VAS Experts сократил время борьбы с ботнет-атаками

Компания VAS Experts, разработчик ПО для контроля и анализа трафика, продемонстрировала, как автоматизация позволяет сократить время реакции на ботнет-атаки с нескольких часов до нескольких минут. Как рассказали IT Speaker, на примере одного из операторов связи была показана работа платформы СКАТ AntiDDoS, которая выявила аномальный UDP-трафик и автоматически применила защитные меры.

Модуль QoE Analytics в составе платформы зафиксировал резкий рост UDP-сессий на внутреннем IP-адресе абонента. Анализ показал признаки UDP Flood-атаки: множество коротких сессий, малое число пакетов в каждом потоке и нагрузку на один целевой порт. Так система определила, что источником атаки стал ботнет из зараженных устройств.

После обнаружения аномалии платформа сама сформировала список подозрительных IP-адресов и применила правила фильтрации на узлах DPI в сети. Оператор смог заблокировать вредоносный трафик до того, как нагрузка повлияла на других абонентов и CG-NAT-инфраструктуру. Ограничения действовали только на аномальный трафик и автоматически снимались после нормализации активности.

«Одной из проблем для операторов связи остается заражение абонентских устройств – домашних роутеров, IP-камер и другого оборудования с устаревшими прошивками. После заражения они становятся частью ботнетов и начинают генерировать большое количество коротких UDP-сессий. В условиях CG-NAT это быстро приводит к исчерпанию NAT-портов и росту нагрузки на сеть, поскольку один публичный IP-адрес используется сразу несколькими абонентами. В итоге страдают и источники такого трафика, и другие пользователи, и каналы самого оператора. Поэтому операторам важно иметь инструменты, которые могут быстро выявлять такие аномалии и ограничивать их влияние на сеть», – пояснил IT Speaker исполнительный директор VAS Experts Артем Терещенко.

Ранее эксперты StormWall зафиксировали и отразили масштабную волну распределенных DDoS-атак на ресурсы российских компаний в начале марта 2026 года. По данным специалистов, для проведения атак злоумышленники задействовали известный ботнет Kimwolf, использовав более 4 миллионов уникальных IP-адресов.