DDoS-атака, от англ. Distributed Denial of Service - распределенный отказ в обслуживании, - вид кибератаки, при котором на сайт, сервер или другую онлайн-службу одновременно поступает огромный поток запросов с множества устройств, чтобы перегрузить систему и сделать ее недоступной для обычных пользователей. Ее принято считать старым и не очень актуальным классом угроз. В медиаповестке ее давно потеснили крупные утечки данных, кибермошенники выманивающие миллионы и кибершпионаж с применением ИИ. Однако проблема шире, чем кажется, так как нынешний DDoS - это не примитивный технический флуд 90-х, а многовекторный инструмент, который одновременно служит прикрытием для более скрытных атак на инфраструктуру.
Первые задокументированные DDoS-атаки относятся к середине 1990-х годов. С тех пор интернет вырос в тысячи раз, появились специализированные системы защиты, а правоохранители разных стран регулярно ликвидируют ботнеты. Тем не менее атаки не только не исчезли, но и стали значительно более разрушительными. По данным Red Security, общее число DDoS-атак на российские компании в 2025 году превысило 186 тыс. - в 2,7 раза больше, чем годом ранее. А согласно информации ГК "Солар", на одну российскую организацию в среднем пришлось более 900 атак за год. И нет никаких причин считать, что данные за 2026 год покажут другую динамику.
Параллельно произошло структурное изменение угроз. Согласно отчету Curator за второй квартал 2026 года, крупнейший обнаруженный ботнет - сеть зараженных компьютеров и умных устройств, которой управляют хакеры для кибератак, рассылки спама и кражи данных, - насчитывал 2,09 млн устройств, что ощутимо меньше рекорда первого квартала - 13,5 млн. Снижение связывают с международной операцией правоохранительных органов США, Канады и Германии, уничтожившей инфраструктуру ботнетов Aisiru и Kimwolf. Однако эксперты компании считают, что фундаментальные причины появления гигантских ботнетов не устранены, а ликвидация ботнетов в ходе международных операций носит временный характер: их операторы быстро восстанавливают инфраструктуру, а ИИ-инструменты автоматизации заражения делают этот процесс дешевле. Во втором квартале 2026 года 46,8% атак пришлось на атаки на уровне приложений, имитирующие поведение реального пользователя и с трудом поддающиеся традиционной фильтрации.
Главные мишени - финтех (31,9% всех инцидентов), ИТ и телеком (16,8%), медиа (14,0%), электронная коммерция (12,0%) и онлайн-ставки (9,0%). По длительности лидирует ретейл: максимальная продолжительность одной атаки во втором квартале составила 79,9 часа - в четыре раза больше, чем кварталом ранее. А атака на один российский банк длилась более 24 часов. Главными источниками вредоносного трафика стали США (15,9%), Вьетнам (9,5%) и Россия (7,2%). Ключевая тенденция: доля топ-5 стран практически не меняется - 41,9%, тогда как источники за пределами топ-20 продолжают расширяться. Организаторы атак диверсифицируют географию инфраструктуры DDoS-атак, делая простую географическую блокировку трафика неэффективной.
"Организатора DDoS-атак не всегда удается установить. Часто злоумышленники не выходят на связь и не выдвигают никаких требований. Такие атаки чаще всего связаны с хактивизмом", - объясняет Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE. По его словам, если после начала атаки компания получает письмо с требованием выкупа, речь идет о финансово мотивированных группировках, которые заранее ищут недостаточно защищенные организации и проводят короткую тестовую атаку для демонстрации возможностей. Отдельный сценарий - использование DDoS как дымовой завесы: пока ИТ-служба отражает DDoS-атаку , злоумышленники пытаются проникнуть в инфраструктуру или похитить данные.
По оценке BI.ZONE AntiDDoS, если раньше атака мощностью в несколько терабит стоила тысячи долларов, то сегодня ее можно заказать примерно за сто долларов.
Отдельный рынок сформировался вокруг модели DDoS-as-a-Service - теневой коммерческий сервис, который позволяет заказать мощную кибератаку через простой веб-интерфейс без технических знаний. Пользователь выбирает цель, мощность, время и платит деньги, часто криптовалютой. Самый известный из подобных сервисов насчитывает около миллиона зарегистрированных пользователей.
"Основная сложность в том, что современный DDoS-трафик очень похож на легитимный пользовательский, а атаки идут одновременно с большого количества устройств и постоянно меняют сценарии. Поэтому универсального способа "просто заблокировать IP-адреса" не существует - защита строится на сочетании различных механизмов фильтрации, анализа поведения трафика и масштабируемой инфраструктуры", - говорит Павел Пархомец, руководитель продукта PT Cloud Application Firewall компании Positive Technologies. Валерия Свалова, директор по маркетингу и PR Swordfish Security, добавляет: "DDoS-атака успешна ровно настолько, насколько уязвимы развернутые средства защиты. Сегодняшние атаки представляют собой сложную многовекторную комбинацию действий, и обнаружение такого удара требует колоссальных ресурсов, которые есть далеко не у каждой компании". По ее оценке, основной риск DDoS - не прямые потери от простоя, а репутационные потери и риск утечек данных, ведущих к регуляторным штрафам. Наиболее надежным ответом Свалова считает технологическую зрелость и внедрение практик DevSecOps на протяжении всего жизненного цикла разработки.
Для России DDoS приобрел особое политическое измерение в 2022 году: тогда число атак на российские компании выросло в восемь раз. Давление с тех пор не снижается. По данным Kaspersky DDoS Protection, за январь - май 2026 года число атак в России и ряде стран СНГ выросло на 27% год к году. В апреле 2026 года зафиксирован отдельный всплеск - рост на 61% к апрелю 2025-го; среди ключевых факторов - расширение доступности платформ DDoS-as-a-Service и активизация IoT-ботнетов. Наиболее пострадавшими остаются телеком, финансы и государственные организации.
Несмотря на то что субъекты критической информационной инфраструктуры (КИИ) обязаны применять сертифицированные средства защиты, а статья 274.1 УК РФ предусматривает до 10 лет лишения свободы за атаки на объекты КИИ, Россия регулярно входит в 3-5 крупнейших источников DDoS-атак в мире - 7,2% во втором квартале 2026 года. Значительная часть атакующей российские компании инфраструктуры находится на отечественных же IP-адресах, и противодействие таким ботнетам требует системной работы с операторами связи.
Если исходить из темпов первого полугодия 2026 года, число терабитных атак продолжит расти. По оценке аналитиков Curator, в третьем квартале 2026 года следует ожидать роста атак на сегмент онлайн-ставок в связи с финальной стадией чемпионата мира по футболу. Также под угрозой находятся небольшие компании, которые не могут или не хотят тратить ресурсы на адаптацию к реальности, в которой терабитная атака стоит заказчику несколько сотен долларов, а минута простоя сервиса - сотни тысяч рублей. Пока эта асимметрия сохраняется, рынок DDoS-атак будет расти.