В конце 2025 года мы наблюдали значительный рост числа «атак с усилением» и «атак с фрагментацией». Казалось, что атакующие исчерпали ресурсы ботнетов и решили компенсировать это, задействуя незаражённые устройства.

Но уже в первом квартале 2026 года картина изменилась. Существенно выросло число атак с использованием TCP и UDP. Доли TCP ACK и TCP SYN стали примерно равны, а также увеличилась доля TCP SYN/ACK. Всё это говорит о росте ботнет-структур и их массовом применении в атаках на сервисы.

Что это означает для защиты — разбираемся под катом.

Эффект дежавю, или когда графики снова выглядят знакомо

Год назад профиль атак выглядел довольно прямолинейно. Существенную долю занимали техники TCP ACK (около 42%). 

В четвёртом квартале 2025 года тактика сменилась: атакующие переключились на техники, в которых можно задействовать незаражённые устройства — DNS amplification и IP fragmentation. Эти методы позволяют замаскировать активность конкретных злоумышленников, так как фактически сервис атакуют устройства обычных пользователей. При этом сами атаки не имеют каких-либо характерных признаков, а командам ИБ приходится решать задачи по отделению атакующей и легитимной активности с одних и тех же устройств. Более того, эти техники позволяют довольно эффективно обходить простые геофильтры.

Почему изменился вектор

В 2025 году значительная доля обнаруженных уязвимостей (более 30%) относилась к сетевому оборудованию, что создало серьёзные предпосылки для роста заражённых устройств. Также увеличивается доля заражённых IoT и мобильных устройств.

Накопив достаточный объём контролируемых устройств и каналов передачи данных, злоумышленники смогли интенсифицировать атаки по протоколам TCP и UDP так, что на их фоне объём «атак с усилением» и «атак с фрагментацией» стал выглядеть «скудно». 

Следует понимать, что рост долей TCP и UDP — это не совсем «откат» к аналогичному периоду 2025 года. Атаки не стали проще — фактически атакующим удалось скачкообразно нарастить базу ботнет-устройств. DDoS-атаки превратились в полноценный SaaS-сервис. В результате злоумышленники получили стабильную материальную базу.

Кроме того, компаниям все сложнее и дороже обходится покупка высокопроизводительных устройств и платформ, которые используются для защиты от DDoS. Потребители зачастую отдают предпочтение покупке более дешёвых устройств от сомнительных производителей, что, напротив, расширяет возможности атакующих.

Отрасли-мишени: кажущаяся внешняя стабильность

В отраслевом разрезе картина, на первый взгляд, выглядит более спокойной. Однако эта внешняя стабильность обманчива. Безусловно, таких резких перекосов, как в распределении техник, здесь нет. Доли атак на телеком и госсектор после пиковых значений конца 2025 года вернулись к ранее зафиксированному уровню. Но представители этих сегментов по-прежнему остаются «в избранном» у злоумышленников. И говорить о потере интереса пока рано.

Что же изменилось? По большей части перестановки касаются промышленного сектора. В первом квартале 2026 года доля атак на него резко пошла вверх, достигнув отметки 19%. Такой скачок уже сложно объяснить случайными колебаниями. Производства быстро цифровизуются, расширяется поверхность атаки, а защита не всегда за этим поспевает. В результате возникает разрыв между тем, как устроена инфраструктура, и тем, к каким нагрузкам она готова. Это «узкое горлышко» эксплуатируют атакующие. 

Одновременно увеличился интерес к ритейлу и транспорту, а вот доля атак на ИТ стабильно продолжает падать. В поисках «слабого звена» атакующие постепенно смещаются в сегменты, где уровень зрелости защиты ниже.

Почему для ИБ смена DDoS-профиля означает новый вызов

В сценариях с amplification- и fragmentation-атаками ключевую роль играла точность фильтрации и способность корректно распознавать аномалии. Однако при доминировании TCP- и UDP-атак на первый план снова выходит устойчивость инфраструктуры.

Недостаточно просто обнаружить атаку и классифицировать её — необходимо обеспечить, чтобы система могла продолжать работать под нагрузкой. В атаках по TCP/UDP удобно прятать более точечные воздействия на сервисы. В этом месте могут возникать проблемы: некоторые решения хорошо справляются со сложными, но короткими сценариями, однако оказываются менее эффективными при длительном объёмном давлении.

В этих условиях вопрос уже не столько в том, какие техники используют атакующие, сколько в том, насколько долго инфраструктура способна их выдерживать. И для многих систем это оказывается более сложной задачей, чем корректное распознавание даже довольно изощрённых атак.

Что это меняет в подходе к защите

Вся наблюдаемая нами динамика показывает, что атаки больше не развиваются по линейной модели «от простого к сложному». Скорее мы имеем дело с циклическим процессом: защита адаптируется к сложным атакам, после чего злоумышленники снова возвращаются к более простым техникам, но уже в иной конфигурации. При этом сами атаки не становятся проще, в привычном смысле. То, что ещё вчера казалось устаревшим, сегодня вновь оказывается на коне. 

Главный вызов сегодня — не формальная «простота» используемых инструментов, а гибкость и вариативность защиты.

Интересно, как это выглядит у вас на практике: основная нагрузка сейчас связана с попытками обойти фильтрацию или с необходимостью просто выдерживать растущий объём трафика?