Иногда сетевые инциденты внешне выглядят одинаково. Сервер начинает отвечать медленнее, логи заполняются повторяющимися ошибками, а на графиках появляются странные пики. На практике за такими симптомами могут стоять разные процессы — от банального перебора паролей до попытки вывести ресурс из строя. Чаще всего путают три сценария: DDoS, brute force и сканирование. Они действительно могут напоминать друг друга, но их поведение в сети и логи гораздо информативнее, чем кажется на первый взгляд.
Ниже мы сделали развернутый разбор того, как отличить эти типы активности в реальных условиях, на что смотреть в логах, какие технические признаки считать ключевыми и как интерпретировать их правильно.
DDoS: перегрузка ради отказа в доступе
Главная цель DDoS — сделать сервис недоступным. Неважно, что сервер обрабатывает, важно — сколько. Атака строится на огромном количестве запросов или соединений, которые превышают пропускную способность сети или вычислительные ресурсы приложения.
Как это выглядит:
— Нагрузка растёт резко, чаще всего скачкообразно.
— Преобладают простые запросы: однотипные GET, SYN-пакеты, UDP-флуд.
— Поступают из распределённого набора узлов: ботнеты, прокси, заражённые устройства.
Следы в логах и метриках:
— Лавинообразное появление одинаковых записей: один и тот же URL, метод, путь.
— Увеличение системных ошибок: рост 503, 502, обрывов соединений.
— Большое число запросов с минимальными интервалами между ними.
— IP-адреса меняются постоянно, user-agent нередко полностью отсутствует.
Дополнительные характерные сигналы:
— Снижается доступность не только веб-приложения, но и соседних сервисов.
— CPU и RAM могут оставаться нормальными — перегружена именно сеть.
— Запросы не содержат логики, попыток авторизации или параметров.
DDoS легко узнать по масштабности. Всё, что направлено на «забить канал» или «обрушить фронт», обычно относится именно сюда.
Brute force
Brute force, в отличие от DDoS, не перегружает сервис объёмом. Он давит повторяемостью и вариативностью параметров. Атака направлена на взлом учётной записи или токена за счёт перебора комбинаций.
Как проявляется в запросах
— Серия попыток входа на один и тот же endpoint.
— Запросы идут с небольшого количества IP, иногда с одного.
— Логины и пароли меняются от попытки к попытке.
Что показывает лог
— Частый поток сообщений 401, 403, иногда 429 при наличии rate-limit.
— Единообразные user-agent строки, характерные для скриптов.
— Начинается с частых запросов, затем темп может снижаться для обхода защиты.
Дополнительные признаки
— Затрагивает узкий набор адресов: /login, /signin, /oauth/token.
— Может длиться часами или днями, не вызывая большого увеличения нагрузки.
— Хорошо заметен по «аномально высокому уровню ошибок авторизации».
Brute force отличается тем, что каждая попытка осмысленна. В запросах есть содержимое, есть параметры, есть логика.
Сканирование: изучение поверхности атаки
Сканирование — это разведка. Злоумышленник изучает инфраструктуру, проверяет открытые порты, тестирует существование endpoints, пытается понять, как ведёт себя приложение в разных условиях.
Как ведёт себя трафик
— Запросы идут вширь, а не вглубь.
— Проверяются десятки разных URL, в том числе редкие, тестовые, внутренние.
— Часто сканируются нестандартные порты: 21, 22, 3306, 8080, 9200 и др.
Что фиксируют логи
— Длинные последовательности ошибок формата 404, 400, 405.
— Появление характерных путей: /wp-login.php, /admin/backup, /phpinfo.php.
— Смена методик: GET → POST → OPTIONS → HEAD для анализа поведения.
Дополнительные характерные признаки
— В user-agent могут быть указаны утилиты: nmap, masscan, python-requests.
— Интервалы между запросами могут быть хаотичными — от мгновенных до редких.
— Сканирование редко приводит к сильной нагрузке, но оставляет «широкий след».
Сканирование часто предшествует более серьёзным атакам — brute force, эксплуатации уязвимостей или DDoS-сценариям.
Как различать атаки на практике
Сравнение DDoS, brute force и сканирования — таблица
|
Тип активности |
Основная цель |
Типовые признаки |
Что видно в логах и сетевой активности |
|
DDoS-атака |
Нарушить работу сервиса за счёт перегрузки сети, сервера или приложения. |
Резкий рост входящего трафика, высокая нагрузка на ресурс, потеря доступности. |
Большое количество соединений за короткий промежуток времени, всплеск пакетов, исчерпание ресурсов, множество запросов без дальнейших действий. |
|
Brute force |
Подбор учётных данных или кода доступа методом перебора. |
Частые повторяющиеся попытки авторизации, систематический перебор логинов, паролей или токенов. |
Последовательные неуспешные попытки входа, однотипные ошибки аутентификации, повторение запросов с минимальными изменениями. |
|
Сканирование |
Сбор информации о системе: открытые порты, версии ПО, уязвимые сервисы. |
Череда запросов к разным портам и эндпойнтам, попытки определить структуру и конфигурацию ресурса. |
Запросы к редким или техническим маршрутам, обращения к множеству портов, последовательный просмотр известных точек входа, единичные или малые объёмы трафика. |
Практические советы по диагностике
-
Начните с оценки нагрузки. Если графики «выстрелили» резко — это почти всегда DDoS.
-
Посмотрите на характер ошибок. Авторизационные — признак brute force, большое число 404 — сканирование.
-
Проверьте разнообразие запросов. Всё однотипное — DDoS; всё разное — сканирование; всё одинаковое, но с меняющимися параметрами — brute force.
-
Оцените количество источников. Много IP — DDoS или распределённый скан; мало — вероятнее brute force.
-
Изучите user-agent. Он часто выдаёт как скриптовые атаки, так и автоматические сканеры.
-
Смотрите на длительность. Brute force и сканирование могут идти неделями, DDoS — обычно bursts или длительные волны.
Итог
Несмотря на внешнее сходство, DDoS, brute force и сканирование оставляют разные цифровые отпечатки — по структуре запросов, набору ошибок, количеству IP и характеру нагрузки. Чем внимательнее вы анализируете эти сигналы, тем проще быстро определить, что именно происходит, и выбрать подходящую линию защиты: от анти-DDoS фильтрации до ограничения частоты запросов и мониторинга аномалий.
Чёткое понимание следов каждой атаки — ключевой инструмент, который позволяет реагировать не вслепую, а по делу.