DDoS снова «переобулся»: как изменился ландшафт угроз в I квартале 2026 года
PRGarda 12 минут назад DDoS снова «переобулся»: как изменился ландшафт угроз в I квартале 2026 года Простой 4 мин 350 Блог компании Компания «Гарда» Информационная безопасность * Аналитика В конце 2025 года мы наблюдали...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. PRGarda 12 минут назад DDoS снова «переобулся»: как изменился ландшафт угроз в I квартале 2026 года Простой 4 мин 350 Блог компании Компания «Гарда» Информационная безопасность * Аналитика В конце 2025 года мы наблюдали значительный рост числа «атак с усилением» и «атак с фрагментацией». Казалось, что атакующие исчерпали ресурсы ботнетов и решили компенсировать это, задействуя незаражённые устройства. Но уже в первом квартале 2026 года картина изменилась.
Существенно выросло число атак с использованием TCP и UDP. Доли TCP ACK и TCP SYN стали примерно равны, а также увеличилась доля TCP SYN/ACK. Всё это говорит о росте ботнет-структур и их массовом применении в атаках на сервисы.
Технические детали
Что это означает для защиты — разбираемся под катом. Эффект дежавю, или когда графики снова выглядят знакомоГод назад профиль атак выглядел довольно прямолинейно. Существенную долю занимали техники TCP ACK (около 42%).
В четвёртом квартале 2025 года тактика сменилась: атакующие переключились на техники, в которых можно задействовать незаражённые устройства — DNS amplification и IP fragmentation. Эти методы позволяют замаскировать активность конкретных злоумышленников, так как фактически сервис атакуют устройства обычных пользователей. При этом сами атаки не имеют каких-либо характерных признаков, а командам ИБ приходится решать задачи по отделению атакующей и легитимной активности с одних и тех же устройств.
Более того, эти техники позволяют довольно эффективно обходить простые геофильтры. Распределение DDoS-атак по типамПочему изменился векторВ 2025 году значительная доля обнаруженных уязвимостей (более 30%) относилась к сетевому оборудованию, что создало серьёзные предпосылки для роста заражённых устройств. Также увеличилась доля заражённых IoT и мобильных устройств.
Отраслевые последствия
Накопив достаточный объём контролируемых устройств и каналов передачи данных, злоумышленники смогли интенсифицировать атаки по протоколам TCP и UDP так, что на их фоне объём «атак с усилением» и «атак с фрагментацией» стал выглядеть «скудно». Следует понимать, что рост долей TCP и UDP — это не совсем «откат» к аналогичному периоду 2025 года. Атаки не стали проще — фактически атакующим удалось скачкообразно нарастить базу ботнет-устройств.
DDoS-атаки превратились в полноценный SaaS-сервис. В результате злоумышленники получили стабильную материальную базу. Кроме того, компаниям все сложнее и дороже обходится покупка высокопроизводительных устройств и платформ для защиты от DDoS.
Потребители зачастую отдают предпочтение покупке более дешёвых устройств от сомнительных производителей, что, напротив, расширяет возможности атакующих. Отрасли-мишени: кажущаяся внешняя стабильностьВ отраслевом разрезе картина, на первый взгляд, выглядит более спокойной. Однако эта внешняя стабильность обманчива.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
