DDoS-атаки на российский бизнес выросли в разы и растянулись почти на месяц непрерывного давления

DDoS-атаки на российский бизнес выросли в разы и растянулись почти на месяц непрерывного давления

источник: dall-e

За первое полугодие 2026 года суммарная длительность DDoS-атак на облачную инфраструктуру российских компаний почти сравнялась с показателем за весь предыдущий год. Один клиент Selectel пережил свыше 10 тысяч инцидентов за календарный месяц, а другой находился под ударом 795 часов подряд. Мощнейшая волна достигла 870 Гбит в секунду.

Данные приводит Selectel в аналитическом отчёте по итогам января — июня 2026 года. Исследование опирается на статистику собственного сервиса защиты от DDoS и охватывает активность против облачных ресурсов клиентов провайдера.

За шесть месяцев система Selectel отразила 88 618 атак против 61 212 годом ранее. Рост составил 45%. В среднем инфраструктура защиты обрабатывала 14 770 инцидентов в месяц или почти 490 попыток перегрузки каналов в сутки.

Такой объём уже сложно воспринимать как редкую чрезвычайную ситуацию. Для облачного провайдера DDoS превратился в постоянный поток, который фильтруется круглосуточно без участия пользователя.

Отмечается, что пока один клиент спокойно открывает сайт, защитная система параллельно может отбивать сотни тысяч соединений, созданных заражёнными устройствами и арендованными серверами по всему миру.

Один клиент столкнулся с 10 522 атаками за месяц

Наибольшее число атак против одной компании за календарный месяц впервые перевалило пятизначную отметку. Один клиент Selectel зафиксировал 10 522 инцидента. За первое полугодие 2025 года крупнейший показатель составлял 4 156 атак, разница почти в 2,5 раза.

Отдельные организации становятся постоянными целями, а не случайными жертвами автоматического сканирования. Злоумышленники многократно возвращаются к одной инфраструктуре, меняют тип трафика, проверяют разные порты и наблюдают за реакцией защиты.

Для российских пользователей это означает риск потерять доступ к привычным сервисам в любой момент — от онлайн-банка до маркетплейса, где идёт распродажа.

Характер повторных волн описывается несколькими признаками:

  • разные подсети источников от волны к волне;
  • смена набора TCP-флагов;
  • перебор портов и протоколов;
  • рост интенсивности после каждой отбитой попытки;
  • переключение между усилением и прямыми атаками.

Крупнейшая атака полугодия достигла 870 Гбит в секунду. Годом ранее максимум составлял 204 Гбит в секунду. Разница превышает четыре раза.

Поток в сотни гигабит заполняет канал связи до того, как трафик доберётся до прикладного сервера. Даже производительная инфраструктура не справится, если входящий канал физически не принимает поступающий объём. Целью такой атаки становится не приложение, а вся сетевая труба, через которую пользователи подключаются к сервису.

Максимальная скорость поднялась со 100 до 369 млн пакетов в секунду. Высокий Mpps опасен для сетевого оборудования даже при небольшом размере каждого пакета. Маршрутизатору или балансировщику приходится отдельно обрабатывать каждый элемент, проверять заголовки и принимать решение о маршрутизации.

Если пакеты мелкие, общий объём трафика выглядит не рекордным, но число операций перегружает процессоры и таблицы соединений. Разница напоминает контраст между грузовиком с одним тяжёлым контейнером и сотнями миллионов мелких посылок. Система тратит ресурсы не столько на объём груза, сколько на обработку каждой единицы.

Михаил Тимаев, руководитель отдела технического пресейла IT Task, связал рост мощности с расширением доступных злоумышленникам вычислительных и сетевых ресурсов. По его оценке, атакующие научились эффективнее координировать эти мощности и объединять их в общий поток.

Источниками служат заражённые маршрутизаторы, камеры, серверы, домашние компьютеры и арендованные виртуальные машины в разных странах. Каждый узел отправляет сравнительно небольшой объём данных, а миллионы устройств создают распределённый удар.

Для владельца заражённой камеры или роутера активность остаётся незаметной, устройство продолжает работать и параллельно участвует в ботнете. Для российских пользователей риск двойной — их роутеры и телевизионные приставки могут стать частью атаки против отечественного банка или магазина.

Общая продолжительность выросла в 2,3 раза

За январь — июнь суммарная длительность DDoS-атак составила 22 101 час против 9 652 часов годом ранее. Рост в 2,3 раза. Полугодовой показатель почти сравнялся с результатом за весь 2025 год, тогда общая длительность достигла 22 743 часов.

За шесть месяцев злоумышленники создали практически столько же времени вредоносного воздействия, сколько годом ранее за двенадцать. Каждая отдельная кампания стала жить дольше, короткий импульс на несколько минут ушёл в прошлое. Давление сохраняется часами, днями и неделями.

Максимальное время воздействия на одну компанию за календарный месяц достигло 795 часов, почти 33 суток непрерывной активности. Для жертвы это выглядит как бесконечная атака, где одна волна сменяется следующей. Злоумышленники ненадолго снижают интенсивность, а затем снова наращивают поток. Защитная команда не получает ясного момента, когда инцидент можно считать закрытым.

Даже при сохранении доступности сервиса необходимость неделями фильтровать вредоносный трафик увеличивает расходы. Провайдеру требуются вычислительные мощности, каналы и специалисты. Компании приходится постоянно контролировать состояние приложений, общаться с клиентами и проверять, не используют ли злоумышленники DDoS как отвлекающий манёвр.

Пока сотрудники заняты доступностью сайта, параллельные операции нередко включают фишинг, попытку проникновения или кражу данных. Для российских пользователей это оборачивается риском потерять деньги и учётные записи.

Стоит обратить внимание, что даже успешно отражённый DDoS способен дорого обойтись компании, если защита требует постоянного ручного вмешательства и отвлекает специалистов от других угроз, работающих под прикрытием шума.

TCP PSH ACK Flood и TCP SYN Flood собрали 58% инцидентов

Наиболее частыми методами стали TCP PSH ACK Flood и TCP SYN Flood. Вместе они сформировали 58% всех зафиксированных инцидентов.

TCP PSH ACK Flood создаёт поток пакетов с установленными флагами PSH и ACK. Такие пакеты выглядят как часть существующего соединения и заставляют систему тратить ресурсы на обработку данных. При большом числе запросов сервер, балансировщик или межсетевой экран расходует мощности на ложную активность.

TCP SYN Flood строится на механике установления соединения. Клиент отправляет пакет SYN, сервер отвечает и резервирует ресурсы, ожидая завершения рукопожатия. Злоумышленник создаёт огромное число незавершённых подключений, таблица соединений заполняется, новые пользователи не подключаются.

Признаки распространённых техник выглядят так:

  • флуд PSH ACK с имитацией активных сессий;
  • SYN Flood с миллионами полуоткрытых соединений;
  • UDP Flood без установления сессии;
  • отражённые атаки через сторонние серверы;
  • быстрая смена метода при адаптации фильтра.

По сравнению с первым полугодием 2025 года распределение стало разнообразнее. Доля UDP Flood увеличилась, а в январе на TCP SYN ACK Reflection пришлось свыше трети всех атак. Система защиты не может быть настроена на один шаблон, ей приходится распознавать десятки вариантов одновременно.

При отражённой атаке злоумышленник посылает запросы сторонним системам, подставляя адрес жертвы как источник. Серверы отвечают уже на адрес цели. Жертва получает трафик от множества легитимных узлов, которые сами не являются частью преступной группы. Блокировка каждого отвечающего сервера рискует нарушить доступ к полезным ресурсам.

Простого запаса пропускной способности уже мало

Антон Ведерников, руководитель направления продуктовой безопасности Selectel, сообщил о рекордной активности за первое полугодие. По оценке Антона Ведерникова, число инцидентов, мощность и длительность отдельных кампаний продолжают расти. DDoS уже нельзя воспринимать как редкое происшествие, возникающее раз в несколько лет.

Раньше компании рассчитывали, что широкий канал выдержит большинство атак. Показатель в 870 Гбит в секунду показывает ограниченность такой стратегии. Держать подобный запас самостоятельно слишком дорого, а пакеты перегрузят оборудование раньше, чем закончится пропускная способность.

Нужна распределённая система очистки, принимающая трафик в нескольких точках и отбрасывающая вредоносные запросы до входа в инфраструктуру клиента. Автоматическая адаптация тоже обязательна — фильтр должен распознавать смену техники без длительной ручной настройки. При переходе с SYN Flood на UDP или отражённый трафик защита должна быстро перестроиться.

Для российских пользователей уязвимость крупных сервисов оборачивается конкретным ущербом. У интернет-магазина это пропущенные заказы, у банка — невозможность войти в приложение, у игровой платформы — массовый уход пользователей. Долгая атака усиливает потери, поскольку клиенты начинают искать альтернативные сервисы.

Основные проявления рисков для рядового пользователя:

  • недоступность онлайн-банка в момент оплаты;
  • сорванные заказы на маркетплейсах во время распродаж;
  • обрыв сессий в госсервисах при подаче документов;
  • задержки видеотрансляций и стриминга;
  • невозможность связаться со службой поддержки.

План реагирования больше не должен исходить из того, что атака закончится через час. Организациям нужно рассчитывать на работу под давлением в течение дней и недель. Заранее определяются ответственные, порядок связи с провайдером и процедура изменения маршрутизации. Нужны резервные каналы, распределение нагрузки и контроль состояния критических сервисов.

Смена сотрудников не менее значима. Одна группа специалистов не должна круглосуточно следить за атакой в течение недели, усталость повышает вероятность неверных решений. Автоматизация мониторинга и понятные инструкции снижают нагрузку.

Большой поток трафика привлекает внимание специалистов и создаёт множество событий в журналах. Злоумышленники используют этот шум для параллельного проникновения. Пока команда занимается доступностью, атакующий проверяет пароли, веб-приложения или удалённые сервисы. После продолжительной атаки полезно проверить, не появились ли новые пользователи, файлы или подключения. Восстановление доступности не означает, что операция закончилась без других последствий.

Редакция CISOCLUB считает, что цифры Selectel фиксируют качественный сдвиг в модели угроз, а не очередной сезонный всплеск. Когда мощность за год вырастает вчетверо, а длительность — вдвое, у российских компаний исчезает окно для реактивных решений.

Мы полагаем, что защита от DDoS должна закупаться и настраиваться до появления первого крупного инцидента, а не после падения сайта в разгар продаж. Отдельного внимания заслуживает риск использования DDoS как ширмы для целевых атак — команды информационной безопасности обязаны сохранять контроль над идентификацией и веб-приложениями даже в момент максимального давления на каналы. Мы также обращаем внимание, что домашние роутеры и IoT-устройства российских пользователей всё чаще становятся частью ботнетов, направленных против отечественной инфраструктуры, и это требует широкой просветительской работы. Итоговый вывод редакции — рынку нужны не отдельные фильтры, а зрелые процессы реагирования, рассчитанные на многодневные кампании.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: