В 2025 году аналитики зафиксировали явление, которое изменило привычное представление об атаках типа DDoS. Количество так называемых зондирующих атак в России выросло в 5300 раз относительно показателей 2024 года. Если раньше злоумышленники действовали по принципу «ударить как можно сильнее», то теперь картина кардинально изменилась: хакеры сначала изучают цель, а уже потом наносят точный и разрушительный удар.
Для бизнеса это означает новый уровень угрозы. Атака, которая кажется незначительным всплеском трафика, может оказаться подготовкой к масштабному нападению. Разбираемся, что такое зондирующие DDoS атаки, почему они стали главным трендом 2025 года и как выстроить защиту, которая блокирует угрозу ещё на этапе разведки.
Что такое зондирующая DDoS атака
Зондирующая атака (от англ. probing attack) представляет собой кратковременное целенаправленное воздействие на инфраструктуру компании, цель которого не вывести ресурс из строя, а получить информацию. Хакер изучает, как устроена защита жертвы, где находятся уязвимые точки, какие инструменты применяются для фильтрации трафика и насколько быстро срабатывают системы реагирования.
Технически зондирующая атака выглядит как серия коротких импульсов вредоносного трафика продолжительностью от нескольких секунд до 15 минут. Именно поэтому большинство стандартных систем защиты воспринимают такие всплески как шум или нештатную нагрузку, не квалифицируя их как угрозу. Злоумышленник при этом получает подробную картину реакции инфраструктуры и готовит сценарий для полноценного удара.
По данным отраслевых аналитиков, в 2024 году доля зондирующих атак не превышала 4% от общего числа инцидентов. К концу 2025 года этот показатель достиг 33%. Рост колоссальный, и он отражает принципиальное изменение тактики киберпреступников.
Механика разведки: как хакеры изучают цель
Сценарий зондирующей атаки, как правило, разворачивается в несколько этапов.
На первом этапе злоумышленник запускает минимальный поток трафика, чтобы установить базовые параметры защиты. Фиксируется время реакции системы, тип применяемой фильтрации и пороговые значения блокировки. Если защита не срабатывает при объёме 1 Гбит/с, хакер получает нижнюю границу для будущей атаки.
На втором этапе испытываются разные векторы воздействия. Атакующий поочерёдно проверяет уязвимость на уровне L3, L4 и L7 модели OSI, то есть тестирует сетевой уровень, транспортный и уровень приложений. Это позволяет выяснить, какой из векторов защита обрабатывает хуже всего.
На третьем этапе анализируются временные паттерны. Хакер отслеживает, в какое время суток реакция на атаку замедляется, а значит, дежурная команда работает в неполном составе или системы автоматической защиты не оптимизированы под ночной период.
Собрав достаточно данных, злоумышленник формирует профиль цели и переходит к полноценной атаке, которая уже спроектирована специально под конкретную инфраструктуру. Такой подход значительно повышает вероятность успеха и снижает затраты атакующей стороны.
Почему зондирующие атаки опасны для бизнеса
Главная проблема зондирующих атак заключается в том, что они практически не вызывают тревоги на этапе разведки. Кратковременный всплеск трафика чаще всего списывается на технические сбои, пиковую нагрузку или ошибки мониторинга. Компания не принимает никаких мер, а хакер тем временем завершает подготовку.
Второй ключевой риск связан с многовекторностью последующего удара. Получив данные о слабых местах защиты, злоумышленник выстраивает комбинированную атаку сразу на нескольких уровнях. В 2025 году доля многовекторных атак в России достигла 52% от общего числа инцидентов. Подобная атака значительно сложнее в отражении, поскольку требует одновременной работы разных защитных механизмов.
Третий риск носит финансовый характер. Даже если компания в итоге отражает полноценную атаку, простой сервисов во время активной фазы обходится дорого. По данным отраслевых исследований, час недоступности e-commerce платформы обходится крупному ритейлеру в сумму от нескольких сотен тысяч до нескольких миллионов рублей с учётом прямых потерь и репутационного ущерба.
Статистика 2025 года: масштаб угрозы
Цифры, которые фиксируют аналитики в 2025 году, свидетельствуют о системном изменении ландшафта киберугроз.
Зондирующие атаки выросли в России в 5300 раз по сравнению с 2024 годом.
Средняя мощность DDoS атак увеличилась на 63%: с 71 Гбит/с до 116 Гбит/с.
Доля многовекторных атак удвоилась: с 25% до 52%.
Атаки на API выросли на 68% год к году.
Объём ковровых бомбардировок увеличился на 83%, их пиковая мощность достигает 1,3 Тбит/с.
На мировом уровне ситуация не менее тревожная. По данным Cloudflare, в 2025 году было зафиксировано 47,1 миллиона DDoS атак — рост на 121% по сравнению с 2024 годом. Это означает в среднем почти 90 атак в минуту по всему миру.
Показательна история с ботнетом Aisuru, который в третьем квартале 2025 года объединял от одного до четырёх миллионов заражённых IoT устройств, в том числе роутеров и IP-камер. Именно этот ботнет стоит за мировым рекордом мощности атаки в 29,7 Тбит/с. Примечательно, что значительная часть активности Aisuru начиналась именно с зондирующих импульсов, прежде чем переходить к полноценным ударам.
Как распознать зондирующую атаку
Обнаружение зондирующей атаки требует иного подхода, чем мониторинг обычных DDoS инцидентов. Традиционные системы реагируют на объём и продолжительность вредоносного трафика, тогда как зондирование намеренно остаётся ниже этих порогов.
Признаки, на которые стоит обратить внимание:
Серийные кратковременные всплески трафика продолжительностью от 30 секунд до нескольких минут, которые появляются с регулярными интервалами.
Разнотипные импульсы с разных IP-адресов и подсетей, направленные последовательно на разные порты.
Аномальный трафик в нерабочее время, когда нагрузка традиционно минимальна.
Разброс векторов: поочерёдные запросы на уровне UDP, TCP и HTTP, которые не складываются в логичный пользовательский паттерн.
Самостоятельное выявление таких паттернов требует продвинутой аналитики трафика и корреляции событий в реальном времени. Именно поэтому компании, которые полагаются только на встроенные инструменты мониторинга провайдера, нередко узнают о том, что стали целью разведки, уже после основного удара.
Как выстроить защиту, которая блокирует разведку
Противодействие зондирующим атакам требует перехода от реактивной модели защиты к проактивной. Несколько принципов, которые реально работают.
Поведенческий анализ трафика. Системы, основанные на машинном обучении, способны выявлять аномальные паттерны даже при низком объёме трафика. Они анализируют не только количество запросов, но и их структуру, источники, временные интервалы и соответствие типичному профилю нагрузки для конкретного ресурса.
Эшелонированная защита. Отдельные решения для защиты на сетевом уровне и уровне приложений, развёрнутые совместно, перекрывают все векторы зондирования. При этом важно, чтобы системы обменивались данными и строили единую картину угроз, а не работали независимо.
Снижение информационного следа. Чем меньше информации злоумышленник получает из зондирующих запросов, тем сложнее ему выстроить точный профиль атаки. Это достигается через правильную настройку ответов на нелегитимные запросы, скрытие деталей серверной инфраструктуры и ограничение утечки информации через заголовки HTTP.
Мониторинг в режиме реального времени с интеллектуальным оповещением. Классический порог «сработал алерт при X Гбит/с» не подходит для зондирующих атак. Нужны правила корреляции событий, которые объединяют разрозненные всплески в единую цепочку угрозы.
Детальное описание того, как именно работает современная эшелонированная защита от DDoS на практике, читайте в материале защита сайта от DDoS атак. Там разобраны конкретные технические сценарии и методы отражения атак разных типов.
Роль провайдера защиты в противодействии зондированию
Самостоятельное выявление и блокировка зондирующих атак технически доступно крупным компаниям с развитыми SOC командами. Для среднего и малого бизнеса этот путь практически нереализуем по соображениям стоимости и компетенций.
Специализированные провайдеры Anti-DDoS обеспечивают сразу несколько преимуществ в контексте зондирующих угроз. Во-первых, они обрабатывают трафик тысяч клиентов и видят паттерны атак значительно раньше, чем те успевают достичь конкретной цели. Во-вторых, у них есть накопленная база сигнатур зондирующего поведения, которая обновляется в режиме реального времени. В-третьих, их инфраструктура рассчитана на поглощение как разведывательных зондов, так и последующих терабитных ударов.
Провайдер StormWall работает с трафиком в режиме 24/7 и применяет алгоритмы поведенческого анализа, которые позволяют детектировать зондирующие импульсы ещё до того, как хакер получает достаточно данных для планирования полноценной атаки.
При выборе провайдера Anti-DDoS стоит обращать внимание на несколько ключевых параметров: ёмкость сети очистки трафика, задержка при фильтрации (latency), поддержка BGP Flowspec для оперативной маршрутизации, наличие дашборда с аналитикой атак в реальном времени и SLA с гарантиями доступности не ниже 99,9%.
Что меняется в 2026 году
Тенденция к зондированию продолжит усиливаться. Эксперты фиксируют три ключевых изменения, которые уже происходят в начале 2026 года.
Первое: автоматизация разведки. Злоумышленники всё активнее применяют инструменты на основе машинного обучения, которые самостоятельно анализируют результаты зондирования и подбирают оптимальный вектор атаки без участия человека. Это ускоряет цикл «разведка и удар» с нескольких дней до нескольких часов.
Второе: расширение рынка DDoS-as-a-Service. Коммерческие платформы для заказа атак уже предлагают зондирование как отдельную услугу. Порог входа для злоумышленника снизился настолько, что сложную разведывательную атаку сегодня может заказать практически любой.
Третье: новые мишени. Если в 2024 году зондированием интересовались преимущественно в отношении финансового сектора и телекома, то в 2025 году в статистику вошли медицина и промышленность. В 2026 году этот список продолжит расширяться за счёт образования и государственных сервисов.
Практические шаги для защиты уже сейчас
Независимо от масштаба бизнеса, есть базовые меры, которые существенно снижают риск успешной разведки.
Проведите аудит текущих настроек фильтрации трафика и убедитесь, что пороговые значения алертов охватывают короткие низкоинтенсивные всплески.
Внедрите логирование всех аномальных событий с сохранением полных метаданных для последующего анализа.
Настройте корреляцию событий: серия из трёх и более кратких всплесков в течение часа должна автоматически формировать инцидент для расследования.
Рассмотрите подключение к специализированному сервису мониторинга и очистки трафика, который обеспечивает видимость угроз на уровне всей сети, а не только отдельного сервера.
Специализированный сервис защита сайта от DDoS обеспечивает фильтрацию трафика на уровне сети провайдера и позволяет блокировать зондирующие паттерны до того, как они достигают серверов клиента.
Заключение
Зондирующие DDoS атаки перестали быть экзотикой и стали нормой. Рост в 5300 раз за один год говорит о том, что хакеры кардинально изменили тактику и теперь инвестируют в разведку так же серьёзно, как в саму атаку.
Для бизнеса это означает необходимость пересмотра подхода к защите. Стандартные инструменты, настроенные на объём и продолжительность атаки, не справляются с зондированием. Нужны системы поведенческого анализа, эшелонированная архитектура и партнёрство с провайдером, который видит угрозы на уровне глобальной сети.
Зондирование не оставляет очевидных следов, но последствия атаки, к которой хакер тщательно подготовился, всегда ощутимы. Выстраивать защиту имеет смысл до того, как разведка завершена.
Top comments (0)