DDoS, боты и BGP-инциденты во 2 квартале 2026 года: статистика и тренды
Ключевые факты и выводы
- Крупнейший DDoS-ботнет, обнаруженный во 2 квартале 2026 года, насчитывал 2,09 млн устройств. Это все еще внушительная цифра, но значительно ниже рекорда прошлого квартала (13,5 млн). Одной из причин столь резкого снижения могла стать операция правоохранительных органов США, Канады и Германии по выводу из строя инфраструктуры крупнейших ботнетов.
- Две наиболее интенсивные DDoS-атаки 2 квартала 2026 года были направлены на две организации из сегмента «Онлайн-ставки». В пике их битрейт достигал 1,64 и 1,58 Тбит/с, а скорость передачи пакетов — 553 и 638 Mpps.
- Тренд на рост числа DDoS-атак интенсивностью более 1 Тбит/с сохраняется: за 2 квартал 2026 года мы нейтрализовали 12 таких инцидентов — вдвое больше, чем за весь прошлый год.
- Доля мультивекторных DDoS-атак во 2 квартале 2026 года (11,7%) выросла как по сравнению с 2025 годом (8,0%), так и по сравнению с 1 кварталом 2026 года (10,7%). Доля атак, сочетающих L3-L4 и L7, вернулась к уровню прошлого года — 3,6% от всех инцидентов.
- Наибольшее число DDoS-атак во 2 квартале 2026 года было направлено на сегменты «Финтех» (31,9%), «ИТ и Телеком» (16,8%) и «Медиа» (14,0%). На эти три сегмента суммарно пришлось около двух третей всех зафиксированных нами атак.
- В число микросегментов, которые чаще всего подвергались DDoS-атакам во 2 квартале 2026 года, вошли «Медиа, ТВ, радио и блогеры» (12,7%), «Платежные системы» (10,0%), «Банки» (9,5%), «Онлайн-букмекеры» (9,0%) и «Торговые площадки» (7,9%).
- Во 2 квартале 2026 года крупнейшими источниками L7 DDoS-атак стали США (15,9%), Вьетнам (9,5%) и Россия (7,2%). Лидер прошлого квартала, Бразилия (6,2%), сместилась на четвертое место.
- Распределение источников L7 DDoS-атак по странам остается более равномерным, чем в прошлом году: доля первой пятерки стран практически не изменилась по сравнению с 1 кварталом (42,0% → 41,9%).
- Среднемесячное количество заблокированных запросов «плохих» ботов во 2 квартале 2026 года снизилось на 27,8% по сравнению с рекордным 1 кварталом и составило 1,8 млрд.
- Общий «индекс ботовости» во 2 квартале 2026 года снизился до 1,56%. Наиболее высокие значения этого показателя наблюдались в сегментах «Образовательные технологии» (16,92%), «Транспорт и логистика» (7,70%) и «Онлайн-ставки» (3,83%).
- Самая интенсивная атака «плохих» ботов во 2 квартале 2026 года была направлена на организацию из сегмента «Медиа». В пике ее интенсивность достигала 180 тыс. вредоносных запросов в секунду.
- Во 2 квартале 2026 года число уникальных АС, допустивших утечки маршрутов, осталось на уровне аналогичного периода прошлого года. При этом количество АС, совершивших BGP-перехваты, снизилось на 34% по сравнению со 2 кварталом 2025 года.
- Если говорить о глобальных инцидентах BGP, то во 2 квартале 2026 года мы зафиксировали 7 утечек маршрутов и ни одного BGP-перехвата.
Преобладающие векторы DDoS-атак во 2 квартале 2026 года
Начиная со 2 квартала 2025 года мы изменили методику анализа DDoS-атак. До этого момента мы отдельно учитывали атаки на сетевом и транспортном уровнях (L3-L4 DDoS) и атаки на уровне приложений (L7 DDoS). Теперь мы используем единую статистику, в которой несколько атак по разным векторам рассматриваются как единый инцидент.
Мы отсекаем L3-L4 DDoS-атаки интенсивностью менее 1 Гбит/с, считая их белым шумом. Для L7 DDoS-атак также используются пороговые значения: не менее 100 заблокированных IP-адресов и скорость не менее 1000 запросов в секунду. Несколько отдельных волн атаки объединяются в единый инцидент, если временной интервал между ними не превышает одного часа.
Как и ранее, во 2 квартале 2026 года основная доля DDoS-атак пришлась на HTTP, то есть атаки на уровне приложений (L7). Их доля составила 46,8% от общего числа зафиксированных нами атак, что несколько ниже показателей прошлого года (56,4%) и предыдущего квартала (54,1%). Второе место занял UDP flood, доля которого заметно выросла по сравнению с прошлым годом (22,9% → 29,3%).
Доля TCP flood удвоилась по сравнению с прошлым годом (4,2% → 8,9%), аналогично выросла и доля SYN flood (2,8% → 5,6%). Доля IP flood, напротив, продолжает снижаться (13,8% → 5,2%). Кроме того, мы зафиксировали неожиданный всплеск атак с использованием ICMP flood: во 2 квартале 2026 года их доля составила 4,3%, тогда как в 2025 году — всего 0,1%.
Во 2 квартале 2026 года доля мультивекторных атак продолжила расти и достигла 11,7% от общего числа зафиксированных инцидентов. При этом доля мультивекторных атак, сочетающих L3-L4 и L7, вернулась к уровню прошлого года: если в 1 квартале 2026 года она составляла 6,2% от всех инцидентов, то во 2 квартале снизилась до 3,6%.
Распределение DDoS-атак по индустриям во 2 квартале 2026 года
Основными целями DDoS-атак во 2 квартале 2026 года были организации из сегментов «Финтех» (31,9%), «ИТ и Телеком» (16,8%) и «Медиа» (14,0%). На эти сегменты суммарно пришлось около двух третей всех зафиксированных нами инцидентов.
Далее следуют сегменты «Электронная коммерция» (12,0%) и «Онлайн-ставки» (9,0%). При этом в последнем мы ожидаем пик активности в следующем квартале, поскольку наиболее важная часть Чемпионата мира по футболу придется на июль.
Если говорить о более детальной сегментации, то во 2 квартале 2026 года наибольшее число DDoS-атак было направлено на микросегменты «Медиа, ТВ, радио и блогеры» (12,7%), «Платежные системы» (10,0%), «Банки» (9,5%), «Онлайн-букмекеры» (9,0%) и «Торговые площадки» (7,9%). Суммарно на эти пять микросегментов пришлось около половины (49,1%) всех зафиксированных нами инцидентов.
Продолжительность DDoS-атак во 2 квартале 2026 года
Самые продолжительные DDoS-атаки во 2 квартале 2026 года были направлены на сегменты «Онлайн-ритейл» (79,9 ч), «Банки» (24,4 ч), «Азартные игры» (18,3 ч), «Онлайн-букмекеры» (12,5 ч) и «Системные интеграторы» (12,4 ч). Максимальная продолжительность атаки оказалась более чем в четыре раза выше, чем в предыдущем квартале (19,0 ч), однако все еще ниже рекорда 2025 года (119,2 ч).
Средняя длительность атак во 2 квартале 2026 года несколько снизилась по сравнению с предыдущим кварталом — с 3221 до 2764 секунд. Однако медианная продолжительность немного выросла — со 120 до 150 секунд.
Интенсивность L3-L4 DDoS-атак во 2 квартале 2026 года
Две наиболее интенсивные DDoS-атаки во 2 квартале 2026 года были направлены на организации из сегмента «Онлайн-ставки». В пике их битрейт достигал 1,64 и 1,58 Тбит/с, а скорость передачи пакетов — 553 и 638 Mpps соответственно. По обоим показателям эти атаки стали крупнейшими инцидентами квартала.
Более крупная из этих двух атак проходила в три волны, а суммарная продолжительность периода ее максимальной активности составила около 20 минут.
Максимумы 2 квартала 2026 года оказались несколько более скромными, чем в 1 квартале 2026 года (2,07 Тбит/с) и в 2025 году (3,51 Тбит/с). Однако основной тренд сохраняется — атаки интенсивностью более 1 Тбит/с стали обычной практикой. Только за 2 квартал мы нейтрализовали 12 таких инцидентов — вдвое больше, чем за весь прошлый год.
Первая пятерка микросегментов, на которые во 2 квартале 2026 года были направлены наиболее интенсивные L3-L4 DDoS-атаки, выглядит следующим образом: «Онлайн-букмекеры» (1641 Гбит/с), «Маркетплейсы» (1509 Гбит/с), «Хостинговые платформы» (1353 Гбит/с), «Разработчики игр» (1172 Гбит/с) и «Платежные системы» (951 Гбит/с).
Если говорить о максимальной скорости передачи пакетов, то во 2 квартале 2026 года это были атаки на микросегменты «Онлайн-букмекеры» (638,6 Mpps), «Разработчики игр» (134,1 Mpps), «Маркетплейсы» (132,1 Mpps), «Хостинговые платформы» (118,4 Mpps) и «Банки» (114,1 Mpps).
Самый большой DDoS-ботнет 2 квартала 2026 года
Во 2 квартале 2026 года рекордный размер ботнета, который мы наблюдали при нейтрализации L7 DDoS-атак, впервые за два года снизился: если в предыдущем квартале он составлял 13,5 млн устройств, то во 2 квартале — 2,09 млн. Одной из причин такого резкого изменения могла стать операция правоохранительных органов США, Канады и Германии по выводу из строя инфраструктуры, которую использовали крупнейшие ботнеты, включая Aisiru и Kimwolf. Поскольку операция была проведена в самом конце 1 квартала 2026 года, ее последствия наиболее отчетливо проявились именно во 2 квартале.
Основную долю в этом ботнете составляли устройства из Бразилии (18,5%), США (10,9%), Великобритании (5,1%), Саудовской Аравии (3,9%) и Аргентины (3,1%). В отличие от размера ботнета, распределение по странам мало отличается от прошлого квартала.
Несмотря на успешную операцию правоохранительных органов, фундаментальные предпосылки для появления таких гигантских ботнетов не изменились. В мире становится все больше потенциально уязвимых устройств, а процесс их поиска и компрометации за последние несколько лет существенно упростился и ускорился с появлением у злоумышленников новых инструментов автоматизации на основе ИИ.
Поэтому мы не ожидаем долгосрочного изменения ситуации. В перспективе размеры крупнейших ботнетов, скорее всего, вновь начнут расти, поскольку их операторы смогут быстро восстановить инфраструктуру и компенсировать понесенные потери.
Географическое распределение источников L7 DDoS-атак во 2 квартале 2026 года
По всей видимости, операция правоохранительных органов США, Канады и Германии, о которой шла речь в предыдущей части, повлияла не только на размер крупнейшего ботнета, но и на общее географическое распределение источников L7 DDoS-атак во 2 квартале 2026 года. На первое место вышли США (15,9%), за ними следуют Вьетнам (9,5%) и Россия (7,2%). Доля Бразилии, которая ранее лидировала на протяжении нескольких кварталов, резко снизилась (6,2%), и страна опустилась на четвертое место. На пятую строчку стремительно поднялись Нидерланды (3,1%), которые в прошлом квартале не входили даже в первую десятку.
В целом распределение источников L7 DDoS-атак по странам подтверждает сохраняющийся тренд на географическую диверсификацию инфраструктуры, используемой организаторами атак. Несмотря на перестановки в первой пятерке, ее совокупная доля практически не изменилась (42,0% → 41,9%), тогда как доля всех остальных стран, не входящих в топ-20, продолжила расти (29,0% → 29,8%). Как мы уже отмечали в предыдущих отчетах, следствием этой диверсификации становится снижение эффективности простых географических блокировок при противодействии масштабным DDoS-атакам.
Статистика защиты от «плохих» ботов во 2 квартале 2026 года — CURATOR.ANTIBOT
Напомним, что под «плохими» ботами подразумеваются автоматизированные системы, которые пытаются взаимодействовать с сайтами, выдавая себя за настоящих пользователей. Их цели состоят в сборе данных, накрутке показателей, брутфорсе учетных записей и другой нежелательной активности. Однако в отличие от деструктивных DDoS-ботов, «плохие» боты обычно не стремятся нарушить работоспособность сайта.
Во 2 квартале 2026 года среднемесячное количество заблокированных запросов «плохих» ботов заметно снизилось по сравнению с предыдущими кварталами и составило около 1,8 млрд.
Это примерно соответствует уровню 2024 года. Напомним, что в 2025 году мы наблюдали два ярко выраженных сезонных периода роста бот-трафика, пришедшихся на 2-й и 4-й кварталы. Эти всплески были обусловлены двумя особенно крупными атаками, каждая из которых продолжалась около месяца. В 2026 году мы пока не фиксировали столь продолжительных бот-атак. В результате бот-трафик распределяется между защищаемыми ресурсами более равномерно.
Во 2 квартале 2026 года наибольшее число атак «плохих» ботов традиционно было направлено на сегмент «Электронная коммерция» (43,67% всей бот-активности). На втором месте также вполне ожидаемо оказался сегмент «Онлайн-ставки» (17,20%). Третье место в этом квартале занял сегмент «Медиа» (16,04%).
В среднем по всем защищаемым ресурсам доля бот-трафика в общем объеме трафика (далее — «индекс ботовости») во 2 квартале 2026 года составила 1,56%. Наиболее высокие значения «индекса ботовости» в этом квартале были зафиксированы в сегментах «Образовательные технологии» (16,92%), «Транспорт и логистика» (7,70%), «Онлайн-ставки» (3,83%), «Медиа» (2,08%) и «Здравоохранение» (1,58%).
Отметим, что CURATOR.ANTIBOT позволяет заказчикам самостоятельно выбирать, на каких страницах и доменах будет работать защита. Поэтому рассчитанный нами «индекс ботовости» может не отражать весь объем бот-трафика, направленного на защищаемый ресурс.
Распределение ботов по типам во 2 квартале 2026 года заметно изменилось по сравнению с 1 кварталом. Основную часть по-прежнему составляли простые скриптовые боты, однако их доля существенно снизилась (65,23% → 50,80%). Доля ботов-кукловодов — роботов, имитирующих окружение обычного пользователя, но с внешней автоматизацией, — выросла с 2,47% до 3,15%. Доля умных ботов, то есть роботов, знающих о проверках и пытающихся их обходить, удвоилась (0,28% → 0,57%). Заметный рост продемонстрировали API-боты, доля которых увеличилась с 32,02% до 45,48%.
Самая интенсивная атака, заблокированная решением CURATOR.ANTIBOT во 2 квартале 2026 года, была направлена на организацию из сегмента «Медиа». Это была многовекторная DDoS-атака, которая началась как L3-L4 DDoS-атака, а затем продолжилась на уровне приложений (L7). Максимальная интенсивность превысила 180 тыс. вредоносных запросов в секунду.
Инциденты BGP во 2 квартале 2026 года
Количество уникальных автономных систем (АС), ответственных за утечки маршрутов, во 2 квартале 2026 года оставалось на уровне прошлого года: в среднем их было 1996 в месяц.
При этом среднемесячное число уникальных АС, совершавших BGP-перехваты, продолжило быстро снижаться относительно прошлого года. Если в 2025 году оно составляло 8587, то в 1 квартале 2026 года уменьшилось до 7619 (-11,2%), а во 2 квартале — до 6047 (-29,6%).
Судя по всему, снижение числа BGP-перехватов связано с серьезным прогрессом во внедрении RPKI ROA — механизма, который позволяет эффективно предотвращать такие инциденты. А вот технологии, предназначенные для борьбы с утечками маршрутов, — RFC 9234 и ASPA — пока находятся лишь на начальных стадиях внедрения, поэтому количество BGP-инцидентов этого типа остается стабильным.
Темпы внедрения RPKI ROA заметно ускорились во 2 квартале 2026 года, так что на момент подготовки отчета глобальное покрытие составляло 66% для IPv4 и 73% для IPv6. Отметим, что внедрение ASPA в 2026 году также шло достаточно быстро: хотя о сколько-нибудь значительном глобальном покрытии пока говорить рано (оно составляет лишь 2,3%), с начала года количество записей ASPA выросло кратно — с 556 до 2269.
Что касается глобальных инцидентов BGP, то во 2 квартале 2026 года мы зафиксировали 7 утечек маршрутов и ни одного BGP-перехвата.
Напомним, что для выделения глобальных BGP-инцидентов команда CURATOR.BGP использует ряд пороговых значений. При этом учитываются количество затронутых префиксов и автономных систем, а также степень распространения аномалии по таблицам маршрутизации.
Ознакомьтесь со всеми функциями
в 7-дневной пробной версии
Наши специалисты готовы оказать вам поддержку
Будьте в курсе наших новостей и продуктов!
Подпишитесь на ежемесячный обзор самых популярных идей Интернета от CURATOR!