<b>Как технически доказать ботовый трафик подрядчика, а не спорить на уровне «мне кажется»</b>

<b>Как технически доказать ботовый трафик подрядчика, а не спорить на уровне «мне кажется»</b>

Давайте поднимем логи и посмотрим правде в глаза. Если подрядчик лезет в ваш бюджет через мусорный трафик, эмоции бесполезны — нужны артефакты: server-side логи, clickstream, user-agent, ASN, время жизни сессии, глубина переходов, конверсионные цепочки.

Собирайте не «средние по больнице», а сырые признаки:
— 95% сессий с одинаковым TTL до отказа или конверсии;
— аномально ровный inter-click interval;
— высокий share одного ASN/подсети;
— пустой или шаблонный referer;
— UA-строки без нормальной энтропии, часто с несовместимыми заголовками;
— конверсии без движения по странице, без scroll, без focus, без mouse events.

Дальше смотрим корреляцию. У живого трафика есть разброс: время до клика, паузы, микрособытия, различия по устройствам и браузерам. У фрода паттерн обычно жесткий: один и тот же маршрут, одинаковая последовательность hit’ов, короткий session depth, повторяющиеся IP-кластеры. Ботнеты эволюционируют, но паттерны их поведения остаются прежними — меняется упаковка, не математика.

Чтобы спор превратился в доказательство, фиксируйте:
— raw logs до любых фильтров;
— timestamp в UTC;
— IP, ASN, geo, device fingerprint;
— chain: click_id → landing → event → conversion;
— долю подозрительных сессий по сегментам подрядчика;
— сравнение с контрольным источником трафика.

Если подрядчик не может объяснить, почему его поток дает одинаковые цифровые отпечатки, а ваш трекер видит мертвые сессии без поведения, это не «плохая аудитория». Это технический инцидент. И лечится он не разговором, а блокировкой источника, сегментацией по признакам и сохранением логов для разбора.