Глоссарий:
DNS amplification — это тип DDoS-атаки (распределенного отказа в обслуживании), при которой к имеющему уязвимость серверу DNS (от англ. Domain Name System, система доменных имен) отправляется поддельный запрос о домене, а его ответ значительного размера высылается серверу-жертве. В результате канал связи переполняется ответами.
Атака фрагментированными IP-пакетами (IP fragmentation) — это DoS-атака, основанная на рассылке чрезмерного количества фрагментированных IP-пакетов, перегружающая вычислительную мощность и ресурсы атакуемой системы при их обработке.
TCP-атаки — это атаки через сетевой протокол TCP, который используется для передачи данных между устройствами в интернете.
TCP-пакет — это блок данных, который передается по сети с подтверждением получения, чтобы информация доходила корректно и в нужном порядке.
TCP ACK — это атака с использованием большого количества TCP-пакетов, которые подтверждают получение сообщения или серии пакетов. Система тратит ресурсы на их обработку и перегружается.
UDP-флуд — это атака, которая провоцирует перегрузку сетевых интерфейсов и серверов за счет генерации большого объема UDP-трафика, фактически занимая всю полосу пропускания.
UPD-трафик — это поток данных, который передается по сети без проверки доставки. Информация передается быстрее, но без гарантии, что она дойдет до конечной точки.
TCP SYN — это отправка в открытый порт сервера массы SYN-пакетов, не приводящих к установке реального соединения по тем или иным причинам. Сервер перестает обрабатывать настоящие подключения.
TCP SYN/ACK — это атака с использованием пакетов SYN/ACK без инициированного соединения, создающая дополнительную нагрузку на обработку состояний соединений и сбивающая логику сетевого набора.
SYN/ACK — это часть процесса установления соединения в сети: подтверждение сообщения, отправленного получателем.
GRE-флуд — это атака разновидность «атаки с усилением», эксплуатирующая протокол GRE (Generic Routing Encapsulation). Во время атаки на уязвимые устройства посылаются GRE-пакеты с поддельным IP-адресом жертвы, в результате чего устройства отправляют на адрес жертвы значительно больший объем ответа, что приводит к истощению ресурсов на стороне атакуемого.
ICMP / ICMPv6-флуд — это атака с использованием служебных сообщений сети (например, echo-запросов), направленная на перегрузку каналов связи и сетевого оборудования за счет генерации большого количества управляющего трафика.
ICMP — это служебный сетевой протокол, который используется для передачи технических сообщений о состоянии сети.
Ключевые выводы исследования
- Доля атак на промышленность в первом квартале выросла с 8% до 19%, сделав ее одной из основных целей злоумышленников.
- Телекоммуникационный сектор остается крупнейшей целью, однако его доля снизилась с 43%, в конце 2025 года, до 32% — в начале 2026 года. Аналогичная динамика наблюдается в госсекторе, около 15%, и связана с перераспределением атак в пользу других отраслей.
- 5% атак приходится на финансовый сектор против 8% годом ранее. При этом интерес злоумышленников к отрасли сохраняется, а изменения могут указывать на рост ее устойчивости к атакам.
- Доля атак на ретейл выросла с 1% до 6%, на транспорт — с 0% до 2%. При этом медицинские организации, на которые приходилось до 8% атак в конце 2025 года, в начале 2026 года снизились до минимальных значений.
- Атаки на усиление DNS (DNS amplification) снизились с 38% до 7%, а сценарии перегрузки системы за счет обработки фрагментированных пакетов (IP fragmentation) — с 27% до 3%, указывая на отказ от доминировавших ранее сценариев.
- Нагрузка с помощью большого количества TCP-пакетов (TCP ACK) выросла с 10% до 25%, перегрузка каналов за счет UDP-трафика (UDP-флуд) — с 10% до 25%, а массовые запросы на установку соединения (TCP SYN) — с 10% до 22%.
- При этом увеличивается использование комбинированных техник: атаки с использованием SYN/ACK без инициирования соединения (TCP SYN/ACK) поднялись с 1% до 7%.
- Вспомогательные протоколы сохраняют присутствие — инкапсуляция трафика для обхода фильтрации (GRE) на уровне 4% и генерация служебного сетевого трафика (ICMP) — 3%.
Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности компании «Гарда»:
«Итоги первого квартала 2026 года указывают на системную адаптацию тактик: злоумышленники уходят от amplification- и fragmentation-сценариев, доминировавших в прошлом году, и возвращаются к классическим TCP- и UDP-нагрузкам, при этом не отказываясь от комбинирования техник и их адаптации под конкретные задачи. Это формирует гибридную модель атак, где инструменты подбираются под текущую конфигурацию ИБ-инфраструктуры».
Метод исследования: анализ данных проведен аналитиками киберугроз Центра компетенций информационной безопасности компании «Гарда».
Период: первый квартал 2026 года.
Источники данных: собственная телеметрия продуктов компании и сети интернет-ловушек.
Результаты имеются в распоряжении «РБК Трендов».
➤ Подписывайтесь на телеграм-канал «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.