Аналитика DDoS-атак за Q1 2026 года

Центр компетенций группы компаний «Гарда» провел анализ изменений ландшафта и особенностей DDoS-атак за первый квартал 2026 года

Цель исследования – определить основные типы атак, которым подвергались компании, и их распределение по отраслям в первом квартале 2026 года.

Распределение DDoS-атак по отраслям в первом квартале 2026 года

В первом квартале 2026 года распределение атак по отраслям частично вернулось к отметкам годичной давности.

Телекоммуникационный сектор — по-прежнему привлекательная мишень для злоумышленников. При этом доля атак на этот сектор (32%) практически откатилась к значениям первого квартала 2025 года после пиковых значений в конце 2025 года (43%). Аналогичная динамика наблюдается и в госсекторе. Это не спад абсолютных значений атак, просто другим секторам стало доставаться от атак сильнее, ввиду меньших возможностей по их отражению.

Снизился интерес атакующих к финансовой отрасли. В первом квартале 2026 года доля атак снизилась на 3 процентных пункта по сравнению с концом 2025 года (с 8% до 5%). Как и в случае с телеком-отраслью и госсектором, это может свидетельствовать о сохранении интереса злоумышленников к этим сферам при одновременном повышении устойчивости отраслей к нападкам.

Сильнее всего выбилась из общей динамики промышленность. В первом квартале 2026 года количество DDoS-атак на предприятия сектора выросло в два раза по сравнению с прошлым годом. Отрасль явно стала одной из новых фавориток. Этому есть несколько причин. Отрасль испытывает дефицит кадров, есть серьёзные проблемы с приобретением оборудования, всё это приводит к тому, что ИБ-инфраструктура промышленных объектов пока ещё недостаточно приспособлена для отражения DDoS-атак.

Отдельно стоит сказать, перераспределении атак между второстепенными для злоумышленников сегментами. В частности, медицинские организации, на которые приходилось до 8% атак в конце 2025 года, в начале 2026 года практически выпали из фокуса атакующих. При этом возросла доля атак на ритейл (с 1% до 6%) и транспорт (с 0% до 2%). Сектор услуг также демонстрирует возврат к началу 2025 года (8% против 9%) и становится «гибким буфером» при перераспределении атак.

Таким образом, на уровне отраслей фиксируется комбинированная динамика. С одной стороны — атакующие вернулись к базовому профилю 2025 года, с другой — усилили давление на отдельные сегменты. Прежде всего это касается атак на промышленность и смежные отрасли.

Распределение DDoS-атак по типам в первом квартале 2026 года

В первом квартале 2026 года структура DDoS-атак заметно изменилась относительно конца прошлого года, частично вернувшись к паттернам, которые доминировали в начале первого квартала 2025 года.

Доли DNS amplification и IP fragmentation, составлявшие в четвёртом квартале 2025 года 38% и 27%, упали до отметок в 7% и 3% соответственно. Тем самым показатели приблизились к уровню первого квартала 2025 года (тогда их доли составляли по 11%). На этом фоне усилились классические нагрузочные техники.

Злоумышленники стали чаще прибегать к атакам с помощью TCP ACK. Их доля в первом квартале 2026 года выросла с 10% до 25%. Хотя отметки начала 2025 года она так и не достигла (42%).

Более агрессивный рост демонстрируют UDP и TCP SYN. Так, доля UDP увеличилась с 10% до 25%, почти вдвое превысив прошлогодние 13%, а доля TCP SYN поднялась с 10% до 22%, закрепив статус одного из основных инструментов атакующих.

В первом квартале 2026 года злоумышленники активно использовали в атаках более сложные вариации TCP-нагрузок. В частности, мы зафиксировали рост TCP SYN/ACK с 1% до 7%.

Несколько вспомогательных техник вернулись к значениям начала 2025 года. TCP_rst вырос до 2% (против 1% в конце прошлого года), GRE — до 4%, а ICMP/ICMPv6 вновь откатился на отметку 3%. В то же время в первом квартале 2026 года злоумышленники отказались от ряда экспериментальных векторов: NTP amplification (2% в четвёртом квартале 2025 года) и L2TP amplification (2% в первом квартале 2025 года). Техники STUN и LDAP amplification сохранили своё присутствие на уровне около 1%.

Текущая структура типов DDoS-атак указывает на формирование гибридной модели распределения нагрузок. Классические TCP/UDP-векторы используются как базовый инструмент, а вспомогательные протоколы (ICMP, GRE и другие) подключаются, когда нужно обойти средства фильтрации и повысить общую результативность атак.

Заключение

Итоги первого квартала 2026 года указывают на системную адаптацию тактик. Злоумышленники постепенно уходят от amplification- и fragmentation-сценариев, доминировавших в прошлом году, и возвращают в арсенал классические TCP- и UDP-нагрузки. При этом полного отката не происходит: восстановление базовых методов сопровождается активным использованием вспомогательных протоколов и ситуативной кастомизацией сценариев. Формируется гибридная модель, где инструменты подбираются под текущую конфигурацию ИБ-инфраструктуры, а не применяются по заранее заданному шаблону.

В отраслевом разрезе ситуация неоднородна. Телеком и госсектор по-прежнему остаются стратегически значимыми мишенями, тогда как промышленность становится для атакующих новой приоритетной целью. Одновременно часть нагрузки перетекает в сегменты с менее зрелой защитой — ритейл и транспортную логистику, что подтверждает общую тенденцию смещения фокуса в сторону менее укреплённых периметров.

Для бизнеса это прямой сигнал. Оптимизация средств защиты под отдельные типы атак теряет практический смысл. Противник быстро меняет профиль нагрузки, реанимирует старые техники и комбинирует их в новых связках.

В текущих условиях устойчивость к DDoS определяется не отдельными модулями фильтрации, а архитектурной готовностью системы: запасом пропускной способности под пиковые нагрузки, гибкостью правил обработки пакетов и скоростью адаптации к смене тактик. Защита перестаёт быть набором точечных правил и превращается в динамическую архитектуру, способную абсорбировать изменения ландшафта угроз без перестройки базовых процессов.