Ни дизайна, ни рекламы, ни контента. Как пустая страница в интернете набрала 30 тысяч просмотров за месяц (и чем это опасно)

leer en español

Cloudflare Cybernews it.com Domains боты веб-трафик WAF защита сайтов
Ни дизайна, ни рекламы, ни контента. Как пустая страница в интернете набрала 30 тысяч просмотров за месяц (и чем это опасно)
Cloudflare Cybernews it.com Domains боты веб-трафик WAF защита сайтов

Владельцы сайтов платят за «мёртвые души», не получая ни одного живого клиента.

image

Обычный домен в зоне .com, купленный для домашнего эксперимента и оставленный почти пустым, за несколько недель набрал десятки тысяч обращений. История, описанная Cybernews, показывает, что как только новый адрес появляется в сети, на него практически сразу обрушивается поток автоматических запросов от ботов и сканеров. В результате, даже одна простая страница без дизайна и рекламы способна обернуться для владельца неожиданными расходами и дополнительными рисками для безопасности.

Автор материала приобрёл домен через Cloudflare для домашней лаборатории и установил на него единственный HTML-файл размером 1,26 КБ с фразой «Почему ты здесь?». Никакого дизайна, скриптов и оптимизации. Однако уже через неделю Cloudflare поздравил владельца с первой тысячей просмотров, хотя реальный счётчик перевалил за четыре тысячи. За месяц сервис зафиксировал 21 620 визитов примерно от 1 400 «уникальных» устройств и 30 560 просмотров, что при таком крохотном файле вылилось в 63,43 мегабайта трафика. Около трети обращений пришлось на Гонконг, ещё треть — на США, остальное распределилось по другим странам.

По данным Cloudflare Radar, за последние двенадцать месяцев около 30% всего интернет-трафика составили запросы автоматизированных систем. Наибольшая доля приходится на США — 39,4%, затем идут Германия с 6,4% и Сингапур с 4,2%.

Руководитель The SEO Works Бен Фостер поясняет, что ботам не нужно угадывать доменные имена: сведения о регистрации и выпуске сертификата попадают в открытые списки, которые постоянно отслеживают сканеры. Фостер подчёркивает, что запуск сайта без сетевого экрана и защиты от ботов превращается в игру в рулетку, хотя даже с учётом массового автоматического трафика тысяча посещений в день для совершенно нового домена выглядит подозрительно высокой.

Основатель и глава Hashmeta Терренс Нгу отмечает, что боты мониторят публичные DNS-записи, логи сертификатов, сканируют диапазоны IP-адресов и переходят по ссылкам с других площадок. По его словам, малозаметные корпоративные и информационные сайты обнаруживаются универсальными сканерами в течение нескольких часов или дней после запуска.

Джо Аланья, директор по стратегии it.com Domains, добавляет, что особенно активно обрабатываются крупные доменные зоны вроде .com, а также ресурсы стартапов, криптопроектов и SaaS-сервисов. По наблюдениям его команды, даже пустые сайты сразу после начала делегирования домена получают ощутимый поток автоматизированных запросов.

Генеральный директор образовательной платформы Westlink Academy Эбенезер Аллен говорит, что на новых доменах обычно пересекаются несколько типов автоматического трафика: поисковые и коммерческие краулеры, системы мониторинга и агрессивные сканеры, которые ищут ошибки конфигурации, открытые панели администрирования, стандартные учётные записи и уязвимые веб-формы.

Часть запросов исходит от легитимных сервисов поиска и контроля доступности, но заметная доля приходится на вредоносные механизмы, пробующие регистрировать аккаунты, спамить формы, обращаться к административным разделам или подготовиться к перехвату домена после окончания регистрации. Значительная часть такого трафика идёт с инфраструктуры крупных облачных провайдеров.

Совладелица и директор по UX агентства Passionates Agency Билли Арджент обращает внимание, что подобные всплески трафика легко пробивают лимиты недорогих тарифов. Если вместо пустой страницы на сайте разместить, например, мегабайтный лендинг, итоговый объём переданных данных при аналогичном количестве запросов приблизится к 30 гигабайтам.

В случае 50-мегабайтного видео или 200-мегабайтной анимации превышение лимита в 10 гигабайт в месяц возможно меньше чем за двое суток, особенно при оплате по фактическому потреблению ресурсов. Джо Аланья приводит случаи, когда владельцы непреднамеренно сжигали квоты из-за постоянных обращений ботов к одному крупному файлу.

Нгу дополняет, что автоматизированные атаки всё чаще нацелены на механизмы одноразовых кодов: роботы массово запрашивают OTP через SMS или мессенджеры, в результате чего бизнес получает внушительные счета за сообщения без единого реального клиента.

Специалисты советуют включать базовую защиту ещё до вывода сайта в публичный доступ. Речь идёт о подключении CDN с веб-файрволом, активации фильтрации ботов, ограничении частоты запросов и проверке репутации IP-адресов. Административные панели, панели управления, внутренние дашборды и другие чувствительные разделы должны быть скрыты за надёжной аутентификацией и не торчать в открытом доступе по стандартным путям входа, которые рекомендуют изменять.

Критичные формы стоит дополнять CAPTCHA и другими средствами усложнения автоматических атак, тяжёлые файлы — убирать за кеш или ограниченные URL, а системы аналитики — настраивать так, чтобы отделять человеческую активность от машинной. В противном случае даже безобидный домен с одной строкой текста способен привести сначала к завышенной статистике, а затем и к ненужным расходам, и инцидентам безопасности.