С июня 2025 года у российских владельцев сайтов появилась очень практичная проблема: ресурс мог быть технически исправен, сервер работал, защита Cloudflare не отключалась, но пользователи из России видели поломанную загрузку. По данным Cloudflare, российские провайдеры начали ограничивать трафик к сайтам под её защитой так, что браузер получал только первые 16 КБ веб-объекта. Для большинства страниц такой объём означает не медленную работу, а фактическую недоступность.
Этот эпизод важен не как спор вокруг одной компании, а как проверка старой модели защиты. Глобальная сеть доставки контента, или CDN, раньше часто закрывала сразу несколько задач: ускоряла сайт, скрывала исходный сервер, фильтровала мусорный трафик и гасила DDoS. После регуляторных и сетевых ограничений российский бизнес стал смотреть на защиту иначе. Нужна не просто сильная внешняя платформа, а управляемый контур, который работает в российских сетях, оплачивается без сюрпризов и имеет поддержку, способную ночью разбирать инцидент на русском языке.
Главная развилка здесь не «глобальные против российских». Механизмы разные. Akamai в марте 2022 года приостановила продажи в России и Белоруссии, прекратила работу с российскими и белорусскими государственными клиентами, но прямо заявила, что сознательно сохраняет сетевое присутствие в России. Cloudflare, напротив, не описывала уход из России: с её стороны речь шла о принудительном замедлении трафика локальными провайдерами, которое сама компания не контролирует.
Почему аргумент в пользу локального контура стал конкретным
Раньше фраза «геополитические и сетевые риски» звучала слишком общей. В 2025 году вокруг Cloudflare сложилась понятная хронология. 19 февраля Роскомнадзор принудительно включил Cloudflare в реестр организаторов распространения информации. 2 апреля ведомство рекомендовало владельцам российских интернет-ресурсов отключить TLS ECH, то есть расширение протокола TLS, скрывающее часть данных о соединении, или использовать отечественные CDN-сервисы. 9 июня началось ограничение загрузки до первых 16 КБ, о котором Cloudflare публично сообщила 26 июня.
Для владельца сайта детали важнее политической рамки. Если ресурс обслуживает российскую аудиторию, доступность зависит не только от мощности зарубежной сети и качества фильтрации. Доступность зависит от того, как российские операторы пропускают трафик, какие протоколы блокируются или режутся, можно ли быстро поменять схему подключения, кто отвечает за деградацию и как доказать причину сбоя. Без локальной операционной модели даже хороший зарубежный сервис превращается в точку неопределённости.
Локальные платформы получили спрос не из-за одного события. Российские поставщики Anti-DDoS давно работали с банками, операторами связи, дата-центрами, ретейлом и государственными сервисами. Но ограничения вокруг глобальных CDN резко упростили вопрос для заказчика: если личный кабинет, платежи или мобильное приложение критичны для выручки, защита должна учитывать российскую маршрутизацию и российскую поддержку, а не только общую ёмкость сети фильтрации.
Рынок растёт потому, что DDoS бьёт по деньгам
В 2025 году потребление WAF и Anti-DDoS в России выросло на 19% и достигло 11 млрд рублей, по оценке N4A, которую привёл ComNews. Прогноз на 2026-2028 годы предполагает среднегодовой рост около 25%. Сегмент всё ещё меньше рынка средств защиты периметра, но темп понятен: компании переносят продажи, обслуживание, документы, платежи и поддержку в веб-приложения, а сбой онлайн-точки входа сразу давит на деньги.
Статистика атак у разных поставщиков расходится по масштабу, потому что каждый видит собственных клиентов, свои каналы и собственную методику подсчёта. Но направление совпадает. StormWall в итогах 2025 года зафиксировала рост числа DDoS-атак в России в 1,8 раза, средняя мощность инцидентов выросла на 63% с 71 до 116 Гбит/с, а доля многовекторных атак поднялась с 25% до 52%. Компания также отмечала рост целевых атак на API на 68%.
Другие срезы подтверждают давление на инфраструктуру. «Солар» сообщил, что в 2025 году российские компании столкнулись с 665,3 тыс. DDoS-атак, на 11% больше, чем годом ранее; в среднем на одну организацию пришлось 931 атака. RED Security оценивала число DDoS-атак на российские компании в 2025 году более чем в 186 тыс., что в 2,7 раза выше показателя прошлого года, а самая мощная атака в её телеметрии достигала 626 Гбит/с. Цифры не надо складывать между собой. Их надо читать как независимые сигналы: DDoS стал чаще, мощнее и сложнее по технике.
Глобальная картина не мягче. В отчёте за четвёртый квартал 2025 года Cloudflare писала, что за весь 2025 год отразила 47,1 млн DDoS-атак, а рекордная атака достигла 31,4 Тбит/с. Для российского заказчика эта цифра не означает, что ему нужна терабитная подписка завтра утром. Но гипермасштабные атаки меняют ожидания к поставщикам: фильтрация должна включаться быстро, правила должны обновляться без длинных согласований, а отчёты должны показывать не только красивый график, но и реальную причину деградации.
Что продаёт современная Anti-DDoS-платформа
Базовый слой закрывает сетевые и транспортные атаки на уровнях L3 и L4 модели OSI. Сюда попадают UDP Flood, SYN Flood, ICMP Flood, отражённые атаки через сторонние сервисы и попытки забить канал мусорным трафиком. В таком сценарии решают пропускная способность центров очистки, близость точек фильтрации, качество маршрутизации, готовность провайдера принять всплеск и вернуть очищенный трафик без заметной задержки.
Прикладной уровень L7 сложнее. Атакующий отправляет внешне корректные HTTP- или HTTPS-запросы к тяжёлым участкам сайта: авторизации, поиску, корзине, личному кабинету, форме оплаты или API. Сервер видит не мусорный поток, а множество запросов, похожих на обычные действия пользователя. Если защита отвечает грубо, легитимные клиенты получают капчу, ошибки или блокировку по адресу мобильного оператора.
Поэтому зрелая защита уже не сводится к «трубе фильтрации». В нормальный контур входят Anti-DDoS для L3/L4, защита L7, WAF, то есть межсетевой экран веб-приложений, антибот, защищённый DNS, журналирование, личный кабинет, программный доступ к настройкам и возможность быстро менять правила. CDN тоже остаётся полезным, но в российском контексте CDN нужно выбирать с учётом доступности из нужных сетей, а не только по глобальному числу точек присутствия.
Кто закрывает российский спрос
Первую группу формируют специализированные поставщики. На рынке заметны CURATOR от Qrator Labs, DDoS-Guard, StormWall, Kaspersky DDoS Protection, NGENIX и другие сервисы, которые продают защиту сайтов, сетей, серверов, DNS, ботов и веб-приложений как отдельную услугу. Их выбирают, когда DDoS уже стал инженерной задачей, а не приложением к хостингу.
Вторая группа - облачные и инфраструктурные провайдеры. Yandex Cloud разделяет задачи: Yandex DDoS Protection защищает облачные ресурсы от DDoS на L3/L4, а Smart Web Security работает на L7 и закрывает веб-приложения от DDoS, ботов и ряда прикладных угроз. Selectel даёт базовую защиту своей инфраструктуры и предлагает партнёрские варианты Curator, DDoS-Guard и StormWall. Такой формат удобен компаниям, которые уже держат ресурсы у провайдера и хотят подключать защиту через знакомую панель и один договор.
Третья группа - операторы связи и крупные интеграторы. МТС, «Ростелеком», «МегаФон» и другие игроки строят Anti-DDoS вокруг каналов, магистральной сети, центров очистки и корпоративной поддержки. Такой вариант чаще подходит компаниям с собственными подсетями, несколькими площадками, выделенными каналами и требованием защищать не только сайт, но и сетевую инфраструктуру.
Границы между группами постепенно стираются. Специализированный поставщик добавляет WAF, антибот и CDN. Облачный провайдер подтягивает L7-защиту. Оператор связи продаёт не только канал, но и сервис киберустойчивости. Заказчику от этого не легче и не тяжелее. Просто сравнивать приходится уже не коробки и не логотипы, а конкретную схему движения трафика.
Выбор начинается не с бренда, а с точки отказа
У интернет-магазина болят корзина, поиск, авторизация, оплата и API мобильного приложения. У игрового сервиса - задержка, UDP-трафик и короткие всплески. У банка - договорные показатели доступности, журналы, интеграция с центром мониторинга безопасности и разбор ложных срабатываний. У медиа - доступность сайта, защищённый DNS, CDN и скрытый исходный сервер. Один тариф не закрывает эти сценарии одинаково хорошо.
| Сценарий | Что проверять | Типичная ошибка |
|---|---|---|
| Сайт компании или медиа | L7-фильтрация, CDN, защищённый DNS, скрытие исходного IP-адреса | Основной домен закрывают, но прямой адрес сервера оставляют доступным |
| Интернет-магазин | Защита корзины, поиска, авторизации, оплаты и API | Слишком жёсткая капча режет покупателей сильнее, чем атака |
| Финтех и банк | Отчёты, договорной уровень доступности, интеграция с мониторингом, ночная поддержка | Сравнивают только цену за полосу и игнорируют разбор инцидентов |
| Игровой сервис | Задержка, UDP, география очистки, работа под короткими всплесками | Покупают веб-защиту там, где страдает игровой протокол |
| Корпоративная сеть | BGP, защита подсетей, связь с оператором, резервная площадка | Закрывают публичный сайт, но оставляют каналы и VPN без защиты |
Перед покупкой полезно составить карту публичных точек входа. В неё должны попасть основной домен, поддомены, API, старые тестовые адреса, административные панели, DNS, почтовые следы, прямые IP-адреса балансировщиков и резервные площадки. Атакующему не нужно пробивать дорогой фасад, если рядом осталась незакрытая служебная дверь.
Следующий вопрос - схема подключения. DNS-перенаправление и обратный прокси проще включить, особенно для сайта. GRE-туннель и BGP-анонс дают больше контроля для сетевой инфраструктуры, но требуют сильной сетевой команды и аккуратной маршрутизации. Экстренное подключение во время атаки возможно не всегда: если исходный адрес уже раскрыт, смена DNS сама по себе не спасёт.
Сколько стоит защита и за что берут деньги
Экономика Anti-DDoS редко укладывается в одну строку прайса. Поставщики могут считать защищаемую полосу, количество доменов, число защищаемых IP-адресов или подсетей, объём чистого трафика, число запросов на L7, набор правил WAF, антибот, DNS, CDN, экстренное подключение, уровень поддержки и договорные показатели доступности. Дешёвый тариф иногда закрывает только объёмный мусор на L3/L4, а прикладная защита сайта покупается отдельным пакетом.
Для малого сайта важнее не переплатить за сетевую ёмкость, которая никогда не понадобится, и не оставить открытую L7-атаку. Для интернет-магазина цена простоя и цена ложной блокировки часто выше, чем разница между соседними тарифами. Для банка или телеком-компании главная статья расходов может быть не сама фильтрация, а проектирование схемы, тесты, интеграция с мониторингом, отчётность и дежурная поддержка.
Нормальный расчёт начинается с ущерба от простоя. Сколько стоит час недоступности личного кабинета, витрины, API или оплаты? Сколько обращений упадёт в поддержку? Какие договорные штрафы сработают? Только после этого имеет смысл сравнивать цену защиты. Иначе компания экономит на подписке, а потом платит простоями, ручными обходами и потерянными заказами.
Что проверить до подписания договора
Поставщика нужно проверять не презентацией, а сценарием. Попросите показать, как именно пойдёт трафик от пользователя до вашего сервера, где трафик очистят, как быстро включат ручной режим, кто имеет право менять правила и как откатывается ошибочная блокировка. Если защита работает через капчу, проверьте мобильных пользователей, корпоративные сети, регионы и браузеры с ограничениями. На бумаге всё это выглядит мелочами. Во время атаки мелочи становятся причиной второго сбоя.
- Уточните, какие уровни OSI входят в тариф и где заканчивается базовая защита.
- Проверьте, защищает ли сервис API без постоянной капчи и ручных исключений.
- Спросите, как поставщик считает чистый трафик, мусорный трафик и превышение полосы.
- Проверьте, можно ли скрыть исходный IP-адрес и что делать, если он уже известен.
- Зафиксируйте порядок экстренной эскалации, контакты дежурной смены и время реакции.
- Попросите пример отчёта после атаки: без понятного отчёта сложно доказать причину простоя внутри компании.
Учебная атака или нагрузочный тест нужны не ради красивого графика. Такой тест показывает задержку, ложные блокировки, реакцию поддержки и слабые места архитектуры. Если поставщик не готов обсуждать тестовый сценарий, заказчик покупает не услугу защиты, а обещание.
Ограничения, которые нельзя закрыть покупкой Anti-DDoS
Anti-DDoS не исправляет слабое приложение. Если сервер падает от тяжёлого запроса к базе данных, фильтрация выиграет время, но не устранит причину. Если разработчики оставили дорогой поиск без ограничения частоты запросов, L7-защита будет постоянно выбирать между блокировкой ботов и риском задеть живых пользователей. Если исходный IP-адрес опубликован в старых DNS-записях, письмах или тестовых конфигурациях, атакующий может обойти защитный контур.
Локальный поставщик тоже не решает все задачи. Если аудитория распределена по миру, российская платформа может проиграть глобальной сети по задержке для пользователей в других регионах. Международному сервису часто приходится строить гибридную схему: отдельный российский контур для пользователей внутри страны и отдельный зарубежный контур для других рынков. Такая архитектура сложнее, зато снижает зависимость от одной сети, одной юрисдикции и одного маршрута.
Ещё один риск - слепая вера в максимальную мощность. Рекордные терабиты хорошо смотрятся в коммерческих материалах, но большинству компаний важнее другое: насколько быстро поставщик распознаёт конкретный вектор, насколько аккуратно фильтрует L7, сохраняет ли доступность из мобильных сетей и можно ли понять, что произошло. DDoS редко выглядит как одна большая волна. Всё чаще это смесь объёмного шума, прикладного флуда, ботов, разведки API и коротких зондирующих ударов.
Куда движется рынок
Российский рынок Anti-DDoS уходит от продажи отдельной «очистки трафика» к платформам защиты доступности. В одной связке оказываются L3/L4, L7, WAF, антибот, DNS, CDN, журналы, кабинет, правила, программные интерфейсы и отчёты для службы безопасности. Такой набор нужен не ради красивой витрины. Атаки бьют по тем же точкам, через которые бизнес зарабатывает деньги: авторизация, API, платежи, поиск, личный кабинет, партнёрские интеграции.
Облачные провайдеры будут включать базовую защиту всё глубже в инфраструктуру. Малому и среднему бизнесу такой путь удобен: серверы, балансировщик, DNS, L3/L4 и часть L7 можно собрать в одной экосистеме. Крупные компании, скорее всего, продолжат держать несколько контуров: операторская защита для сетей, специализированный Anti-DDoS для публичных сервисов, WAF и антибот для приложений, резервная площадка на случай аварии.
Рынок уже достаточно созрел, чтобы задавать поставщику неприятные, но правильные вопросы. Где очистят трафик? Что будет с API? Кто отключит ошибочное правило ночью? Сколько стоит чистый трафик при всплеске? Что делать, если российский пользователь не проходит через зарубежную CDN? Ответы на эти вопросы важнее рекламной цифры в терабитах.
Вопросы и ответы
Anti-DDoS и WAF решают одну задачу?
Нет. Anti-DDoS защищает доступность сервиса от перегрузки трафиком, а WAF проверяет запросы к веб-приложению и помогает блокировать эксплуатацию уязвимостей. На практике два класса защиты часто продаются вместе, потому что атаки на L7 проходят через тот же веб-слой, где работают боты, формы, API и пользовательские сессии.
Почему нельзя просто оставить зарубежную CDN?
Для некритичного сайта зарубежная CDN может оставаться рабочим вариантом. Для сервиса с российской аудиторией риск выше: доступность зависит от российских операторов, протокольных ограничений, оплаты, поддержки и возможности быстро поменять схему подключения. С июня 2025 года ограничение трафика к ресурсам под защитой Cloudflare показало этот риск на практике.
Достаточно ли защиты от хостинг-провайдера?
Для небольшого сайта иногда достаточно базовой L3/L4-защиты. Для интернет-магазина, личного кабинета, API, платёжной страницы или сервиса с высокой ценой простоя нужна прикладная защита L7, отчёты, настройка правил и понятный порядок эскалации. Базовая фильтрация канала не спасёт приложение, которое падает от корректных, но тяжёлых HTTP-запросов.
Что важнее: полоса фильтрации или задержка?
Нужны оба параметра, но выбирать только по полосе опасно. Полоса важна при объёмных атаках, а задержка критична для игр, мобильных приложений, торговых систем и сервисов с частыми короткими запросами. Проверять нужно маршрут реальных пользователей, а не только максимальную мощность в коммерческом описании.
Когда нужен BGP-сценарий подключения?
BGP нужен, когда компания защищает собственные подсети, несколько площадок, сетевую инфраструктуру или каналы связи. Для одного сайта чаще хватает DNS-перенаправления или обратного прокси. BGP даёт больше контроля, но требует сетевой экспертизы и аккуратной маршрутизации.
Можно ли подключить Anti-DDoS уже во время атаки?
Иногда можно, но скорость зависит от схемы. DNS-подключение может сработать быстро, если исходный IP-адрес не раскрыт. Защита подсетей, BGP, сложные API и приложения с несколькими точками входа требуют подготовки. Критичные сервисы лучше подключать и тестировать заранее.
