ASN и интернет-безопасность
Интернет кажется единым пространством, но на деле состоит из тысяч независимых сетей. Для управления этим огромным «паутинным клубком» используется специальная система нумерации автономных систем. Если вы слышали о ботах, DDoS, прокси и других цифровых угрозах, вы точно встречались с понятием ASN. Почему этот параметр так важен для интернет-безопасности и как с его помощью обнаруживать подозрительный трафик — разберёмся подробно.
ASN (Autonomous System Number) — это уникальный номер, который присваивается каждой автономной системе в интернете. Автономная система (АС) — это крупная сеть или группа сетей, которые управляются одной организацией и используют общую политику маршрутизации.
Среди владельцев автономных систем выделяют несколько основных категорий:
У каждой автономной системы есть свой уникальный номер — это как «паспорт» сети в мире интернета. Номера присваиваются региональными интернет-регистраторами: RIPE NCC для Европы и России, ARIN для Северной Америки, APNIC для Азиатско-Тихоокеанского региона.
Вся маршрутизация трафика в интернете строится на BGP (Border Gateway Protocol), который использует номера автономных систем для обмена информацией о доступности сетей. Подробнее о работе BGP можно прочитать в документации Cloudflare. Каждый раз, когда ваш сайт посещает пользователь, его IP-адрес однозначно привязан к определённой автономной системе. По этому номеру можно понять, из какой сети пришёл трафик:
Именно эта информация делает анализ номеров автономных систем ценным инструментом для защиты сайта. Домашний провайдер означает реального человека за компьютером. Дата-центр — чаще всего скрипт, бот или автоматизированный инструмент.
Автоматизация и вредоносный трафик почти всегда исходят из одних и тех же автономных систем. Это не случайность — владельцы ботнетов арендуют серверы там, где это дёшево, анонимно и удобно:
BotBlocker использует ASN как один из ключевых сигналов при оценке трафика. Это даёт три практических преимущества:
Можно сразу заблокировать трафик с известных дата-центров или облаков, которые не используются реальными пользователями. Если ваш сайт продаёт товары для физических лиц, трафик из Amazon AWS или DigitalOcean почти наверняка не ваша целевая аудитория.
При обнаружении подозрительной активности можно быстро понять, идёт ли атака с домашнего интернета или с серверов Amazon, DigitalOcean, Google Cloud и других платформ. Это помогает правильно настроить ответные меры и не заблокировать случайно реальных посетителей.
Можно разрешить или запретить трафик с конкретных автономных систем для разных задач. Например, разрешить российские мобильные сети, но заблокировать весь Amazon AWS. Или открыть доступ для Googlebot, у которого тоже есть свой номер автономной системы, но закрыть все остальные облачные сервисы.
Для этого используются открытые базы данных RIPE, ARIN, APNIC и инструменты whois или IP lookup. Любой IP-адрес можно проверить и узнать, к какой автономной системе он относится, а значит — кто владеет этим диапазоном адресов. Один из удобных публичных инструментов — Hurricane Electric BGP Toolkit. Он показывает владельца, страну регистрации и список IP-диапазонов, входящих в автономную систему.
Такие проверки занимают секунды, но дают чёткое понимание: трафик идёт от живого человека или от инфраструктуры, арендованной для автоматических запросов.
Не каждый IP из дата-центра — это угроза, но статистически именно оттуда исходит основная доля нежелательного трафика. Принято выделять несколько групп риска:
Репутационные базы данных, такие как Spamhaus ASN Drop List, публично публикуют списки автономных систем с плохой репутацией. Это позволяет строить фильтрацию не только на ручном анализе, но и на актуальных данных об угрозах.
Это сеть, работающая под управлением одного оператора и имеющая уникальный номер в системе интернет-маршрутизации. Оператор сам определяет правила, по которым трафик входит и выходит из его сети.
Да, крупные компании или операторы часто используют несколько номеров для разных сетей и направлений. Например, один провайдер может иметь отдельные автономные системы для мобильных пользователей, корпоративных клиентов и дата-центров.
Это позволяет блокировать массовых ботов, атаки из дата-центров и анонимайзеров, оставляя доступ реальным пользователям. Такой подход работает быстрее, чем анализ каждого IP-адреса по отдельности, и даёт лучшие результаты при массовых атаках.
Да. Блокировка по номеру автономной системы — быстрый способ отсечь сразу все IP-адреса определённого провайдера или дата-центра. Это особенно эффективно при DDoS, когда атака идёт с тысяч адресов, но все они принадлежат одной-двум автономным системам.
Поисковые боты (Googlebot, Yandex Bot) работают из собственных автономных систем и при правильной настройке могут быть исключены из блокировок. Поэтому грамотная фильтрация по ASN не вредит индексации, а только убирает нежелательный трафик.
