Российский бизнес встречает эпоху терабитных DDoS-атак

Российский бизнес встречает эпоху терабитных DDoS-атак

изображение: grok

Мощность DDoS-атак на российские организации выросла до рекордных значений. За первые шесть месяцев 2026 года зафиксированы удары свыше 2 Тбит/с, а количество сверхмощных инцидентов увеличилось в разы. Злоумышленники перешли от коротких перегрузок к многоэтапным операциям с разведкой инфраструктуры и одновременным давлением на несколько уровней защиты.

Центр мониторинга Servicepipe зарегистрировал за первое полугодие атаки, преодолевшие порог 2 Тбит/с. Доля крупнейших инцидентов резко выросла. Год назад удары интенсивностью свыше 100 Гбит/с занимали примерно 3% от общего потока, сейчас их доля дотянулась до 15%.

Во втором квартале один из наиболее заметных ударов достиг мощности 965 Гбит/с при интенсивности более 100 млн пакетов в секунду. Продолжительность подобных операций тоже растёт, короткие всплески уступают место кампаниям, которые длятся сутками.

Стоит обратить внимание, что около 42% всех зафиксированных DDoS-инцидентов уже относятся к продолжительным многоэтапным кампаниям, а не к разовым перегрузкам, как это было ещё пару лет назад.

Директор по клиентским решениям Curator Эдгар Микаелян уточнил, что прямое сопоставление статистики разных центров мониторинга не всегда даёт корректную картину, поскольку каждая компания работает со своей клиентской базой и своей инфраструктурой. Общая траектория при этом просматривается ясно, доля крупнейших инцидентов растёт у всех наблюдателей рынка.

Curator зафиксировал в первом квартале атаку мощностью 2065 Гбит/с с интенсивностью 953 млн пакетов в секунду. Во втором квартале максимум составил 1,6 Тбит/с при 638,55 млн пакетов в секунду.

Эдгар Микаелян обратил внимание на то, что ещё несколько лет назад удары такого масштаба воспринимались как экстраординарные события. Сейчас инциденты за один терабит фиксируются регулярно и перестают удивлять инженеров по защите.

Заметно поменялся сам подход злоумышленников к подготовке ударов. Перед основной атакой они прощупывают инфраструктуру слабым трафиком, собирая данные о её устройстве. Такая разведка позволяет решить сразу несколько задач:

  • определить реальную пропускную способность каналов связи жертвы;
  • выявить скрытые сегменты сети и резервные маршруты;
  • обнаружить наиболее уязвимые узлы инфраструктуры;
  • подготовить удар под конкретную конфигурацию защиты;
  • выбрать оптимальное время для запуска основной волны трафика.

По данным Servicepipe, удары всё чаще направляются не на публичные сервисы, а на внутренние сегменты сети, резервные каналы связи и технические подсети. Эти элементы обычно остаются вне зоны повышенного внимания, а их перегрузка выводит из строя пограничное сетевое оборудование и обваливает основные сервисы без прямой атаки на них.

Руководитель направления подготовки технических решений Servicepipe Павел Акифьев рассказал, что скорость смены векторов атаки настолько высокая, что традиционные средства фильтрации порой не успевают перестроить свои механизмы защиты. Проблема обостряется при сверхмощном трафике или при давлении на редко используемые сегменты, где привычные шаблоны фильтрации попросту не работают.

Продолжительность операций тоже сместилась. Если раньше многие DDoS-удары укладывались в минуты, то теперь инженеры регулярно сталкиваются с инцидентами длительностью от 22 до 36 часов. Отдельные случаи растягиваются значительно дольше, Роскомнадзор ранее сообщал о кибератаке продолжительностью свыше одиннадцати суток с пиком в 885 Гбит/с.

Интересно, что около половины всего объёма DDoS-инцидентов сегодня приходится на уровень приложений, а не на классические сетевые перегрузки, к которым привыкли команды защиты за предыдущие годы.

Эксперт Kaspersky DDoS Protection Вячеслав Кириллов отметил, что атаки на уровень приложений бьют по конкретным элементам бизнес-логики, интерфейсам API и отдельным функциям. Злоумышленники обходят защитные механизмы, которые изначально проектировались под отражение ударов сетевого и транспортного уровней. Классические фильтры трафика против такой точечной работы срабатывают плохо.

Наибольшие проблемы, по словам Вячеслава Кириллова, создают комбинированные операции. Массированная перегрузка сетевой инфраструктуры разворачивается одновременно с атакой на веб-приложения, что резко осложняет автоматическое обнаружение угроз. Для отражения требуется одновременная работа нескольких взаимодополняющих уровней защиты, каждый из которых закрывает свой тип воздействия.

Опрошенные специалисты сходятся в нескольких выводах о происходящем на рынке защиты:

  • терабитные удары перестали быть исключением и становятся регулярным явлением;
  • разведка перед основной атакой превратилась в стандартный этап подготовки;
  • внутренняя инфраструктура организаций попадает под удар всё чаще;
  • продолжительность инцидентов измеряется десятками часов;
  • уровень приложений становится приоритетной целью для атакующих.

Отдельно инженеры выделяют изменение экономики самих атак. Организация мощной кампании перестала быть дорогой и технически сложной задачей, ботнеты сдаются в аренду по прозрачным прайсам, а инструменты автоматизации доступны широкому кругу операторов. Это опускает порог входа и увеличивает общее число попыток, которые фиксируют операторы защиты.

Рынок средств противодействия реагирует на новые условия несколькими способами:

  • расширение пропускной способности фильтрующих узлов до сотен гигабит и терабит;
  • внедрение поведенческой аналитики для распознавания атак на прикладной уровень;
  • построение распределённых систем защиты с разными центрами очистки трафика;
  • использование машинного обучения для выявления медленной разведывательной активности;
  • совместная работа с провайдерами связи для отсечения вредоносного трафика ближе к источнику.

Ранее сообщалось, что специалисты StormWall зафиксировали серию мощных DDoS-атак на российские компании и пришли к выводу, что они могут быть частью подготовки к более масштабной кампании. По данным аналитиков, в период с 20 по 23 июня злоумышленники провели несколько высокоинтенсивных атак с использованием UDP-флуда, маскируя вредоносный трафик под действия обычных пользователей и обращения от доверенных сервисов. Такой подход существенно осложнял выявление атакующего трафика. Максимальная мощность одного из инцидентов достигла 2,56 Тбит/с при интенсивности около 1 млрд пакетов в секунду, что относится к числу наиболее крупных DDoS-атак, с которыми сталкиваются современные системы защиты.

Эксперты редакции CISOCLUB прокомментировали ситуацию с ростом мощности DDoS-атак и заявили, что российским компаниям придётся пересматривать модели угроз с учётом терабитных ударов как штатной, а не исключительной величины. По оценке специалистов редакции, наибольшие риски сейчас несут организации с крупной внешней поверхностью и слабой сегментацией внутренней сети, поскольку удар по резервным маршрутам обваливает и основной сервис. Комбинированные операции против сетевого уровня и уровня приложений требуют пересмотра архитектуры защиты, отдельные точечные решения перестают работать в изоляции.

Редакция уточнила, что бизнесу стоит закладывать в бюджеты расходы не только на увеличение пропускной способности фильтрации, но и на поведенческую аналитику, а также на постоянный аудит внутренних сегментов сети. Отдельно эксперты обратили внимание на необходимость регулярных учений с моделированием продолжительных многоэтапных атак, поскольку именно такие сценарии сейчас доминируют в статистике.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: