DDoS-атаки по типам и отраслям • Q1 2026

В первом квартале 2026 года распределение атак по отраслям частично вернулось к отметкам годичной давности.

Телекоммуникационный сектор — по-прежнему привлекательная мишень для злоумышленников. При этом доля атак на этот сектор (32%) практически откатилась к значениям первого квартала 2025 года после пиковых значений в конце 2025 года (43%). Аналогичная динамика наблюдается и в госсекторе. Это не спад абсолютных значений атак, просто другим секторам стало доставаться от атак сильнее, ввиду меньших возможностей по их отражению.

Снизился интерес атакующих к финансовой отрасли. В первом квартале 2026 года доля атак снизилась на 3 процентных пункта по сравнению с концом 2025 года (с 8% до 5%). Как и в случае с телеком-отраслью и госсектором, это может свидетельствовать о сохранении интереса злоумышленников к этим сферам при одновременном повышении устойчивости отраслей к нападкам.

Сильнее всего выбилась из общей динамики промышленность. В первом квартале 2026 года количество DDoS-атак на предприятия сектора выросло в два раза по сравнению с прошлым годом. Отрасль явно стала одной из новых фавориток. Этому есть несколько причин. Отрасль испытывает дефицит кадров, есть серьёзные проблемы с приобретением оборудования, всё это приводит к тому, что ИБ-инфраструктура промышленных объектов пока ещё недостаточно приспособлена для отражения DDoS-атак.

Отдельно стоит сказать, о перераспределении атак между второстепенными для злоумышленников сегментами. В частности, медицинские организации, на которые приходилось до 8% атак в конце 2025 года, в начале 2026 года практически выпали из фокуса атакующих. При этом возросла доля атак на ритейл (с 1% до 6%) и транспорт (с 0% до 2%). Сектор услуг также демонстрирует возврат к началу 2025 года (8% против 9%), становясь «гибким буфером» при перераспределении атак.

Таким образом, на уровне отраслей фиксируется комбинированная динамика. С одной стороны — атакующие вернулись к базовому профилю 2025 года, с другой — усилили давление на отдельные сегменты. Прежде всего это касается атак на промышленность и смежные отрасли.

В первом квартале 2026 года структура DDoS-атак заметно изменилась относительно конца прошлого года, частично вернувшись к паттернам, которые доминировали в начале первого квартала 2025 года.

Доли DNS amplification и IP fragmentation, составлявшие в четвёртом квартале 2025 года 38% и 27%, упали до отметок в 7% и 3% соответственно. Тем самым показатели приблизились к уровню первого квартала 2025 года (тогда их доли составляли по 11%). На этом фоне усилились классические нагрузочные техники.

Злоумышленники стали чаще прибегать к атакам с помощью TCP ACK. Их доля в первом квартале 2026 года выросла с 10% до 25%. Хотя отметки начала 2025 года она так и не достигла (42%).

Более агрессивный рост демонстрируют UDP и TCP SYN. Так, доля UDP увеличилась с 10% до 25%, почти вдвое превысив прошлогодние 13%, а доля TCP SYN поднялась с 10% до 22%, закрепив статус одного из основных инструментов атакующих.

В первом квартале 2026 года злоумышленники активно использовали в атаках более сложные вариации TCP-нагрузок. В частности, мы зафиксировали рост TCP SYN/ACK с 1% до 7%.

Несколько вспомогательных техник вернулись к значениям начала 2025 года. TCP_rst вырос до 2% (против 1% в конце прошлого года), GRE — до 4%, а ICMP/ICMPv6 вновь откатился на отметку 3%. В то же время в первом квартале 2026 года злоумышленники отказались от ряда экспериментальных векторов: NTP amplification (2% в четвёртом квартале 2025 года) и L2TP amplification (2% в первом квартале 2025 года). Техники STUN и LDAP amplification сохранили своё присутствие на уровне около 1%.

Текущая структура типов DDoS-атак указывает на формирование гибридной модели распределения нагрузок. Классические TCP/UDP-векторы используются как базовый инструмент, а вспомогательные протоколы (ICMP, GRE и другие) подключаются, когда нужно обойти средства фильтрации и повысить общую результативность атак.

Итоги первого квартала 2026 года указывают на системную адаптацию тактик. Злоумышленники постепенно уходят от amplification- и fragmentation-сценариев, доминировавших в прошлом году, и возвращают в арсенал классические TCP- и UDP-нагрузки. При этом полного отката не происходит: восстановление базовых методов сопровождается активным использованием вспомогательных протоколов и ситуативной кастомизацией сценариев. Формируется гибридная модель, где инструменты подбираются под текущую конфигурацию ИБ-инфраструктуры, а не применяются по заранее заданному шаблону.

В отраслевом разрезе ситуация неоднородна. Телеком и госсектор по-прежнему остаются стратегически значимыми мишенями, тогда как промышленность становится для атакующих новой приоритетной целью. Одновременно часть нагрузки перетекает в сегменты с менее зрелой защитой — ритейл и транспортную логистику, что подтверждает общую тенденцию смещения фокуса в сторону менее укреплённых периметров.

Для бизнеса это прямой сигнал. Оптимизация средств защиты под отдельные типы атак теряет практический смысл. Противник быстро меняет профиль нагрузки, реанимирует старые техники и комбинирует их в новых связках.

В текущих условиях устойчивость к DDoS определяется не отдельными модулями фильтрации, а архитектурной готовностью системы: запасом пропускной способности под пиковые нагрузки, гибкостью правил обработки пакетов и скоростью адаптации к смене тактик. Защита перестаёт быть набором точечных правил и превращается в динамическую архитектуру, способную абсорбировать изменения ландшафта угроз без перестройки базовых процессов.

• IP fragmentation — атака, основанная на рассылке чрезмерного количества фрагментированных IP-пакетов, перегружающая вычислительную мощность и ресурсы атакуемой системы при их обработке.
• DNS amplification — распределённая атака, при которой к имеющему уязвимость серверу DNS (от англ. Domain Name System, система доменных имён) отправляется поддельный запрос о домене, а его ответ значительного размера высылается серверу-жертве. В результате канал связи переполняется ответами.
• TCP-атаки — атаки через сетевой протокол TCP:
  • TCP ACK — атака с использованием большого количества TCP-пакетов, которые подтверждают получение сообщения или серии пакетов
  • TCP SYN — отправка в открытый порт сервера массы SYN-пакетов, не приводящих к установке реального соединения по тем или иным причинам
  • TCP RST (TCP-reset) — атака, при которой злоумышленник разрывает соединение между двумя узлами, отправляя одной или обеим сторонам поддельные сообщения с командой прервать соединение
  • TCP NULL — атака через отправку TCP-пакетов без установленных флагов, позволяющая обходить фильтрацию и выявлять уязвимые устройства
  • TCP SYN/ACK — атака с использованием пакетов SYN/ACK без инициированного соединения, создающая дополнительную нагрузку на обработку состояний соединений и сбивающая логику сетевых стеков
• UDP-флуд — атака, которая провоцирует перегрузку сетевых интерфейсов и серверов за счёт генерации большого объёма UDP-трафика, фактически занимая всю полосу пропускания.
• STUN amplification — атаки, эксплуатирующие протоколы STUN (протокол для обхода NAT), используемые в VoIP и видеосвязи. Злоумышленник отправляет на общедоступные STUN-серверы запросы, указывая в качестве обратного адреса IP-адрес жертвы, что приводит к перегрузке канала.
• LDAP amplification — атака усиления через открытые LDAP-серверы (службы каталогов), при которой небольшие запросы генерируют и направляют в адрес жертвы объёмные ответы.
• NTP amplification — атака усиления, использующая серверы точного времени (NTP) и позволяющая многократно увеличивать объём отражённого трафика за счёт особенностей протокола.
• L2TP amplification — атака через протокол туннелирования L2TP, при которой используются уязвимые или неправильно настроенные узлы для усиления и отражения трафика, направленного в сторону жертвы.
• GRE-флуд — атака разновидность «атаки с усилением», эксплуатирующая протокол GRE (Generic Routing Encapsulation). Во время атаки на уязвимые устройства посылаются GRE-пакеты с поддельным IP-адресом жертвы, в результате чего устройства отправляют на адрес жертвы значительно больший объём ответа, что приводит к истощению ресурсов на стороне атакуемого.
• ICMP / ICMPv6-флуд — атака с использованием служебных сообщений сети (например, echo-запросов), направленная на перегрузку каналов связи и сетевого оборудования за счёт генерации большого количества управляющего трафика.