В январе 2025 года атака мощностью 2 Тбит/с была мировым рекордом, о ней писали все профильные издания. В январе 2026 года StormWall зафиксировал, что в России весь топ-10 крупнейших атак за январь превышает 2 Тбит/с, а некоторые приближаются к 3 Тбит/с. Это уже не «исключительные инциденты», это новая фоновая реальность.
Что показывает статистика
По данным StormWall за I квартал 2026 года, количество DDoS-атак на российские компании выросло на 82% год к году. На глобальном уровне рост составил 168% — то есть мировой рост даже опережает российский.
Структура атак изменилась качественно. Если в 2024 году доля многовекторных DDoS-атак (одновременная активность на нескольких уровнях OSI с адаптацией в реальном времени) составляла 25%, то в 2025 — уже 52%. То есть каждая вторая атака — это не «накат пакетов на один порт», а скоординированный многослойный удар.
Зондирующие атаки — короткие «разведывательные» удары до 15 минут, обычно слабые по мощности — выросли в России за 2025 год в 5300 раз. Каждая третья атака теперь начинается с разведки. Это означает, что злоумышленники последовательно изучают защитную инфраструктуру, ищут слабые места, и только потом наносят основной удар.
Распределение по отраслям в I квартале 2026: финансовый сектор — 31% атак (+74% год к году), телеком — 28% (+61%), ритейл — 16% (+38%).
На глобальном уровне Cloudflare зафиксировал рекорд единичной атаки — 31,4 Тбит/с, длительность 35 секунд. Ботнет AISURU/Kimwolf, ответственный за крупнейшие атаки, включал от 1 до 4 миллионов заражённых устройств — преимущественно IoT-девайсов, роутеров и камер видеонаблюдения
Почему обычные средства защиты перестают работать
У многих компаний на периметре стоит NGFW, и есть ощущение, что «он же защищает». Это правда, но с большой оговоркой.
Никакой NGFW физически не способен остановить распределённую атаку, превышающую пропускную способность канала вашего интернет-провайдера. Если у вас 1 Гбит/с канал, а на него приходит 2 Тбит/с атаки — канал забивается ещё до того, как трафик доходит до NGFW. Ни IPS, ни сигнатуры, ни поведенческий анализ здесь не помогут.
Поэтому защита от объёмных DDoS реально работает только в облаке провайдера — там, где есть достаточно ёмкости для фильтрации многосуточного трафика и распределённая инфраструктура.
Многоуровневая защита в 2026
Современная архитектура защиты от DDoS — это три уровня, работающих вместе.
Первый эшелон — облачная защита от объёмных атак (L3/L4). Здесь работают Curator (Qrator Labs), StormWall, DDoS-Guard, защитные сервисы крупных российских провайдеров (Ростелеком, МТС, ЭР-Телеком). Cloudflare с 1 января 2025 в России формально запрещён. Облачная защита — это первая линия, останавливающая объёмные удары на подходе.
Второй эшелон — NGFW и WAF на периметре. Здесь срабатывает фильтрация атак уровня приложений (L7), защита веб-приложений, контроль протокольных аномалий. Российские NGFW (PT NGFW, UserGate, Kaspersky NGFW) в 2026 имеют зрелый функционал защиты.
Третий эшелон — мониторинг и реагирование. SOC или SIEM, которые анализируют события в реальном времени и позволяют реагировать на инциденты. Особенно важно для отлова зондирующих атак — они часто остаются незамеченными системами без поведенческого анализа.
Что делать, если защиты сейчас нет
Если ваша компания относится к финансовой, телеком или ритейл-отрасли — DDoS-защита перестала быть «опцией» и стала обязательным элементом. Простой рекомендации «купите Cloudflare» больше не подходит. Базовый план: • Оценить, какие сервисы критичны для бизнеса — что в первую очередь должны защитить • Подключить облачную DDoS-защиту на эти сервисы (Curator, StormWall, DDoS-Guard или защита провайдера) • Проверить, что NGFW на периметре способен обработать ожидаемую L7-нагрузку с включёнными модулями • Развернуть мониторинг трафика — даже простой NetFlow-анализатор покажет аномалии на ранней стадии • Документировать процедуру эскалации — кому звонить ночью, когда атака началась
Сценарий «нас атакуют прямо сейчас»
Если атака уже идёт, и защиты нет — порядок действий примерно такой. Первое — связаться со своим интернет-провайдером. Большинство крупных провайдеров (Ростелеком, МТС, ЭР-Телеком, Билайн) имеют экстренный пакет DDoS-защиты, который можно подключить за часы. Это не идеально, но в моменте — лучше, чем ничего. Второе — подключить экстренный пакет в Curator или StormWall. У обоих есть процедура «срочного включения» через смену DNS-записей или BGP-объявлений. Третье — пересмотреть инфраструктуру через 1–2 недели после инцидента, чтобы перейти на постоянную защиту, а не «когда нужно».
Как мы можем помочь
В ОЛЛИ ИТ помогаем с проектированием комплексной защиты от DDoS — от выбора облачного провайдера защиты до интеграции с NGFW и SOC. Работаем с Curator, StormWall, DDoS-Guard, а также защитными сервисами крупных операторов.
Если есть конкретная задача — оценить риски, выбрать провайдера, спроектировать архитектуру — пришлите вводные на zakaz@olly.ru.