Прогноз на 2026: ботнеты, ИИ и другие DDoS-тренды

2025 год ознаменовался почти двукратным ростом числа DDoS-атак в России. Предпосылок к улучшению ситуации пока нет: тактики злоумышленников всё изощрённее, удары всё мощнее, под прицелом всё больше компаний и госструктур. К чему готовиться в 2026 году? Какие виды DDoS-атак наиболее опасны? Подробности — в нашем прогнозе. 

Кратко о DDoS в 2026 году:

• Россия — в ТОП-10 
• Риск: незаметная разведка перед атакой
• Основной тип атак: многовекторные (до 65%)
• Пиковая мощность: >3 Тбит/с
• Драйверы: рост ботнетов и ИИ
• Миграция: четвёртая волна
• Защита от DDoS в 2026 году

Россия — в ТОП-10 по атакам

По данным аналитиков StormWall, последние годы наша страна стабильно в первой  десятке по количеству атак:

Год	Место в ТОП-10	% от общего числа атак в мире
2022	4-е	8,4%
2023	7-е	7,3%
2024	8-е	7,3%
2025	5-е	8,1%

Прогноз на 2026 год: есть все основания предполагать, что Россия останется в ТОП-10 самых атакуемых стран. В отличие от прошлых лет, сегодня злоумышленники чаще руководствуются не политическими мотивами, а финансовыми — от вымогательства до недобросовестной конкуренции. Однако общее количество инцидентов неизменно растёт.  

Зондирующие DDoS-атаки: разведка перед ударом

Зондирующие DDoS-атаки используются не для нанесения прямого ущерба, а с целью разведки. Обычно они длятся до 15 минут и бывают слабыми по мощности. Системы мониторинга часто не замечают такое сканирование защиты, потому что оно не превышает пороги срабатывания систем фильтрации. А злоумышленники тем временем изучают инфраструктуру и собирают данные об уязвимостях. А потом наносят мощный удар, чтобы вывести из строя ресурсы жертвы.

В 2025 году мы зафиксировали лавинообразный рост количества зондирующих DDoS-атак в России в 5300 (!) раз, а их доля в общем объёме инцидентов выросла в 8 раз — с 4% до 33%. Это значит, что каждая третья атака начинается с разведки.  

Прогноз на 2026 год: зондирующие DDoS-атаки останутся в арсенале хакеров как один из самых экономичных и эффективных методов. 

Многовекторные атаки — в лидерах 

Многовекторные DDoS-атаки отличаются тем, что злоумышленники бьют по инфраструктуре сразу на нескольких уровнях модели OSI (L3, L4, L7) и могут комбинировать разные методы. 

Такие атаки сложно отразить, потому что:

• обеспечить безопасность на всех уровнях достаточно затратно, ресурсов часто не хватает; 
• вместо единой системы защиты от DDoS в компании могут применяться решения, работающие на разных протоколах и технологиях. Управлять этим «зоопарком» непросто, особенно в момент атаки;
• часто многовекторные атаки маскируют другую активность злоумышленников — например, взлом и похищение конфиденциальных данных. Когда все силы направлены на отражение мощных ударов, такие действия могут остаться незамеченными.

Число атак такого типа в нашей стране удваивалось два года подряд. Если в 2024 году они занимали 25% от общего количества инцидентов, то в 2025-м — уже 52%.

Прогноз на 2026 год: на многовекторные DDoS-атаки будет приходиться 65% всех атак, то есть почти две трети. 

Подробнее: Многовекторные DDoS-атаки, или Когда хакеры бьют по всем фронтам

Мощность атак на пике — более 3 Тбит/с 

DDoS-атаки мощностью 1 Тбит/с уже стали обыденностью. В конце 2025 года мы зафиксировали атаку 2,5 Тбит/с, которая раньше казалась фантастикой.

Прогноз на 2026 год: пиковая мощность ударов всё чаще будет превышать 3 Тбит/с. Причём угрозу несут не только растущие объёмы трафика, но и адаптивность и изощрённые механизмы атак. Многие из них управляются людьми, а не запускаются нажатием кнопки в автоматическом режиме. Оператор мониторит результаты, видит, какие векторы блокируют, и мгновенно переключается на другие.

Ботнеты превращаются в монстров

Ботнет — это сеть заражённых гаджетов, которые управляются злоумышленниками и используются для кибератак. В неё могут входить любые устройства с операционной системой и подключением к интернету. 

Развитие ботнетов — главный драйвер роста мощности атак. В 2025 году на мировой арене появились настоящие монстры. Самый заметный из них — AISURU, в который, по нашим оценкам, входит от 1 до 4 миллионов заражённых устройств. В ноябре ботнет-гигант добрался и до России, где применил новую тактику «Терабитный каскад». Мощность атаки в начале составляет 500 Гбит/с, а потом последовательно растёт, что надолго выводит из строя системы жертвы. 

Однако и местные ботнеты становятся все крупнее и опаснее. Тренд 2025 года — вредоносные запросы на российские организации чаще идут с местных заражённых гаджетов. 

Прогноз на 2026 год: средний размер ботнетов увеличится минимум до 200 тыс. устройств. 

DDoS-атаки с использованием ИИ

Автоматизированные DDoS-атаки организуют с применением ИИ-технологий. Злоумышленники используют искусственный интеллект в разных целях: 

• генерация скриптов; 
• поиск уязвимостей в защите;
• анализ трафика и выбор самого неудобного для жертвы времени атаки, например, в часы пиковой нагрузки или технического обслуживания;
• имитация легитимных пользователей;
• усложнение тактик, в том числе при многовекторных атаках. 

Прогноз на 2026 год: ландшафт киберугроз кардинально изменится. Защита от DDoS-атак теперь требует «интеллектуального» анализа для выявления поведенческих паттернов и быстро меняющихся векторов. 

Четвёртая волна миграции

За последние годы прошло минимум три «волны» миграции с Cloudflare и других зарубежных ИБ-вендоров к российским. В том числе этому способствовали действия регуляторов, которые блокировали доступ к Cloudflare в России. С 1 января 2025 года было напрямую запрещено использовать сервисы, разработанные в недружественных странах.

Прогноз на 2026 год: компании продолжат переходить к российским провайдерам. По некоторым оценкам, можно ожидать прироста сегмента anti-DDoS и WAF на 25% в год.   

Как бизнесу и госструктурам защититься от DDoS в 2026-м?

Сегодня с DDoS-атаками может столкнуться любая организация, которая заметна в публичном пространстве, — от банка и ритейлера до интернет-провайдера и государственного сервиса. Традиционные, реактивные меры защиты уже не способны противостоять сложным угрозам. Защитить от DDoS могут стратегии, построенные на предиктивной аналитике, машинном обучении и использовании распределённой сети фильтрации трафика.

Мы рекомендуем внедрять комплексный подход: antiDDoS-сервис + WAF (защита веб-приложений от хакерских атак) и от вредоносных ботов. Важно выбирать решения, способные:

• масштабироваться;
• глубоко анализировать трафик на всех уровнях модели OSI;
• автоматически реагировать на угрозы;
• адаптироваться к новым тактикам злоумышленников.

«Мы постоянно совершенствуем наши решения с учётом меняющегося ландшафта угроз: расширяем сеть очистки, совершенствуем алгоритмы раннего детектирования. Наша цель — не просто блокировать атаки, а предугадывать их развитие, обеспечивая бизнесу проактивную защиту и гарантированную доступность сервисов даже в самых сложных условиях», — комментирует Рамиль Хантимиров, CEO и сооснователь StormWall.