DDoS-атаки на уровне приложений: что это и какие бывают?

Мы запускаем новую рубрику Curator Learning, где будем делиться образовательным контентом.

Сегодня разберем DDoS-атаки на уровне приложений (L7). В отличие от L3-L4-атак, они нацелены не на сетевую инфраструктуру (маршрутизаторы и файрволы), а непосредственно на веб-серверы. Такие атаки опасны тем, что вредоносный трафик сложно отличить от легитимного, а для вывода ресурса из строя не требуется большой объем запросов.

🚨 Какие бывают L7 DDoS-атаки?

🔹 Медленные атаки — такие как Slowloris и R.U.D.Y. (R U Dead Yet) — блокируют сервер, заставляя его ожидать завершения запросов. Slowloris создает и удерживает множество незавершенных HTTP-сессий, а R.U.D.Y. предельно медленно передает данные в формы на сайте. В итоге атакуемый сервер лишается возможности обрабатывать легитимные запросы пользователей.

🔹 Массированные атаки ботнетов — перегружают серверы огромным числом HTTP/HTTPS-запросов. Например, ботнет Mēris, состоявший из 200 000 зараженных роутеров MikroTik, использовался для атаки на Google, которая достигала 46 миллионов rps. А ботнет Mantis, включавший около 5000 виртуальных машин, генерировал до 26 миллионов rps во время атаки на Cloudflare.

🔹 Хактивизм — DDoS-атаки, организованные группами, использующими кибератаки в качестве формы протеста. Хактивисты комбинируют разные техники: применяют медленные атаки, ботнеты, а также создают массовый трафик за счет сторонников, одновременно заходящих на сайт по сигналу организаторов. Такие атаки нередко сопровождаются взломами, кражей данных и другими вредоносными действиями.

Все материалы рубрики можно будет легко найти по хэштегу #CuratorLearning

🚀 Curator – официальный партнер конференции "ТЕРРИТОРИЯ БЕЗОПАСНОСТИ 2025"

📅 Когда? 3 апреля
📍 Где? HYATT REGENCY MOSCOW PETROVSKY PARK, Москва, Ленинградский просп., 36, стр. 33

На конференции у нас будет совместный стенд с нашим технологическим партнером SolidLab. Приходите пообщаться, обсудить тренды и задать вопросы нашим экспертам.

Не пропустите наш большой доклад 🔥

Выступят:
🔹 Эдгар Микаелян, Руководитель департамента технического пресейла, Curator
🔹 Григорий Васильев, Руководитель направления безопасности приложений, SolidLab
🔹 Валерий Куваев, Менеджер по продукту SolidPoint DAST, SolidLab

Ждем вас 🙌

🛡️ Защита от DDoS-атак на уровне приложений (L7)

В прошлом посте рубрики #CuratorLearning мы рассмотрели существующие типы L7 DDoS-атак, а теперь поговорим о том, как от них можно защищаться.

🔬 DDoS-атаки на уровне приложений требуют внимательной проверки каждого запроса. Нужно определить, сколько нежелательного трафика идет от одного источника, и принять решение либо о блокировке отдельной сессии, либо временной блокировке всего IP-адреса. Это позволит сберечь ресурсы, не рассматривая запросы с тех адресов, которые шлют только мусор.

🤔 Однако тут возникает дилемма. С одной стороны, постоянно проверять весь трафик — это ресурсы и риск "фолсов". С другой стороны, в момент мощной атаки на глубокий поведенческий анализ может уже не быть времени.

🌡️ Решение: мониторить здоровье сервера. Если сервер начинает отвечать с задержками и выдавать ошибки, причиной может быть DDoS-атака — пора закрыть ворота блокировать трафик, из-за которого серверу поплохело.

❓ Что если проблема была вызвана легитимным пользователем, который случайно наткнулся на баг и перегрузил сервер? Все равно его надо блокировать: лучше пострадает он один, чем множество других пользователей, для которых сервер окажется недоступен из-за перегрузки.

🏢 Исключение — когда с адреса идет одновременно и вредоносный, и легитимный трафик. Часто это офисные NAT, в которых на одном IP сидит куча пользователей, лишь малая часть из которых шлет вредоносный трафик. В таком случае блокировать весь IP не стоит, надо разбираться с отдельными мусорными сессиями.

#CuratorLearning

🔥 Бот-атака через CDN: новый вектор угрозы?

Бот-атака с необычным сценарием исполнения происходила с 13 по 19 марта на приложение одной из крупных российских авиакомпаний. Более 2500 отдельных ботов запрашивали поиск рейсов и цены на билеты по популярным направлениям, используя как домовые IP-адреса, так и прокси из России, США, Сингапура, Германии и Канады. Интенсивность бот-запросов была достаточно низкой — в пределах 60 запросов в секунду со всего ботнета.

🔹 Чем отличалась эта атака?

Технической особенностью данной бот-атаки было то, что ее авторы направили трафик не напрямую на основной хост ресурса авиакомпании, а на домен, использующийся для отдачи статического контента — картинок, видео, JS и CSS-файлов. Данный домен обслуживается сетью Curator.CDN, которая кэширует контент и отдает его со своих серверов в большинстве крупных городов России.

🔹 Почему это не сработало?

Расчет злоумышленников заключался в том, что CDN-узлы находятся в доверенных списках доступа у серверов заказчика, и запросы, таким образом перенаправленные через CDN-сеть, будут обработаны без дополнительных проверок на DDoS- или бот-активность.

👉 Мы успешно предотвратили данную атаку, о чем и рассказали Известиям. Читайте материал и комментарии нашего эксперта.

🤝Мы подписали меморандум о стратегическом сотрудничестве с  ГК SolidLab

Вместе с партнером договорились развивать и популяризировать облачные решения, обеспечивающие безопасность сетевой инфраструктуры.
Будем усиливать и взаимодействие в сфере киберзащиты, обмена знаниями и технологиями.

Ключевые направления нашего сотрудничества:
🔹Обмен экспертизой и проведение совместных исследований в области защиты от киберугроз
🔹Создание лучших практик в кибербезопасности и развитие долгосрочных отношений с клиентами
🔹Интеграция и совместимость сервисов компаний для удобства пользователей
🔹Совместная работа над новыми технологическими решениями для защиты онлайн-инфраструктуры

«Сотрудничество с SolidLab открывает перед нами новые  возможности в развитии технологий сетевой безопасности. В условиях стремительно меняющегося ландшафта угроз важно не только защищать бизнес, но и создавать эффективные, удобные и масштабируемые решения. Мы уже провели успешную интеграцию Web Application Firewall от SolidLab и готовы к новым совместным разрабаткам, вместе делая интернет безопасным пространством для каждого»,

 – прокомментировал Дмитрий Ткачев, генеральный директор Curator.

Подписанный меморандум стал для нас важным шагом в сторону реализации стратегии по развитию экосистемы сервисов облачной безопасности.

⚙Ждите больше новых интеграций в 2025 году.

Stay tuned!

🎯 Охота на ботов: как защитить свои ресурсы и не потерять реальных пользователей?

📅 Когда? 15 апреля, 11:00 (онлайн)

🎙 Спикеры:
• Тарасов Георгий, Владелец продукта Curator.CDN (ex-Менеджер продукта Curator.Antibot)
• Жуков Александр, Архитектор по развитию сервисов безопасности, Cloud.ru

Веб-ресурсы, мобильные приложения и API ежедневно подвергаются DDoS- и бот-атакам. Согласно нашему отчету «DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды», число заблокированных запросов ботов выросло на 30% по сравнению с предыдущим годом. В настоящее время боты составляют почти половину всего интернет-трафика, и их активность сложно отличить от действий реальных пользователей.

На вебинаре вместе с нашим партнером Cloud.ru обсудим:

🔹понятия бот-активности и бот-атак
🔹распространенные задачи и виды бот-атак
🔹технические средства атакующих, и почему так трудно отличить действия ботов от поведения реальных пользователей
🔹как ловят ботов и почему так важно обнаружить их на первом запросе
🔹как защищают мобильные приложения: плюсы и минусы разных подходов
🔹перспективы бот-отрасли. Как AI и LLM используются в бот-атаках
🔹как меняется стратегия технологических гигантов и крупного бизнеса в условиях массовой бот-активности

👉 Регистрируйтесь по ссылке — участие бесплатное!

🏒3 апреля мы зафиксировали самую интенсивную DDoS-атаку с начала 2025 года.

Она была направлена на организацию из сегмента онлайн-ставок и в пике достигала 965 Гбит/с, совсем немного не дотянув до 1 Тбит/с.

Это был стремительно возросший флуд со сменой векторов. Продолжительность DDoS составила около 1,5 часа.

Атака началась в 11:15; менее чем за 10 минут мусорный поток усилился с 67 до 217 Гбит/с, а еще через четверть часа вышел в пик. К 12:41 интенсивность снизилась до 549 Гбит/с, и атакующие отступились.

Мы не впервые фиксируем всплеск DDoS-атак в сегменте Онлайн-ставки, которые связаны с крупными спортивными событиями. Например, в 2024 году активность атакующих значительно возросла во время чемпионата Европы по футболу.

🥅 В этот раз атака пришлась на период, когда Александр Овечкин устанавливал исторический рекорд НХЛ: 3 апреля он забил 892-ю шайбу, 5 апреля сравнялся с Гретцки (894), а 6 апреля обошел его (895). По нашему мнению, именно это событие могло стать триггером атаки.

👉Подробнее о рекордном нападении читайте в CNews

⏺ Запись вебинара "Охота на ботов: как защитить свои ресурсы и не потерять реальных пользователей?" уже доступна!

Если не успели посмотреть наш вебинар с Cloud.ru, теперь вы можете сделать это в любое удобное время. Налейте чашечку кофе и начинайте охоту на ботов вместе с Георгием Тарасовым, владельцем продукта Curator.CDN (ex-менеджером Curator.Antibot) и Александром Жуковым, архитектором по развитию сервисов безопасности Cloud.ru.

Эксперты затронули много важных вопросов, среди которых:

🔹что такое бот-активность и бот-атаки
🔹почему так трудно отличить действия ботов от поведения реальных пользователей
🔹как ловят ботов и почему так важно обнаружить их на первом запросе
🔹перспективы бот-отрасли. Как AI и LLM используются в бот-атаках

📹 Смотрите видео по ссылке

📹 Видеоинтервью Георгия Тарасова для CISO FORUM 2025

Как изменилась угроза DDoS-атак? Какие новые векторы атак становятся популярными? Насколько ИИ реально помогает в защите, и к каким рискам стоит готовиться бизнесу в ближайшие годы?

На эти и другие острые вопросы кибербезопасности отвечает Георгий Тарасов, владелец продукта Curator.CDN, в новом интервью, записанном специально для CISO FORUM 2025.

Смотрите видео на любой удобной для вас площадке:
🔹YouTube
🔹VK Видео

📈 Отчет “DDoS-атаки, боты и BGP-инциденты в 1 квартале 2025 года: статистика и тренды”

Собрали в нашем отчете самые важные факты об инцидентах 1 квартале 2025 года. А здесь поделимся основными цифрами:

🎯 Рост числа DDoS-атак
- Общее число DDoS-атак выросло на 110% по сравнению с 1 кв 2024 года.
- Максимальная интенсивность атак была невысокой, но медианные значения заметно выросли.
- Крупнейший обнаруженный DDoS-ботнет — 1,33 миллиона устройств (рекорд прошлого года — 227 тысяч).

📡🏦🛍 Кого атаковали чаще всего
- Наибольшее число L3-L4 атак: ИТ и Телеком (26,8%), Финтех (22,3%) и Электронная коммерция (21,5%).
- L7 атаки чаще всего были направлены на те же сектора, но в другой пропорции: Финтех (54%), Электронная коммерция (14,4%) и ИТ и Телеком (8,1%).

🌍 Страны-источники L7 DDoS-атак
1. Россия — 28,2%
2. США — 14,4%
3. Бразилия — 6,1% (Китай выпал из топ-3).

🤖 “Плохие” боты
- Активность “плохих” ботов в 1 кв в среднем была на уровне прошлого года.
- В марте обнаружили и нейтрализовали попытку бот-атаки через CDN (писали про нее тут).
- Чаще всего “плохие” боты атаковали Онлайн-ритейл — 40,7% от всей бот-активности.

🌐 BGP-инциденты
- Количество BGP hijacks за год заметно снизилось (-17,6%), связываем это с масштабным использованием RPKI ROA.
- А вот количество BGP route leaks осталось на уровне 1 кв 2024 (-1,6%) — механизмы защиты от утечек маршрутов пока далеки от широкого внедрения.

Больше подробностей — в полной версии нашего квартального отчета.