DDoS-атаки в 2026: почему под ударом именно малый бизнес

В ноябре 2025 ко мне пришёл клиент с интернет-магазином электроники. Три дня подряд сайт лежал в пиковые часы - 19:00-22:00. Хостинг молчал, программист разводил руками. Я открыл логи - там 40 000 запросов в минуту с одного IP-пула в Азии, все на одну страницу корзины. Классический HTTP flood.

Клиент не был "крупной добычей". Оборот 2-3 млн в месяц, 5 сотрудников. Никаких громких новостей, никаких геополитических причин. Просто кто-то купил на даркнете дешёвый ботнет за 200 долларов и пошёл проверять, у кого из мелких e-commerce защита слабее. Мы - не защитились.

Подключили Cloudflare Free за 20 минут. Атака продолжалась ещё день, но сайт работал. Через неделю - тишина. Атакующий перешёл к следующей жертве, которую положить проще.

Эта история стала нормой. И в 2026 году она случается в 1.8 раза чаще, чем в 2025.

Что происходит с DDoS прямо сейчас

Данные от StormWall, опубликованные 21 апреля 2026 года. В Q1 2026 количество DDoS-атак в России выросло на 82% по сравнению с тем же кварталом 2025. На глобальном уровне - на 168%. Мир атакуют вдвое активнее, Россию - чуть меньше, но всё равно ощутимо.

Распределение по отраслям в России:

И самое неприятное - про мощность. В январе 2026 StormWall зафиксировал волну атак выше 2 Тбит/с; некоторые доходили до 3,5 Тбит/с. В марте была атака с участием более 4 миллионов IP-адресов (anti-malware.ru, 18.03.2026). Такой трафик раньше видели только целевые государственные атаки. Сейчас - коммерческий рэкет.

Почему малый бизнес - главная цель

Распространённая иллюзия: "я маленький, кому я нужен". На деле - именно поэтому и нужен.

Атакующим невыгодно штурмовать банк. У банка миллионные бюджеты на Qrator, штат SOC, план реагирования. Атака на банк - это недели подготовки и 80% шанс провалиться. Атака на онлайн-магазин сантехники - один вечер, бесплатный ботнет из телеграм-канала, 90% шанс уложить на 4-6 часов. Разница огромна.

Это называется RansomDDoS (RDoS) - цифровой рэкет. Бизнес-модель проста: атакующий кладёт сайт, пишет владельцу "заплати 50 тысяч в крипте - атака прекратится". Платить не обязательно; иногда атака сама кончается через день-два, когда бот-оператор переключается на следующую жертву. Но если бизнес теряет 100-200 тысяч за день простоя, мысль "просто заплачу" возникает быстро.

И это работает. По данным Positive Technologies, малый и средний бизнес - основная цель RansomDDoS именно из-за слабой защиты в сочетании с высокой чувствительностью к простоям. Чем меньше бизнес - тем дороже каждый день.

Ритейл пиково попадает под удар в праздники. В 2026 StormWall отдельно отметил лавины атак 23 февраля и 8 марта - дни, когда интернет-магазины подарков зарабатывают месячный оборот за 72 часа. Положить сайт ровно перед 8 марта - идеальный сценарий для вымогателей.

Что поменялось в 2026: короткие импульсы и много векторов

Классический DDoS 2015 года - это одна мощная волна, которая держится часами. Сейчас - иначе.

89% DDoS-атак в 2026 длятся менее 10 минут. Хит-энд-ран: быстрый удар, короткая передышка, новый удар с другого вектора. Мониторинг едва успевает зафиксировать - атака уже прошла.

Зачем так? Короткая атака обходит многие автоматические защиты: они не успевают среагировать. А повторяющиеся импульсы (5-10 раз в день по 2-5 минут) убивают доверие к сайту: клиент пытается зайти, получает "сайт недоступен", идёт к конкуренту и не возвращается. Даже если каждая атака короткая, общий эффект - десятки потерянных клиентов в неделю.

Количество коротких импульсных атак в Q1 2026 выросло на 20% к Q1 2025, особенно в телекоме. Это новая норма, и защита должна реагировать на секунды, не минуты.

Добавьте к этому многовекторность. Раньше атаковали один слой: либо сеть (SYN flood), либо приложение (HTTP flood). Сейчас - несколько слоёв одновременно, плюс атаки на API, плюс попытки брутфорса админки, плюс массовые обращения к тяжёлым страницам (поиск, фильтры). Защита должна видеть всё сразу.

Как понять, что вас атакуют

Простой сайта - не всегда DDoS. Мы несколько раз приходили "чинить атаку", а находили неправильный конфиг nginx или переполненный диск. Вот признаки реальной атаки:

• В логах сервера - тысячи запросов в секунду с похожими паттернами (один User-Agent, один тип URL)
• CPU/RAM на сервере в потолке, при этом Яндекс.Метрика не показывает соответствующего роста посетителей (боты в Метрику не попадают)
• Хостинг присылает уведомление о превышении лимитов по CPU или трафику
• Странная география в логах: 80% запросов из стран, где у вас нет клиентов
• Запросы идут на одну-две страницы (чаще всего корзина, поиск, вход в ЛК)

Если сайт просто "не открывается", но нагрузка на сервере низкая - это почти всегда не атака. Это DNS, сертификат, хостинг, бэкенд. Проверьте статус хостинга и пинг к серверу. Если сервер пингуется, но сайт не открывается по http - смотрите в сторону приложения, а не атаки.

Отдельная история - утечки персональных данных. Современные атаки в 2026 всё чаще комбинируют: сначала DDoS отвлекает админов, параллельно ищется уязвимость в панели или API, и уходят данные клиентов. Положили сайт - проверьте, не утекли ли заодно пароли.

Сколько стоит защита: реальные цены

Тут есть большая пропасть между "защита для малого бизнеса" и "защита для банка". Корпоративные решения типа Qrator, StormWall Enterprise, DDoS-Guard Business - это от 348 000 руб./мес по минимальному тарифу. Для сайта интернет-магазина обуви это нонсенс.

Реальные опции для малого бизнеса:

Cloudflare - очень недооценённое решение в русскоязычном сегменте. Безлимитная защита от DDoS включена даже в Free-тариф: если атака идёт, Cloudflare автоматически её режет на своей сети, до вашего сервера трафик не доходит. Минусы: интерфейс на английском, оплата по карте (не всегда РФ), обработка данных через зарубежные точки. Для обычного бизнеса плюсы перевешивают, для работы с персональными данными по 152-ФЗ - лучше DDoS-Guard или StormWall с российской инфраструктурой.

И ещё важный момент про Cloudflare Free. Он не только от DDoS защищает. Включает бесплатный CDN (сайт быстрее для клиентов из разных регионов), SSL-сертификат, базовый WAF для защиты от SQL-инъекций и XSS. За 0 рублей - это лучшее решение из существующих для малого бизнеса.

Второй слой: спам форм, боты, мониторинг

Cloudflare режет сетевой DDoS. Но есть отдельная история - спам в формах и рутинный бот-трафик, который Cloudflare не всегда ловит. Бот заходит как "почти нормальный пользователь", проходит базовые проверки, и начинает крутить вашу форму заявки или регистрации. На фоне настоящих клиентов в Метрике - мусор: десятки "заявок" в день с китайских IP, спам в комментарии, фейковые регистрации, попытки брутфорса админки.

Защита здесь - другая. Нужна не фильтрация канала, а антибот-слой прямо на сайте: проверка поведения пользователя (движения мыши, скорость заполнения формы), скрытые поля-ловушки, анализ отпечатка браузера, rate limiting на конкретный эндпоинт. Для малого бизнеса это обычно собирают из кусков: капча + honeypot + rate limit на уровне сервера + мониторинг.

Мы собрали это в один сервис - DevShield. Это наш собственный продукт, не буду скрывать. Делали его, потому что CleanTalk работает по устаревшим методам (только по базе email/IP), Cloudflare Pro платить $20/мес за одну функцию дорого, а собирать свою защиту на каждом проекте устали. DevShield - это антиспам форм + антибот + rate limiting + мониторинг с Telegram-алертами, всё в одной JS-строчке.

Цены:

Ключевое: DevShield - это не замена Cloudflare. Это второй слой. Cloudflare режет атаку на входе в сеть, DevShield защищает конкретные формы и эндпоинты от ботов, плюс шлёт в Telegram уведомления, если что-то пошло не так. Вместе - закрывают ~95% типовых сценариев для малого бизнеса за сумму до 1000 руб./мес.

Данные DevShield хранятся в РФ (сервер в Москве), соответствует 152-ФЗ. Интерфейс на русском, капчу пользователю показывать не нужно - за счёт PoW-алгоритма ALTCHA и поведенческого анализа.

Что делать прямо сейчас

Если вы читаете эту статью и у вас до сих пор нет никакой DDoS-защиты - это нужно было сделать ещё вчера. Но план на сегодня такой.

Первое. Подключите Cloudflare Free или DDoS-Guard. 30-60 минут работы: регистрация, прописать NS-серверы в регистраторе домена, подождать обновления DNS. Если не уверены - это типовая задача, её делаем за полчаса, оставьте бриф.

Второе. Защитите формы от ботов. Минимальный вариант - Яндекс SmartCaptcha, бесплатная и русскоязычная. Вариант без видимой капчи для пользователя и с мониторингом - наш DevShield: подключается одной строкой JS, Free-тариф на 1000 проверок/мес бесплатно, Бизнес за 700 ₽/мес даёт плюс антибот и Telegram-алерты.

Третье. Если у вас свой сервер - настройте fail2ban на основные сценарии (брутфорс SSH, перебор на формах, спам в комментариях). На шаред-хостинге подобное часто включено по умолчанию, проверьте у провайдера.

Четвёртое. Подключите мониторинг доступности. UptimeRobot бесплатно пингует сайт каждую минуту и пишет в Telegram, если сайт упал. Знать про проблему через 2 минуты после начала - лучше, чем через 4 часа от клиента.

Пятое. Имейте план на случай, если защита не сработала: куда написать (контакты провайдера защиты), кому позвонить (техдиректор или подрядчик), как быстро включить режим "технические работы" на сайте с контактами для клиентов. План должен быть в бумажном виде или в Telegram - не только в корпоративной почте, которая тоже может упасть.

Финальная мысль

Я часто слышу от клиентов: "я подумаю про защиту после первой атаки". Проблема в том, что после первой атаки - уже некогда думать. Клиенты уходят, заявки теряются, репутация страдает за день сильнее, чем можно представить заранее. А вымогатели знают, что после первой успешной атаки следующие ждать не нужно: они вас уже в списке.

Атак стало больше в 2026. Они стали дешевле для атакующих и страшнее для целей. Малый бизнес, который игнорировал эту тему, в этом году попадёт под раздачу массово. Cloudflare Free за ноль рублей - это не "временное решение", это минимум гигиены, как замок на входной двери.

Поставьте замок. Хотя бы бумажный.

Частые вопросы

Малый бизнес реально атакуют, или это страшилка?

Атакуют, и часто. Q1 2026: +82% год-к-году в России. RansomDDoS - отдельная бизнес-модель, целенаправленно работающая по мелким жертвам. Дневная DDoS-атака с арендованным ботнетом обходится атакующему в $100-200 (данные Kaspersky), готовый ботнет на покупку - от $99. Для жертвы простой интернет-магазина на день - прямые потери выручки плюс уход клиентов. Математика в пользу атакующих.

У меня сайт-визитка, не интернет-магазин. Всё равно нужна защита?

Да, но проще. Cloudflare Free закроет 80% сценариев без платы. Если ваш сайт - единственный канал получения заявок, его падение на день - это прямые потери. Лучше защититься заранее.

Cloudflare точно работает в РФ?

Работает, но с нюансами. Для обычного бизнеса - полностью. Для обработки персональных данных по 152-ФЗ - желательно дублирование на российскую платформу или использовать сразу DDoS-Guard/StormWall. Для госструктур и банков - Cloudflare не вариант, нужна сертификация ФСТЭК.

Сколько времени нужно на подключение защиты?

От 30 минут до 2 часов. Cloudflare - 30-60 мин включая настройку DNS. DDoS-Guard - 1-2 часа с учётом верификации аккаунта. Полная проверка, что всё работает - ещё день. Быстрее, чем объяснять клиентам, почему сайт снова не работает.

Если атака уже идёт, что делать?

Не паниковать и не платить выкуп. Включить режим "I'm Under Attack" в Cloudflare (даже на Free), собрать логи для анализа, сообщить хостингу, чтобы включили дополнительную фильтрацию. Большинство атак проходят сами за 1-3 дня, если лишить атакующего быстрой выгоды.