Здравствуй, читатель!
В марте 2026 года несколько моих проектов, связанных с браузерными играми, подверглись масштабной DDoS-атаке. Атакуемые сайты были размещены на незащищенном VPS у одного из российских хостинг-провайдеров. Самостоятельно справиться с атакой не удалось, помимо L7-уровня (HTTP-флуд), атакующие задействовали и L4 (TCP/UDP-флуд), фактически убив канал и ресурсы моего сервера.
В результате для защиты нескольких доменов мне пришлось в экстренном порядке подключать внешнее решение с проксированием трафика. Это обошлось в несколько десятков тысяч рублей и превратилось в регулярные ежемесячные расходы, из-за чего моя пятая точка сильно подгорела и продолжает гореть до сих пор.
Этот опыт пожар подтолкнул меня разобраться, как устроен рынок DDoS-атак сегодня: кто их запускает, как это устроено и сколько это стоит в 2026 году. В ходе исследования серфинга я вышел на так называемые DDoS-стрессеры — сервисы, позволяющие любому желающему за относительно небольшую плату организовать атаку на любой сайт или сервер без какого-либо подтверждения прав на целевой ресурс. Доступ к таким платформам продается исключительно за криптовалюту. Интерфейс этих сервисов предельно упрощен и представляет собой панель управления атаками, в которой задается цель (IP-адрес или URL), указывается длительность атаки в секундах, выбирается метод атаки — L4 (TCP/UDP) или L7 (HTTP), после чего запуск и остановка атак выполняются с помощью одной или нескольких кнопок.
Само существование подобных сервисов давно не является новостью — о первых из них я слышал еще в далеком 2012 году, кажется в том же году создателей этих сервисов и посадили. По сей день против DDoS-стрессеров правоохранительные органы, включая Европол, ФБР и другие национальные службы, регулярно проводят операции под общим названием PowerOFF. В рамках этих мероприятий осуществляется блокировка доменов, изъятие серверной инфраструктуры, установление личности пользователей и создателей подобных сервисов с последующим привлечением их к уголовной ответственности.
Однако у российских компаний, о которых пойдет речь далее, сформировалась своя атмосфера, способствующая тому, что представители англоязычного сегмента киберпреступности постепенно перемещают свою деятельность на российскую инфраструктуру, стремясь сохранить и защитить свой нелегальный бизнес. Речь пойдет о вполне конкретных и известных игроках российского рынка:
Руцентр — один из крупнейших российских регистраторов доменных имен
Рег.Ру — один из крупнейших российских регистраторов доменов и хостинг-провайдеров
DDoS-Guard — компания, специализирующаяся на защите интернет-ресурсов от DDoS-атак
Попадание в этот список компании DDoS-Guard выглядит особенно абсурдно. Позиционируя себя как поставщика защиты от DDoS-атак, она на практике оказывается встроенной в ту самую экосистему, против которой заявляет борьбу, предоставляя услуги защиты DDoS-стрессерам. В результате возникает парадоксальная ситуация: инфраструктура, предназначенная для противодействия атакам, одновременно обслуживает тех, кто эти атаки организует.
Руцентр и Рег.Ру — это, казалось бы, не какие-то "абузоустойчивые" сервисы из серой зоны, а крупные регистраторы с формально действующей идентификацией клиентов и проверкой данных при регистрации доменов. Однако на практике их инфраструктура продолжает использоваться для регистрации доменов, обслуживающих DDoS-стрессеры, а также площадки, где открыто торгуют крадеными банковскими картами, поддельными документами и другими незаконными услугами.
Речь идет не о разовых инцидентах или случайных упущениях. Наблюдаемая картина носит устойчивый, систематический характер. Одни и те же типы ресурсов: DDoS-стрессеры, теневые форумы, площадки с откровенно незаконным контентом — последовательно выбирают для своих доменов именно Руцентр и Рег.Ру.
Ключевой фактор — реакция на жалобы. На практике она либо отсутствует, либо сводится к формальным ответам в духе "обращайтесь в правоохранительные органы, у нас лапки". Такая позиция фактически снимает с регистраторов любую ответственность за происходящее в их зоне контроля.
В результате формируется устойчивая закономерность: киберпреступники осознанно выбирают те компании, где риск последствий минимален. И пока эта ситуация сохраняется, инфраструктура данных регистраторов продолжает использоваться для обслуживания противоправных сервисов — не вопреки заявленным политикам, а вследствие их фактической неэффективности.
В качестве наглядного примера ниже приведена таблица с рядом обнаруженных стрессеров и форумов. Внимание: подобные ресурсы рекомендуется посещать исключительно в исследовательских целях. Создание и использование подобных сервисов в Российской Федерации подпадает под действие уголовного законодательства:
ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»)
ст. 273 УК РФ («Создание, использование и распространение вредоносных программ»)
ст. 274 УК РФ («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации»)
В контексте ресурсов с продажей украденных банковских карт и поддельных документов:
ст. 159.3 УК РФ («Мошенничество с использованием электронных средств платежа»)
ст. 187 УК РФ («Неправомерный оборот средств платежей»)
ст. 327 УК РФ («Подделка, изготовление или оборот поддельных документов»)
Кликните на скрытую часть текста, чтобы увидеть полное имя домена.
№ |
Домен |
Регистратор |
IP |
DDoS-Guard |
1 |
ddosnow[.]com |
Руцентр |
91.215.43.101 |
Да |
2 |
overload[.]su |
Руцентр |
* |
Нет |
3 |
ddos[.]su |
Руцентр |
* |
Нет |
4 |
mao-stress[.]su |
Руцентр |
* |
Нет |
5 |
ddosforhi[.]ru |
Рег.Ру |
185.178.208.177 |
Да |
6 |
ddosforum[.]online |
Руцентр |
* |
Нет |
7 |
volchmova[.]ru |
Рег.Ру |
185.178.208.153 |
Да |
8 |
thedarkvr[.]su |
Рег.Ру |
* |
Нет |
9 |
ratelimit[.]su |
Рег.Ру |
* |
Нет |
10 |
carder[.]market |
Руцентр |
* |
Нет |
11 |
stressers[.]su |
Руцентр |
95.129.236.185 |
Да |
12 |
orbitalstress[.]su |
Руцентр |
* |
Нет |
13 |
hardstresser[.]org *** |
Registrar.Eu |
185.178.208.158 |
Да |
14 |
stress[.]ba |
** |
185.178.208.164 |
Да |
* — Динамический IP-адрес (CloudFlare, Amazon и т.п.)
** — Не удалось определить регистратора
*** — Домен используется для перенаправления (редиректа) на другой домен
Посмотрите на этот список — и он далеко не полный. Во что превращаются российские регистраторы, если даже на зарубежных ресурсах я нашел массу обсуждений, где для нелегальной деятельности рекомендуют использовать домены, зарегистрированные через Руцентр или Рег.Ру? В этих же обсуждениях их прямо называют «bulletproof» регистраторами, параллельно разбирая, как обходить KYC верификацию, где купить сканы и фотографии российских паспортов и как проводить оплату с использованием российских карт.
У популярных международных регистраторов, таких как GoDaddy, Namecheap, IONOS, Gandi и Tucows, подобные ресурсы живут не более 72 часов после жалобы, после чего их домены снимаются с делегирования, но у российских регистраторов, как я уже отмечал, своя атмосфера — и на этом фоне неудивительно, что киберпреступность, включая англоязычную, мигрирует именно к ним.
Под спойлерами приведены скриншоты с краткими описаниями по каждому из рассматриваемых сайтов — в той же последовательности, что и в таблице:
№ 1
№ 2
№ 3
№ 4
№ 5
№ 6
№ 7
№ 8
№ 9
№ 10
№ 11
№ 12
№ 13
№ 14
Как можно понять, этот материал не появился бы, если бы ситуацию удалось решить через стандартные обращения в поддержку регистраторов и DDoS-Guard. В Координационном центре доменов .RU/.РФ мне рекомендовали обратиться к администратору домена верхнего уровня .SU — RIPN, а также в ряд профильных организаций, с которыми они взаимодействуют.
В течение месяца я направлял обращения во все нижеперечисленные организации — без фанатизма, по два письма с интервалом в 14 дней: на abuse-адреса, контактные почтовые адреса и через формы обратной связи, если таковые были доступны на их сайтах. Результаты обращений на ваших экранах:
RIPN SU — ответа нет
НКЦКИ — ответа нет
BI.ZONE — ответа нет
Dr.Web — ответа нет
F6 — ответа нет
RU-CERT — ответа нет
Роскомнадзор — обращение зарегистрировано, спустя месяц отсутствуют какие-либо действия
МВД РФ — обращение зарегистрировано, но в течение месяца также не последовало каких-либо действий
Ну и, разумеется, основные участники:
DDoS-Guard — ответа нет
Рег.Ру — ответа нет
Руцентр — формально ответ получен, но по сути это можно охарактеризовать как отписку:
Здравствуйте!
АО "РСИЦ" не является компетентным органом для определения наличия признаков преступления в действиях своих клиентов. В соответствии с разделом 3.18.2 Соглашения об аккредитации регистраторов (RAA) 2013 г. Регистратор не обязан предпринимать какие-либо действия, противоречащие применимому законодательству. RU-CENTER – юридическое лицо, созданное и осуществляющее свою деятельность в соответствии с законодательством Российской Федерации. В соответствии с нормами законодательства Российской Федерации RU-CENTER обязан добросовестно оказывать услуги клиентам, за исключением случаев, когда (i) компетентный суд вынес иное решение, (ii) правоохранительные органы Российской Федерации требуют иного или (iii) это прямо указано в соответствующем законе (и перечень таких случаев является исчерпывающим). Регистратор может аннулировать домен или остановить его делегирование только на основании запроса его регистранта или вышеупомянутых органов.
Заявитель не является правоохранительным органом, органом по защите прав потребителей, квазиправительственным или
другой аналогичный орган, назначенный национальным правительством в юрисдикции, в которой
Регистратор учреждает и имеет физический офис (Российская Федерация).
Если АО "РСИЦ" получит предписание правоохранительных органов РФ или такое же решение суда, АО "РСИЦ" будет иметь право заблокировать домен--
С уважением,
Александр
Департамент по работе с клиентами
Руцентр
https://nic.ru
Вот поэтому, как я уже отметил ранее, на англоязычных киберкриминальных площадках российских регистраторов уже прямо называют «bulletproof» регистраторами, и именно у российских регистраторов киберпреступники всех мастей массово регистрируют домены под свои черные схемы — используя купленные сканы и фотографии российских паспортов, а также чужие платежные карты.
Исходя из всего вышеизложенного, хотелось бы задать несколько вопросов представителям Runity @runity — технологического бренда, объединяющего Руцентр и Рег.Ру, а также представителям DDoS-Guard @DDoS-GUARD, @olegantipovDDG.
Runity, зачем регистраторам нужны публичные каналы связи abuse@nic.ru и abuse@reg.ru, если какие-либо меры принимаются только по запросам правоохранительных органов, тогда как обращения от частных лиц — даже с описанием очевидных и легко проверяемых нарушений — либо заканчиваются формальными отписками, либо вовсе остаются без реакции, как это произошло в моем случае с Рег.Ру? Быть может, в таком случае корректнее прямо указывать на сайтах, что обращения от физических лиц фактически не рассматриваются и приоритет отдается исключительно запросам от уполномоченных органов?
Учитывая, что для прохождения идентификации киберпреступники используют чужие или поддельные документы, а также указывают чужие либо несуществующие номера телефонов в качестве контактных, возникает еще один вопрос — существуют ли у регистраторов действительно эффективные методы проверки достоверности данных при регистрации доменов, способные выявлять подобные схемы, или вся проверка ограничивается формальным сбором данных без проверки их действительной принадлежности регистранту?
DDoS-Guard, учитывая профиль вашей деятельности, вы должны лучше многих понимать, что представляют собой DDoS-стрессеры и для каких целей они используются. Как сотрудник, обрабатывавший обращения, мог просто проигнорировать неоднократные жалобы на такие ресурсы и не предпринять никаких действий? Почему компания занимающаяся защитой от DDoS-атак предоставляет свою инфраструктуру тем кто эти атаки организовывает?
Помимо этого, хочу обратиться ко всем представителям уполномоченных органов, которые, возможно, прочитают данный материал. Как видно из моего опыта взаимодействия с перечисленными компаниями, за месяц ни по одному из указанных ресурсов не было предпринято каких-либо действий или санкций. На момент публикации данного материала все ресурсы, о которых шла речь, продолжают функционировать. На фоне такого бездействия российская инфраструктура продолжает использоваться для проведения DDoS-атак на ресурсы по всему миру, включая российские сайты и серверы, а также без ограничений функционируют площадки, на которых осуществляется продажа украденных банковских карт поддельных документов. Это системная проблема, требующая внимания и немедленной реакции на уровне компетентных структур.
Спасибо за внимание.
Комментарии (42)
Heggi
27.04.2026 10:08Вероятно тот самый случай, когда можно запустить эпичный жабогадюкинг, написав во все органы власти (начиная от прокуратуры и фсб, заканчивая администрацией президента и спортлото) изложив все факты и отсутствие ответов (в том числе и от ркн. Тут вообще комбо, на рассмотрение обращений есть вполне конкретные сроки, в которые хотя бы отписку направить должны были)
VO_Obsidian
27.04.2026 10:08Я боюсь, что никто не пошевелится до тех пор, пока от этих сервисов не начнут страдать какие-нибудь важные шишки. (На всякий случай - это не призыв к действию)
DDoS-GUARD
27.04.2026 10:08Благодарим вас за обращение и предоставленную информацию. Мы внимательно изучили вашу жалобу относительно ресурсов ddosnow[.]com, stresse[.]su и stress[.]ba, размещенных под нашей защитой.
Подтверждаем, что деятельность, связанная с организацией DDoS-атак на сторонние ресурсы без проверки права собственности на целевой ресурс, является прямым нарушением пунктов 2.2.10 и 2.2.12 нашей Политики использования услуг (AUP), которая идентична для всех клиентов, включая указанных вами. Запрещены инициирование, содействие и проведение стресс-тестов и атак типа «отказ в обслуживании».
Ваше письмо поступило на наш официальный адрес abuse@ddos-guard.net 23.04.2026. Все обращения обрабатываются в порядке очереди в соответствии с внутренними регламентами, что предполагает определённые сроки исполнения. Просим понимать, что незамедлительную реакцию в режиме реального времени технически не всегда возможно обеспечить по каждому запросу, однако ваше обращение не осталось без внимания.
В связи с вашим сообщением нами проведена внутренняя проверка в отношении указанных ресурсов в соответствии с п. 5.3 и 5.4 Политики использования. На текущий момент 27.04.2026 клиентам-владельцам данных ресурсов уже направлены официальные уведомления о выявленных нарушениях AUP. Им предоставлен разумный срок для устранения всех нарушений. В случае непредоставления подтверждения устранения нарушений в установленный срок будут приняты дальнейшие меры вплоть до прекращения оказания услуг.
Обращаем внимание, что DDoS-Guard не осуществляет предварительный контроль контента клиентов (п. 12.8 SLA) и не является правоохранительным или надзорным органом. Однако при получении информации о нарушениях, в том числе из публичных источников, мы действуем в рамках установленных процедур. Ваше обращение зафиксировано как официальный сигнал, что позволило нам инициировать процесс урегулирования.
Если вы располагаете дополнительными доказательствами (например, подтверждениями фактов атак, совершенных с использованием этих ресурсов), просим направить их через форму на сайте https://ddos-guard.ru/abuse или на почту abuse@ddos-guard.net — это поможет ускорить дальнейшие действия.
Еще раз спасибо за бдительность. О результатах принятых мер вам будет сообщено дополнительно.
С уважением,
Команда DDoS-Guard
c3ph3us Автор
27.04.2026 10:08Добрый день!
Во-первых, прошу обратить внимание, что первая жалоба была направлена 30 марта 2026 года — по неизвестным мне причинам она либо не дошла, либо была утеряна на вашей стороне.
Во-вторых, обратите внимание на таблицу в статье. Количество размещаемых у вас незаконных ресурсов увеличилось уже до шести.
qweqweqweqweqweqweqweqwe
27.04.2026 10:08Для надежности можно продублировать https://submit.spamhaus.org/submit
Можете в https://complaint.ic3.gov подать если вы пострадавший, особенно для сервисов за CloudFlare, Amazon.
IC3 не гарантирует ответ на каждую жалобу, однако все данные попадают в базу для анализа трендов и передаются в соответствующие правоохранительные органы. Ваш репорт особенно ценен тем, что содержит конкретный IP-блок и паттерн поведения регистраторов — это именно то, что аналитики используют для построения более широких дел.
DDoS-GUARD
27.04.2026 10:08За 30.03.2026 на почте abuse@ddos-guard.net отсутствуют обращения с жалобами на указанные вами ресурсы. В обращении от 23.04.2026 перечислены три ресурса, упомянутые в нашем прошлом комментарии.
По остальным приведенным вами в таблице ресурсам также инициированы идентичные меры.
С уважением,
команда DDoS-Guard
qweqweqweqweqweqweqweqwe
27.04.2026 10:08Кстати комплаинт на https://complaint.ic3.gov/ может заполнить не только пострадавший. Нужно только указать статус.
AnyDen
27.04.2026 10:08Им не до DDos-сервисов, тут проблемы по серьезнее, граждане телеграммом пользуются, да ютубы смотрят!
D_T
27.04.2026 10:08Не обязательно регистрировать домен в Руцентре или Регру. У нормальных хостинг-провайдеров DNS хостинг бесплатный, просто заказывай хостинг сайта или VPS, а хостинг доменов получай в подарок. И сама стоимость регистрации доменов и продления заметно ниже. И услуги по защите от DDoS оказывают.
kma21
27.04.2026 10:08ДНС-хостинг и ДНС-регистратор это всё же несколько разные вещи. В одном случае достаточно держать несколько NS, а в другом случае надо быть зареганным в координационном центре регистратором. Те, кто сами не являются регистраторами, часто работают по партнёрке с кем-то крупным типа того же Руцентра или регру. Это позанудствовать.
А в статье речь идёт о том, что иностранцы пользуются абузоусточивостью наших крупных регистраторов и размещают КЦ ддосов. Поэтому зачем рекомендовать кому-то не идти к крупным отечественным регистраторам – не совсем понятно.
Но я думаю, что тут классическая проблема – “когда убьют, тогда и приходите”. Бюрократия настолько велика и сложна, что существует только для самой себя. У мелких хостеров с этим должно быть попроще, ибо рынок веб-хостинга (именно веб!) попилен давно и там за каждого клиента часто идёт плотная борьба. Особенно среди мелких хостингов.
max9
27.04.2026 10:08у меня чот тупой вопрос - как иностранец может зарегистрировать домен в РФ без паспорта и иже с ними? на дропа-бомжа?
c3ph3us Автор
27.04.2026 10:08Они покупают сканы/фото паспортов граждан РФ + используют арендные российские сим-карты для приема СМС, это я понял из обсуждений на англоязычных форумах, которые удалось нагуглить.
max9
27.04.2026 10:08кажется когда-то давно руцентр чуть ли не лично требовал предъявления паспорта. и да, правоохренительные органы занимаются у нас совсем не тем, раз процветает бизнес по "аренде" симок
arsboss
27.04.2026 10:08Реальная причина такова, что на рег ру можно ввести абсолютно любые паспортные данные и ФИО при регистрации домена и они никак не проверяются. Надеюсь, что новый закон который выйдет 1 сентября 2026, заставит пройти всех владельцев доменов верификацию через гос услуги закроет эту дыру.
c3ph3us Автор
27.04.2026 10:08Сомневаюсь что данная мера закроет эту "дыру", просто теперь всякой нечести придется покупать полный комплект: скан паспорта, сим-карту, аккаунт на госуслугах. Таких предложений (с продажей полного комплекта данных на граждан РФ) к сожалению очень много.
RulenBagdasis
27.04.2026 10:08Надеюсь, что новый закон который выйдет 1 сентября 2026, заставит пройти всех владельцев доменов верификацию через гос услуги закроет эту дыру.
Скорее, он лишит доменов часть добросовестных покупателей.
tuxi
Битерика - сколько уже существует? лет 10, если не больше. И все еще работает, несмотря на жалобы. Значит кому-то это выгодно.
c3ph3us Автор
Речь про AS35048? Чем известна эта организация? Тоже хостит подобную чернуху?
tuxi
там два ASN, второй по моему AS208969
практически на 100% занимаются хостингом черных ботов, понижение ПФ у сайтов и тп. Искать в гугле по словам "заблокировать Битерику" и тп
Писать письма бестолку. Абсолютно. Крупный хостинг центр, явно под чьей-то крышей.
eByeBots
AS35048 - она самая, ПФ боты там и l7 HTTP flood - вчера только их видел))