DDoS больше не гасят одной кнопкой. ФСТЭК разложила защиту по пяти классам атак — от UDP-флуда до операторов связи

ФСТЭК России опубликовала рекомендации по защите информационной инфраструктуры от атак типа «отказ в обслуживании». Документ вышел на фоне роста DDoS-атак на российские сети и адресован не только госорганам, но и операторам государственных информационных систем, субъектам критической информационной инфраструктуры, операторам связи и владельцам информационно-телекоммуникационных сетей.

Ведомство описывает защиту не общими фразами, а через конкретные классы атак. В документ вошли меры против перегрузки каналов связи, включая UDP-флуд, ICMP-флуд, DNS- и NTP-амплификацию, против протокольных атак вроде SYN-флуда и фрагментационных атак, а также против атак на уровне приложений, включая HTTP-флуд, Slowloris и медленные POST-запросы. Отдельный блок посвящен мультивекторным атакам, где злоумышленники одновременно бьют по нескольким уровням инфраструктуры.

Рекомендации выглядят как инженерная памятка для сетевых администраторов и специалистов по информационной безопасности. ФСТЭК предлагает провести инвентаризацию сервисов, доступных из интернета, разделить критичные ресурсы по разным IP-адресам или подсетям, настроить мониторинг трафика и заранее зафиксировать нормальные значения нагрузки. Для такого мониторинга в документе упоминаются NetFlow, sFlow, IPFIX, а также открытые инструменты вроде Zabbix, LibreNMS и ntopng.

Отдельное внимание регулятор уделил операторам связи. Для защиты от подмены IP-адресов ФСТЭК рекомендует включать проверку обратного пути uRPF на абонентских интерфейсах, а для реакции на крупные атаки использовать BGP Remote Triggered Black Hole и взаимодействовать с центрами очистки трафика через BGP-сессии, IPsec или GRE-туннели. При обнаружении атаки организациям предлагают сразу подключать специалистов оператора связи, а не пытаться отражать перегрузку только средствами собственной площадки.

В технической части документ затрагивает настройки маршрутизаторов, межсетевых экранов, серверов и Linux-систем. Для UDP-флуда ФСТЭК рекомендует ограничивать скорость трафика на сетевых устройствах и отключать неиспользуемые UDP-сервисы. Для ICMP-флуда — запрещать широковещательные ICMP-запросы и оставлять только необходимые служебные протоколы. Для SYN-флуда — включать SYN cookies, применять stateful inspection и ограничивать число полуоткрытых соединений.

Для атак на веб-приложения ведомство предлагает использовать WAF, антибот-защиту через обратный прокси или балансировщики нагрузки, блокировать пустые и подозрительные User-Agent, а также настраивать таймауты соединений, чтобы медленные запросы не удерживали ресурсы сервера слишком долго. В рекомендациях также упоминаются настройки Nginx, включая ограничения размера заголовков и тела запроса.

Публикация ФСТЭК ложится в общий тренд начала 2026 года. По данным участников рынка, атакующие чаще комбинируют несколько методов в одном инциденте, а нагрузка смещается между телекомом, государственным сектором, промышленностью и коммерческими сервисами. В первом квартале 2026 года доля атак на промышленность, по данным «Гарды», выросла с 8% до 19%, а телекоммуникационный сектор сохранил крупнейшую долю атак, хотя снизился с 43% до 32%.

Новый документ не вводит отдельный нормативный режим, но показывает, какой набор практических мер ФСТЭК считает базовым для защиты от DDoS. Для организаций смысл рекомендаций сводится к простой вещи: защита от отказа в обслуживании больше не ограничивается покупкой одной услуги фильтрации. Инфраструктуру нужно заранее описать, разделить, настроить, привязать к мониторингу и согласовать порядок действий с оператором связи до начала атаки.