Согласно открытым отчётам ведущих провайдеров кибербезопасности (Cloudflare, Akamai, NETSCOUT, Kaspersky, Imperva и др.) за 2023–2025 годы, можно выделить чёткую тенденцию:
Самый популярный тип DDoS-атак — HTTP/HTTPS-флуд (L7-атаки)
Почему именно L7?
- Труднее обнаружить: трафик выглядит как «обычные» запросы от браузеров.
- Эффективнее при меньшем объёме: не нужно генерировать терабиты трафика — достаточно исчерпать ресурсы приложения (например, базу данных).
- Дешевле для атакующего: можно использовать ботнеты из обычных браузеров (например, через заражённые сайты с вредоносным JS) или headless-браузеры (Puppeteer, Selenium).
- Целенаправленность: атака бьёт именно по бизнес-логике (корзина, поиск, авторизация).
L7 — это сокращение от «Уровень 7» в модели OSI — стандартной семиуровневой модели передачи данных в сетях.
L7-атака (атака на прикладном уровне) — это DDoS-атака, которая имитирует действия реального пользователя, отправляя запросы к веб-приложению, а не просто «сырой» сетевой трафик.
Примеры:
- Отправка тысяч запросов к странице
/search?q=...(которая нагружает базу данных). - Многократная отправка формы входа
/login(вызывает проверку пароля в БД). - Запросы к тяжёлому API-эндпоинту, генерирующему отчёты.
Такой запрос выглядит абсолютно легитимно — как будто зашёл обычный посетитель. Но если таких запросов 10 000 в секунду — сервер «умрёт» от нагрузки.
Чем L7 отличается от других DDoS-атак?
| Характеристика | L3/L4-атака (сетевой уровень) | L7-атака (прикладной уровень) |
| Что атакует? | Канал связи или сервер (трафиком) | Логику приложения (базу, сессии, API) |
| Пример | UDP Flood, SYN Flood | HTTP Flood, Slowloris |
| Трафик | Очень высокий (Гбит/с) | Может быть низким (< 100 Мбит/с) |
| Выглядит как | «Шум» в сети | Настоящие пользователи |
| Сложность защиты | Проще (блокировать по IP/порту) | Сложнее (нужен анализ поведения) |
Почему L7-атаки особенно опасны?
- Экономичны для злоумышленника:
Не нужно генерировать терабиты трафика — достаточно 100–500 запросов/сек с умом. - Трудно отличить от реального трафика:
Если атака идёт через прокси, меняет User-Agent, куки — обычный firewall её не остановит. - Бьют точно в больное место:
Атакуют именно те страницы, которые максимально нагружают сервер.
Простая аналогия
Представьте ресторан:
- L3/L4-атака — это как если бы тысячи людей одновременно набросились на дверь, не заходя внутрь. Ресторан заблокирован физически.
- L7-атака — это как если бы тысячи людей зашли внутрь, сели за столики и… молча сидят часами, не делая заказ. Официанты заняты, новые клиенты не могут сесть — бизнес парализован, хотя «всё выглядит нормально».
Вот кратко все уровни (для контекста):
|
Уровень
|
Название
|
Пример
|
|
L1
|
Физический
|
Кабель, Wi-Fi сигнал
|
|
L2
|
Канальный
|
MAC-адрес, Ethernet
|
|
L3
|
Сетевой
|
IP-адреса, маршрутизация
|
|
L4
|
Транспортный
|
TCP, UDP, порты
|
|
L5
|
Сеансовый
|
Управление сессиями
|
|
L6
|
Представительский
|
Шифрование, сжатие
|
|
L7
|
Прикладной
|
HTTP, HTTPS, DNS, SMTP, FTP — то, с чем взаимодействует пользователь
|
L7 — это уровень веб-приложений, где работают:
- Браузеры,
- Веб-сайты,
- API,
- Мобильные приложения.