Российский рынок Anti-DDoS: от глобальных игроков к локальным платформам

За последние несколько лет российский рынок Anti-DDoS-решений заметно трансформировался. Если в начале 2020-х годов значительная часть компаний опиралась на международные сервисы — прежде всего Cloudflare, Akamai и другие глобальные CDN- и edge-платформы — то после 2022 года началось активное смещение в сторону локальных провайдеров.

Часть зарубежных игроков существенно сократила присутствие на российском рынке, а часть сервисов столкнулась с ограничениями в работе и маршрутизации трафика. В результате бизнесу пришлось ускоренно переходить на отечественные решения обеспечения доступности и защиты интернет-ресурсов.

Как ранее отмечал Николай Комлев — исполнительный директор Ассоциации предприятий компьютерных и информационных технологий (АПКИТ), уход западных ИТ-вендоров стал одновременно стрессом и стимулом для развития локального рынка. Компании начали активнее инвестировать в собственные инфраструктурные и защитные сервисы, а киберустойчивость окончательно перешла из категории «дополнительной опции» в базовый элемент ИТ-архитектуры.

Одновременно существенно вырос спрос на защиту от DDoS-атак. Периметр риска заметно расширился: сегодня под ударом находятся уже не только банки и крупные цифровые экосистемы, но и e-commerce, маркетплейсы, логистические и транспортные сервисы, медиа, игровые и betting-платформы, SaaS и IT-провайдеры, а также региональные онлайн-площадки 

Данные отчета CURATOR за первый квартал 2026 года DDoS, боты и BGP-инциденты в 1 квартале 2026 года: статистика и тренды наглядно подтверждают расширение спектра целевых объектов злоумышленников.

«Еще три-четыре года назад типичный заказчик Anti-DDoS — это банк, крупная цифровая экосистема или маркетплейс. Сегодня к нам приходят логистические платформы, медиа, e-commerce, SaaS и IT-сервисы, региональные онлайн-площадки. Ландшафт угроз заметно расширился: злоумышленники атакуют там, где есть трафик, выручка и зависимость бизнеса от доступности. А это уже практически любая онлайн-компания», — говорит Дмитрий Ткачев, генеральный директор CURATOR.

Маркетплейсы столкнулись с крайне интенсивными атаками. Максимальная L3‑L4 DDoS‑атака на них достигала 1697 Гбит/с, а скорость передачи пакетов доходила до 330,2 Mpps.

SaaS‑сервисы, входящие в сегмент «ИТ и Телеком», также оказались в зоне повышенного риска. В первом квартале 2026 года на этот сегмент пришлось 19,3% всех DDoS‑атак — это второе место среди всех отраслей. При этом средняя длительность атак на сегмент «Программное обеспечение» составила 10,1 часа, что говорит о целенаправленных и продолжительных попытках нарушить работу сервисов.

Медиаресурсы (ТВ, радио, блоги) подверглись мощным и затяжным DDoS‑атакам. Максимальная интенсивность атаки на них достигла 1604 Гбит/с, а скорость передачи пакетов — до 136,6 Mpps. Средняя продолжительность таких атак составила 16,2 часа, что является одним из самых высоких показателей среди всех сегментов.

Региональные онлайн‑платформы уязвимы прежде всего из‑за своей инфраструктуры: многие из них размещаются на хостинговых платформах, которые стали заметной целью атак. На хостинговые платформы пришлось 6,8% атак в микросегментации, а интенсивность атак достигала 291,4 Mpps по скорости передачи пакетов. Дополнительную угрозу создает рост доли мультивекторных атак (сочетающих L3‑L4 и L7): если в 2025 году их доля составляла 3,6%, то в первом квартале 2026 года она выросла до 6,2%. Такие атаки особенно опасны для менее защищенных региональных платформ.

Таким образом, статистика первого квартала 2026 года демонстрирует явный тренд: злоумышленники все активнее атакуют не только традиционные цели (банки, финтех), но и маркетплейсы (с атаками до 1697 Гбит/с, SaaS‑сервисы (с долей атак 19,3% и инцидентами до 10,1 часа), медиаресурсы (с мощными атаками до 1604 Гбит/с и длительностью до 16,2 часов), а также региональные онлайн‑платформы — через уязвимости хостингов и распространение мультивекторных атак. Это подчеркивает необходимость усиления защиты для организаций всех масштабов и отраслей.

При этом характер атак усложнился: наряду с перегрузкой сетевых уровней (L3–L4) активно развиваются сценарии на уровне приложений (L7), включая имитацию поведения пользователей и обход классических механизмов фильтрации.

«К сожалению, терабитные атаки на наших глазах становятся обычной практикой — только в первом квартале этого года на своей инфраструктуре мы зафиксировали несколько таких случаев. Картина такова: крупный ботнет за год увеличился на порядок, атаки стали продолжительнее и сложнее, — рассказывает  Дмитрий Ткачев, — В таких условиях вопрос уже не в том, случится ли инцидент, а в том, как быстро бизнес сможет его пережить без остановки операций. Киберустойчивость — это не замена классической защите, а более комплексный подход к управлению рисками. Она предполагает, что бизнес способен сохранять доступность ключевых сервисов даже в условиях активной атаки. И сегодня такая способность становится не дополнительным преимуществом, а необходимым условием непрерывности бизнеса

На этом фоне в России сформировался зрелый рынок локальных Anti-DDoS-провайдеров. Конкуренция между ними постепенно смещается от базовой фильтрации трафика к комплексным платформам обеспечения доступности. Для заказчиков все большую роль играют не только точность фильтрации атакующего трафика, но и минимальная задержка, корректная работа веб-приложений через защитный контур, защита API и механизмы противодействия нежелательным ботам. 

CURATOR: инфраструктурная модель защиты доступности

На этом фоне CURATOR занимает позицию специализированного инфраструктурного провайдера решений для обеспечения доступности публичного цифрового периметра. Компания изначально развивала Anti-DDoS как ключевую экспертизу, а не как дополнительный сервис к CDN-, облачным или телеком-продуктам. Такой фокус позволил выстроить платформу вокруг точной фильтрации атакующего трафика, устойчивости к перегрузкам и сохранения работоспособности интернет-доступных сервисов даже в условиях интенсивных атак.

Флагманское решение CURATOR.ANTIDDOS представляет собой облачный сервис защиты от DDoS-атак с геораспределенной сетью фильтрации. По данным компании, инфраструктура включает 9 собственных и 12 партнерских центров точек очистки трафика (PoP), расположенных в России, странах СНГ, Северной и Южной Америках, Европе, Юго-Восточной Азии и Ближнем Востока. Общая пропускная способность сети фильтрации превышает 6 Тбит/с. Архитектура построена на модели BGP Anycast: трафик направляется к ближайшему или оптимальному узлу фильтрации, что позволяет распределять нагрузку между точками присутствия, снижать задержки и повышать устойчивость сервиса при пиковых нагрузках и атаках.

С точки зрения архитектуры решение относится к классу scrubbing-сервисов: пользовательский трафик перенаправляется в сеть фильтрации, где проходит анализ и очистку, после чего возвращается к защищаемому ресурсу. Основной акцент при этом сделан не только на масштабировании, но и на сохранении качества пользовательского доступа.

Отдельное внимание компания уделяет снижению влияния защитных механизмов на пользовательский опыт. В Anti-DDoS-сценариях ставка делается на прозрачную фильтрацию атакующего трафика без использования CAPTCHA как базового механизма защиты. CAPTCHA и другие формы интерактивной проверки уместны скорее в задачах противодействия нежелательным ботам, где требуется отличать автоматизированные действия от поведения реальных пользователей.

Для клиентов с повышенными требованиями к конфиденциальности, прежде всего в финансовом секторе, могут использоваться схемы подключения, при которых TLS-терминация и расшифровка прикладного трафика остаются в инфраструктуре заказчика. Это позволяет сохранять контроль над чувствительными данными, при этом выстраивая защиту на сетевом и транспортном уровнях без передачи содержимого HTTPS-сессий провайдеру защиты.

В целом CURATOR ориентирован на компании с интернет-доступными сервисами, API, веб-ресурсами и онлайн-платформами, для которых критически важно сохранять доступность для легитимных пользователей даже в условиях DDoS-атак, аномальных всплесков трафика и других внешних угроз. В таком подходе фильтрация атакующего трафика рассматривается не как самоцель, а как инструмент обеспечения непрерывной работы бизнеса.

Мнение экспертов: почему рынок движется к многоуровневой защите

Как отмечает Константин Гребенюк, руководитель отдела защиты от автоматизированных угроз департамента Fraud Protection компании F6, классические облачные Anti-DDoS-сервисы изначально создавались для отражения атак на сетевых уровнях L3–L5 и доказали свою эффективность в обработке больших объемов трафика и обеспечении доступности сервисов под нагрузкой.

Наиболее устойчивой становится многоуровневая архитектура, в которой облачные Anti-DDoS-решения отвечают за фильтрацию сетевого и транспортного трафика, а L7- и антибот-механизмы анализируют поведенческие характеристики запросов и сессий.

«Современная защита от DDoS уже не может быть однородной — она требует многоуровневой архитектуры, где каждый слой имеет собственный специализированный механизм фильтрации», — отмечает эксперт.
По словам Константина Гребенюка, такие решения сегодня востребованы практически во всех сегментах рынка — от среднего бизнеса до крупных высоконагруженных платформ. 

«Мы видим это и по собственной практике: запросы на защиту уровня L7 и антибот-механизмы за последний год выросли кратно. Бизнес все лучше понимает, что сетевая фильтрация — это необходимая, но уже недостаточная основа. Атака, имитирующая легитимный пользовательский трафик, не оставляет следов на уровне L3–L4, но способна полностью парализовать приложение. Именно поэтому мы развиваем CURATOR как платформу доступности, а не просто как scrubbing-сервис», — комментирует Дмитрий Ткачев.

Что сегодня важно заказчикам

Рынок Anti-DDoS давно вышел за пределы enterprise-сегмента. Сегодня подобные сервисы критичны для компаний, где даже кратковременная недоступность напрямую влияет на выручку: онлайн-ритейла, финтеха, логистики, игровых сервисов, медиа и SaaS.

На первый план выходят не только характеристики фильтрации, но и эксплуатационные параметры: стабильность под нагрузкой, скорость реакции на атаки, уровень ложных срабатываний и простота интеграции в существующую инфраструктуру.

Дополнительным фактором становится «прозрачность» защиты — бизнес ожидает, что механизмы безопасности будут эффективно блокировать атаки, но при этом оставаться незаметными для конечного пользователя.

Куда движется рынок

Российский рынок Anti-DDoS продолжает переход к фазе зрелости. Основным драйвером роста остается увеличение числа атак и усложнение их сценариев, включая L7-атаки, API-инфраструктуру и автоматизированные ботнет-системы.

При этом защита от DDoS все чаще становится частью более широкой edge-экосистемы, объединяющей CDN, WAF, антибот-защиту и инструменты обеспечения доступности.

В этих условиях конкуренция смещается от отдельных решений к инфраструктурным платформам. Побеждать будут те игроки, которые смогут обеспечить не только фильтрацию трафика, но и стабильную производительность, минимальные задержки и предсказуемость работы сервисов под нагрузкой.

На этом фоне CURATOR делает ставку на то, что становится ключевым требованием рынка: устойчивую сетевую инфраструктуру, предсказуемую работу сервисов под нагрузкой и быстрое подключение защиты без сложной интеграции. По мере роста требований к доступности именно такие подходы будут определять развитие сегмента Anti-DDoS в России. 

ООО «Эйч-Эль-Эль», ИНН 7704773923, Erid:2VtzqwqSoWp