сайт не будет доступен, поскольку не удается разрешить его доменное имя.

2. Антибот

Антибот (Bot Protection) — второй ключевой компонент эшелонированной защиты. Его задача — противодействие бот-атакам, включая фуллстек-ботов (продвинутых ботов). Современная система должна различать легитимный трафик и автоматизированную активность, блокируя вредоносные запросы в реальном времени без ожидания срабатывания фильтров.

Важно, чтобы защита адаптировалась к быстро меняющимся векторам атак. После блокировки ботнета злоумышленники модифицируют инструменты, поэтому требуется оперативная реакция. Для этого необходимы поведенческий анализ, ML-модули и участие аналитиков.

Особую угрозу представляют фуллстек-боты, подменяющие заголовки и эмулирующие пользовательские браузеры. Система должна выявлять и нейтрализовывать таких ботов. При этом защита должна охватывать все многообразие веб-сервисов: веб-приложения, WebView, мобильные приложения, API.

Наконец, не стоит забывать про атаки на бизнес-логику: взлом аккаунтов, дефейс, удаление сервисов и баз данных, а также любые другие атаки, призванные нарушить работу бизнес-сервисов или компании в целом.

3. Межсетевой экран для веб-приложений (WAF)

Также важна защита от APT-атак, которые несут риск компрометации инфраструктуры и утечки данных. При наличии связей с внутренней инфраструктурой веб-сервер может стать точкой входа в корпоративную сеть.

Для эффективного противодействия целевым атакам требуется использование защиты класса WAF в синергии с антиботом. В такой синергии антибот фильтрует весь автоматизированный трафик вне зависимости от масштабов атаки, а WAF выполняет глубокую фильтрацию оставшихся запросов. Это позволяет существенно снизить нагрузку на WAF, поскольку в среднем до 30% трафика составляет именно бот-активность. Снижаются и затраты на лицензирование WAF. Например, при лицензии на 2000 запросов в секунду стоимостью 5 млн рублей в год уменьшение бот-трафика на 30% позволяет сэкономить до 1,5 млн рублей в год.

Кроме того, при использовании антибота уменьшается количество ложных срабатываний и инцидентов на уровне WAF — поскольку автоматизированный мусорный трафик предварительно отфильтрован. Это облегчает работу аналитиков, позволяя сосредоточиться на действительно значимых событиях. В результате оптимизируются ресурсы: либо за счет переиспользования освободившихся специалистов, либо за счет сокращения затрат на фонд оплаты труда. При зарплате одного WAF-аналитика в 300 тыс. рублей в месяц выгода от снижения нагрузки может составлять от 0,5 до 4,5 млн рублей в год в зависимости от масштаба инсталляции.

Современные требования к WAF включают поддержку микросервисной архитектуры и автоскалирования под изменяющуюся нагрузку. В современных реалиях важно, чтобы WAF поддерживал множество вариантов развёртывания и доставки защиты к приложению. Это предполагает поддержку различных сценариев: on-prem, гибридных, установку на ingress-контроллеры, сайдкар-поды и другие. Поддержка современных протоколов (HTTP/2, веб-сокеты), закрытие актуальных уязвимостей, наличие обучаемой модели и предустановленных правил — обязательны. Это позволяет быстро запустить защиту без затрат на ручную настройку политик.

Преимущества эшелонированного подхода

Эшелонированный подход обеспечивает защиту ключевых бизнес-инструментов в условиях нестабильного цифрового ландшафта, при этом не снижая пользовательского опыта и не ухудшая конверсию. Дополнительно снижаются расходы на инфраструктуру за счёт фильтрации паразитного трафика, увеличения производительности и упрощения поддержки. Поисковые боты получают корректные ответы и повышают позиции сайта в поисковой выдаче.

Сегодня особенно важно учитывать и работу ИИ-ботов (агентов ИИ-чатов) и не блокировать их доступ к ресурсу. В среднем по рынку их доля в общем объеме трафика составляет на сегодня порядка 1,5%, в то же время на отдельных ресурсах e-com во время распродаж фиксировались случаи, когда доля ИИ-агентов в определенный момент времени превышала 15%.

Защита охватывает автоматизированные угрозы от сканирования и парсинга до DDoS-атак. Повышается эффективность маркетинга: KPI строятся на очищенных данных, без искажений от бот-трафика.

Для технических команд эшелонированный подход автоматизирует и облегчает фильтрацию атак, не допуская злоумышленника в защищаемую инфраструктуру.

Это разгружает команды, повышает точность аналитики и ускоряет обработку инцидентов. Система адаптируется к изменяющимся векторам атак и подходит для сайтов, мобильных приложений, API, самописных сервисов, не требуя изменения кода приложений. Антибот маркирует трафик по степени легитимности (например, «человек», «простой бот», «сложный бот»), а эти данные могут использоваться и во внешних аналитических системах или службах SOC.

Эффективность эшелонированного подхода доказана на реальных кейсах. Так, компания «Азбука Вкуса» столкнулась с проблемой: при высоком трафике и использовании CDN значительную часть запросов составляли автоматизированные обращения, создающие паразитную нагрузку. Блок-листы на WAF формировались вручную, что требовало ресурсов и было неэффективно. Решением для них стал антибот, интегрированный с CDN. Автоматические атаки были заблокированы, поддержка блок-листов упрощена, инженерные затраты снижены, а техническая доступность сохранена.

Второй кейс — из практики инвестиционной компании «БКС Мир Инвестиций». Из-за требований финтех-комплаенса заказчик не может раскрывать ключи для SSL-терминации. Была применена схема без раскрытия ключей шифрования. В результате удалось устранить атаки на бизнес-логику и SMS-бомбинг, решение позволяет соответствовать требованиям регуляторов и внутренних служб безопасности.

Еще один пример — внедрение защиты в медицинском проекте «На поправку». Сервис отличается высокой долей реальных пользователей, но автоматизированный трафик искажал веб-аналитику. Эшелонированная защита позволила очистить трафик, повысить точность данных и снизить издержки.

Таким образом, с применением эшелонированного подхода компания защищает свои ключевые бизнес-сервисы от любых атак на web, включая автоматизированные атаки различной сложности (в том числе продвинутых ботов) и целенаправленные атаки. Как следствие, внедрение комплексной защиты приносит заметный экономический эффект: снижаются издержки на поддержку инфраструктуры, минимизируются простои, растет лояльность пользователей, а органические продажи увеличиваются.

Авторы колонки: «Мобиус Технологии» совместно с Servicepipe.