Финансовый риск
От 50 000 до 300 000 рублей в час из-за недоступности сайта для клиентов при атаке на прикладном уровне (L7), перерасхода ресурсов CPU/RAM хостинга.
Влияние на KPI
Снижение конверсии заказов. Медленный отклик сайта (TTFB) ухудшает поведенческие факторы и пессимизирует поисковый трафик из Google и Яндекса.
Уровень критичности
Высокий
Кому поручить
DevOps-инженер / Бэкенд-разработчик
Боты — это не только плохо. Googlebot, мониторинг, API-интеграции — это нужные боты. Задача — отсеять вредных, не задев полезных.
Как боты атакуют ваш сайт
Ботнет генерирует тысячи HTTP-запросов, имитируя реальных пользователей с валидными заголовками.
Каждый запрос проходит через веб-сервер → приложение → базу данных. CPU и RAM растут.
Приложение перестаёт отвечать. 502/503 для всех пользователей. Бизнес теряет деньги.
Поведенческий анализ, JS-challenge и rate limiting фильтруют ботов от людей.
User-Agent фильтрация
Простые боты не скрывают себя. Блокируем очевидное:
# В server блоке\nif ($http_user_agent ~* (scrapy|curl|wget|python-requests|Go-http-client|java|httpclient)) {\n return 403;\n}\n\n# Пустой User-Agent\nif ($http_user_agent = \"\") {\n return 403;\n}
Проверка Googlebot
Многие боты притворяются Googlebot. Настоящий — приходит с IP Google и проходит reverse DNS.
JavaScript Challenge
Умные боты используют headless-браузеры (Puppeteer, Playwright). Их сложнее отличить, но возможно:
- Cloudflare Bot Management — платно, но эффективно
- JavaScript fingerprinting — проверка поведения браузера
- CAPTCHA на подозрительных — hCaptcha, reCAPTCHA v3
Скопируйте эти вопросы и отправьте вашему техническому директору (CTO) или руководителю разработки:
- Настроена ли WAF-фильтрация для отсечения ботов с помощью JS-челленджей без показа капчи реальным пользователям?
- Защищен ли веб-сервер от атак типа Slowloris путем оптимизации HTTP Keep-Alive таймаутов?
- Проверено ли наше приложение на защиту от атак типа HTTP Request Smuggling и отравления кэша?
Словарь по теме
Cloudflare Bot Management
Enterprise-функция Cloudflare для выявления и блокировки вредоносных ботов с помощью машинного обучения, fingerprinting и поведенческого анализа.
Bot Management
Система идентификации и блокировки автоматизированного трафика при сохранении доступа для легитимных пользователей.
Fingerprinting
Технология идентификации посетителя по уникальным характеристикам браузера и устройства без cookies. Используется для обнаружения ботов.
User-Agent
HTTP-заголовок, идентифицирующий браузер или программу. Боты часто имеют пустой или подозрительный User-Agent.
Cloudflare
Популярный сервис CDN и защиты от DDoS. Бесплатный план включает базовую защиту, SSL, и ускорение загрузки через глобальную сеть из 300+ дата-центров.
CAPTCHA
Тест для отличия человека от бота. Просит распознать изображения, решить задачу или просто кликнуть галочку. Используется для защиты форм.
nginx
Популярный веб-сервер и reverse proxy. Используется для раздачи статики, балансировки нагрузки, терминации SSL.
DNS
Система доменных имён — переводит доменные имена (example.com) в IP-адреса серверов. Атака на DNS может сделать сайт недоступным.