Трафик, который нельзя игнорировать: какие ИБ-риски скрываются в DNS

Трафик, который нельзя игнорировать: какие ИБ-риски скрываются в DNS

изображение: grok

Исследование по данным DNS-трафика клиентов SkyDNS за январь–май 2026 года

В информационной безопасности есть распространенная ловушка: если угроза занимает небольшую долю от общего трафика, ее легко принять за статистический шум. На фоне миллиардов легитимных DNS-запросов доли в десятые и сотые процента могут выглядеть незначительно. Однако именно в таких небольших долях часто скрываются риски.

DNS-трафик долго воспринимался как технический фон. Пользователь открыл сайт, приложение обратилось к API, система проверила обновления — все это начинается с DNS-запроса и обычно не привлекает внимания ИБ-команд. Но с точки зрения расследования и раннего обнаружения DNS – это один из первых уровней, где видна подозрительная активность. До загрузки файла, до сетевого соединения, до C2-сессии устройство сначала разрешает доменное имя.

В этом статье рассмотрены данные DNS-трафика клиентов SkyDNS за январь–май 2026. Цель анализа — показать, как меняется доля ИБ-событий, какие категории угроз дают основной вклад и почему даже небольшие проценты в DNS-трафике могут иметь практическое значение для корпоративной безопасности.

Главный вывод: малый процент не означает малый риск. В абсолютных значениях речь может идти о десятках миллионов событий, каждое из которых потенциально могло стать началом инцидента или сигналом о проблеме в инфраструктуре.

Методология

Всего с января по май 2026 года мы обработали 32,2 млрд DNS-запросов. Однако в SkyDNS весь трафик делится на несколько крупных групп. В этом исследовании мы рассматриваем только трафик по 9 категориям по информационной безопасности: фишинг и тайпсквоттинг, малварь, ботнеты и C2-коммуникации, запаркованные домены, DNS-туннелирование, DGA, ransomware, криптоджекинг и недавно зарегистрированные домены. Эти категории важны как сигналы о разных сценариях риска.

Другие группы трафика — контентные категории и приложения. К ним относятся, например, сайты для взрослых, азартные игры, видеостриминги, файловые хранилища, VPN-сервисы, CRM-системы, мессенджеры, и др. Такие категории помогают управлять доступом, соблюдать внутренние политики и контролировать нагрузку на сеть.

Динамика ИБ-трафика

Всего за январь–май 2026 года в сетях наших клиентов было зафиксировано 251,2 млн запросов к потенциально опасным доменам. Из них более 140 млн было заблокировано, что составляет около 56% от всего трафика.

Объем ИБ-блокировок увеличивался почти весь период: с 20,2 млн в январе до 38,1 млн в мае, т.е. за пять месяцев показатель вырос примерно в 2 раза.

Рисунок 2. Распределение ИБ-блокировок по месяцам с января по май 2026 г.

Самый заметный скачок пришелся на май: после уровня около 29,2 млн блокировок в марте и апреле показатель поднялся до 38,1 млн. Рост ИБ-блокировок может быть связан как с увеличением общего DNS-трафика, так и с активизацией отдельных категорий угроз. При этом рост блокировок не означает рост успешных атак: он показывает, что стало больше попыток обращения к потенциально опасным ресурсам, которые были остановлены на DNS-уровне.

Для ИБ-команд такая динамика важна не только как статистика. Она показывает, что подозрительная активность не распределяется равномерно. В отдельные периоды одни категории могут усиливаться, другие — снижаться, а затем снова возвращаться к пиковым значениям. Поэтому DNS-данные важно анализировать не только в разрезе общего объема, но и по месяцам, категориям и источникам активности.

Какие категории чаще всего блокировались

Если смотреть на ИБ-блокировки за январь–май 2026 года, видно, что основной объем формируют несколько категорий. При этом каждая из них отражает разные типы риска: от прямого обращения к вредоносным ресурсам до скрытых каналов передачи данных и признаков уже произошедшей компрометации.

Рисунок 2. Кол-во блокировок для каждой ИБ-категории за январь-май 2026

Самая крупная категория — это малварь или сайты, распространяющие вредоносные объекты. За пять месяцев по ней было зафиксировано 43,5 млн блокировок. В эту группу попадают ресурсы, связанные с распространением вредоносного ПО, загрузкой опасных файлов, скриптов или других объектов, которые могут использоваться для заражения устройства. Высокая доля этой категории показывает, что значительная часть опасных обращений связана не только с фишингом, но и с попытками доставки вредоносного содержимого.

На втором месте — фишинг и тайпсквоттинг: 34,9 млн блокировок за рассматриваемый период. Эта категория остается одной из самых массовых, потому что фишинговые ресурсы используются в разных сценариях: от кражи учетных данных до подготовки более сложных атак. Пользователь может попасть на такую страницу из письма, мессенджера, рекламного перехода, поддельного уведомления или через скомпрометированный сайт.

Третья категория по объему — это DNS-туннелирование: 19,6 млн блокировок. Ее значение особенно важно не только из-за количества событий, но и из-за характера угрозы. DNS-туннели часто выглядят как обычные DNS-запросы, но могут использоваться для скрытой передачи данных, команд или сигналов вредоносной инфраструктуре. Это один из тех сценариев, где отдельный запрос может не выглядеть подозрительно, а риск становится заметен только при анализе поведения.

Далее идут ботнеты с 16,9 млн блокировок. Эта категория показывает обращения, которые могут быть связаны с зараженными устройствами и попытками взаимодействия с управляющей инфраструктурой. Для ИБ-команды такие события особенно важны: они могут указывать не просто на посещение опасного ресурса, а на то, что устройство уже пытается связаться с внешним центром управления.

Криптомайнинг показал 12,8 млн блокировок. На первый взгляд эта категория может казаться менее критичной, чем фишинг или C2, но в корпоративной инфраструктуре она часто указывает на скрытое использование вычислительных ресурсов. Кроме нагрузки на устройства и рост энергопотребления, такая активность может быть признаком компрометации хоста.

Запаркованные домены составили 7,1 млн блокировок. Сами по себе они не всегда являются вредоносными, но могут использоваться в рекламных, серых или временных схемах, а также становиться частью подозрительной инфраструктуры. Для ИБ они важны как категория повышенного внимания, особенно если к таким доменам обращаются корпоративные устройства.

Недавно зарегистрированные домены дали 5,7 млн блокировок. Мы выделяем в отдельную категорию, потому что такие домены часто используются в фишинговых кампаниях, временной C2-инфраструктуре и одноразовых атаках. Они могут еще не попасть в классические базы угроз, но уже использоваться злоумышленниками.

DGA и ransomware в этой выборке занимают меньший объем — 0,6 млн и 0,4 млн блокировок соответственно. Но низкий объем не делает эти категории второстепенными. DGA может быть признаком работы вредоносного ПО, которое перебирает сгенерированные домены в поисках командного сервера. Ransomware-категория связана с одним из самых критичных классов угроз, где даже единичные события требуют внимания.

Рисунок 3. Изменение блокировок для ТОП-3 категорий в период январь-май 2026.

Если смотреть на динамику ТОП-3 категорий по объему, то фишинг показал один из самых заметных скачков: с 3,4 млн блокировок в январе до 11,6 млн в мае. Это не означает, что все такие обращения привели к успешным атакам, но сигнализирует о том, что попыток взаимодействия с фишинговыми ресурсами стало значительно больше.

Мальварь также заметно усилилась к маю: если в январе было зафиксировано 7,6 млн блокировок, то в мае — уже 15,1 млн. Это почти двукратный рост. Особенно заметным оказался скачок после марта: с 5,7 млн блокировок в марте до 15,1 млн в мае. Такие обращения могут быть связаны с попытками загрузки вредоносных файлов, скриптов, дополнительных модулей или других опасных объектов.

DNS-туннелирование вело себя менее равномерно: после пика в феврале и снижения в марте–апреле показатель снова вырос до 5,6 млн блокировок в мае. При этом майское значение оказалось примерно на 40% выше январского уровня. Такая динамика показывает, что разные типы угроз развиваются по-разному: одни демонстрируют устойчивый рост, другие — волнообразную активность с периодическими всплесками.

Именно поэтому DNS-трафик важно анализировать не только по общему количеству блокировок. Разные категории требуют разной реакции. Фишинг часто ведет к проверке почтовых событий и учетных записей. C2 и ботнеты требуют анализа хоста и сетевых соединений. DNS-туннелирование требует проверки поведения устройства и структуры запросов. Недавно зарегистрированные домены и DGA помогают выявлять ранние признаки новых кампаний или работы вредоносного ПО.

Как менялась доля блокировок по дням недели

Отдельный срез по дням недели показал интересную закономерность: средняя доля блокировок растет к концу недели и достигает максимума в выходные. В понедельник она составляет около 0,154%, в пятницу — 0,196%, в субботу — 0,202%, в воскресенье — 0,205%.

Рисунок 4. Средняя доля ИБ-блокировок по дням недели

Разница между понедельником и воскресеньем составляет примерно 33%. Это не обязательно означает, что в воскресенье происходит больше атак в абсолютных числах, но это показывает, что доля подозрительной активности в общем трафике становится выше.

Возможных объяснений несколько. В выходные меняется структура использования сети: снижается объем легитимной деловой активности, но часть автоматических процессов продолжает работать. Некоторые устройства остаются включенными без активного пользователя. На фоне уменьшения нормального трафика могут становиться заметнее отложенные задачи, beaconing, попытки C2-связи или активность узлов, которые не должны обращаться наружу в нерабочее время.

Для ИБ-команд это практический вывод: выходные и ночные часы не должны выпадать из мониторинга. Иногда подозрительная активность становится заметнее именно тогда, когда обычного корпоративного трафика меньше.

Что важно запомнить

За пять месяцев DNS-трафик показал, что киберриски не выглядят как один большой всплеск. Чаще они прячутся в миллионах отдельных запросов: к фишинговым страницам, вредоносным ресурсам, C2-инфраструктуре, DNS-туннелям и недавно зарегистрированным доменам.

С января по май 2026 года в DNS-трафике наших клиентов было зафиксировано 251,2 млн запросов к потенциально опасным доменам. Более 140 млн из них были заблокированы, а объем ИБ-блокировок за период вырос почти в два раза. Это показывает, что подозрительная активность не просто присутствует в сети, а меняется во времени и требует постоянного наблюдения.

Основной вклад дали малварь, фишинг и тайпсквоттинг, DNS-туннелирование, ботнеты и C2-коммуникации. За этими категориями стоят разные сценарии: доставка вредоносного содержимого, попытки кражи учетных данных, скрытая передача данных и возможная связь зараженных устройств с управляющей инфраструктурой.

Динамика по месяцам и дням недели показывает, что ИБ-активность распределяется неравномерно. В одни периоды усиливается фишинг, в другие — вредоносные ресурсы или DNS-туннелирование. К выходным доля ИБ-блокировок также становится выше, поэтому DNS-данные важно анализировать не только по общему объему, но и по категориям, времени активности и поведению отдельных устройств.

Главный вывод исследования: даже небольшая доля ИБ-событий в DNS-трафике может означать миллионы потенциально опасных обращений. DNS не заменяет EDR, NGFW или SIEM, но помогает увидеть риск раньше — на этапе первого запроса, еще до загрузки файла, открытия фишинговой страницы, C2-сессии или передачи данных.

Главный вывод исследования: DNS нельзя рассматривать как технический фон. Это ранний источник ИБ-сигналов, который помогает увидеть риск до того, как он проявится на других уровнях.

Для ИБ-команд это означает несколько практических правил:

  • анализировать DNS-трафик не только по общему объему, но и по категориям;
  • смотреть на источники активности, а не только на количество блокировок;
  • не игнорировать категории с малой долей, если за ними стоят критичные сценарии;
  • учитывать время активности, включая выходные и нерабочие часы;
  • связывать DNS-события с EDR, NGFW, почтовыми журналами, прокси и SIEM.

Малый процент в DNS-трафике не равен малому риску. В информационной безопасности важен не только объем событий, но и то, какой сценарий за ними стоит. DNS помогает увидеть этот сценарий раньше — на этапе первого запроса.

SkyDNS
Автор: SkyDNS
SkyDNS — российский разработчик решений превентивного кибербеза. Компания защищает бизнес от сложных атак на уровне DNS — векторе, который часто остаётся незамеченным традиционными средствами ИБ. Решение блокирует вредоносный трафик, фишинг, DGA-активность, а также DNS-туннели и попытки заражённых устройств связаться с C&C-серверами и ботнетами. В основе решения — собственные ML-алгоритмы и анализ больших данных, которые позволяют мгновенно реагировать на угрозы и дают полную картину безопасности корпоративной сети. Система предотвращает утечки данных и автоматически мониторит трафик всех подключённых устройств, включая IoT и BYOD, без участия ИБ-отдела. Миссия SkyDNS — показать, что эшелонированная защита начинается с DNS.
Комментарии: