DDoS-атаки стали продолжительнее и мощнее

АО "Селектел" (Selectel) представило аналитический отчет о DDoS-атаках по итогам первого полугодия 2026 г. Исследование основано на данных, полученных с помощью сервиса защиты от DDoS-атак Selectel, и отражает актуальную динамику киберугроз для облачной инфраструктуры российских компаний.
За первое полугодие 2026 г. Selectel отразил 88 618 DDoS-атак на инфраструктуру клиентов. Это на 45% больше, чем за аналогичный период 2025 г. (61 212 атак). В среднем сервис отражал 14 770 атак ежемесячно, или почти 490 атак в сутки. Максимальное количество атак на одного клиента впервые превысило пятизначное значение и достигло 10 522 инцидентов за месяц. Это в 2,5 раза больше, чем максимальный показатель за первое полугодие 2025 г. (4 156 атак).
"В первом полугодии 2026 г. мы зафиксировали рекордные показатели DDoS-активности злоумышленников: растет количество атак, увеличивается их мощность, а отдельные кампании могут продолжаться сотни часов. Если еще некоторое время назад такие атаки воспринимались скорее как исключение, то теперь они становятся постоянным фактором риска для цифровых сервисов. Поэтому защита от DDoS должна быть обязательной мерой в рамках комплексного подхода к обеспечению доступности сервисов 24/7 и устойчивости ИТ-инфраструктуры, а не временным решением, которое подключается только в момент атаки", — отметил руководитель направления продуктовой безопасности Selectel Антон Ведерников.
Мощность атак выросла в несколько раз. За первое полугодие 2026 г. максимальный объем одной атаки достиг 870 Гбит/с - это более чем в четыре раза выше значения за аналогичный период 2025 г. (204 Гбит/с). Максимальная скорость передачи пакетов также существенно выросла: со 100 до 369 млн пакетов в секунду (Mpps). По словам аналитиков Selectel, это означает, что современные атаки способны значительно быстрее перегружать каналы связи и сетевое оборудование.
"Рост мощности DDoS-атак говорит прежде всего о том, что злоумышленники получают доступ к большему объему вычислительных и сетевых ресурсов, а также все эффективнее координируют их использование. При этом для атакующих важна уже не только абсолютная мощность, но и способность быстро менять сценарий атаки и комбинировать разные техники воздействия. Именно такую тенденцию все чаще наблюдает рынок", — рассказал руководитель отдела технического пресейла ООО "АйТи Таск" (IT Task) Михаил Тимаев.
Также за первые шесть месяцев 2026 г. суммарная продолжительность DDoS-атак составила 22 101 час. Это в 2,3 раза больше, чем за аналогичный период 2025 г. (9 652 часа), и практически соответствует общей продолжительности атак за весь 2025 г. (22 743 часа). Если злоумышленники выбирают конкретную цель, атаки могут продолжаться практически непрерывно. Максимальное время, в течение которого один клиент находился под атаками за календарный месяц, достигло 795 часов - почти 33 дня непрерывного воздействия.
"Продолжительность атаки зачастую становится не менее важным фактором, чем ее мощность. Если раньше DDoS нередко использовался как кратковременный способ вывести сервис из строя, то теперь все чаще встречаются длительные кампании, которые могут продолжаться днями и даже неделями. Их задача - не только добиться отказа в обслуживании, но и создать постоянную нагрузку на ИТ- и ИБ-команды, вынудить организацию расходовать ресурсы и увеличить вероятность ошибок при реагировании", — отметил Михаил Тимаев.
По словам аналитиков Selectel, наиболее распространенными типами атак остаются TCP PSH/ACK Flood и TCP SYN Flood. Вместе они составили 58% всех зафиксированных инцидентов. При этом по сравнению с аналогичным периодом 2025 г. структура DDoS-атак стала менее однородной. Растет доля UDP Flood, а в январе была зафиксирована высокая активность TCP SYN/ACK Reflection, сформировавшая более трети всех атак в январе.
