DDoS-as-a-service окончательно перестал быть набором кустарных скриптов для форумных энтузиастов и все больше напоминает нормальный онлайн-сервис: с тарифами, техподдержкой, API и партнерскими схемами. Для российских разработчиков, ИБ-команд и владельцев онлайн-продуктов это неприятная новость: порог входа в DDoS-атаки снова просел, а значит, заказать перегрузку сайта или API теперь может не только мотивированная группа, но и любой клиент с пятью долларами и плохим характером.
По данным BleepingComputer, исследователи Flare сравнили подпольную активность, связанную с DDoS, за первые пять месяцев 2023 и 2026 годов и увидели не просто рост объема, а смену формата рынка. Общее число записей выросло умеренно, с 4403 до 4964, зато число «высокосигнальных» объявлений о DDoS-услугах подскочило с 38 до 364, то есть почти в десять раз. Количество уникальных кластеров объявлений выросло с 31 до 123, уникальных акторов — с 15 до 41, а число источников, где такие предложения засветились, увеличилось с 22 до 43. Иными словами, рынок не просто жив, а активно масштабируется и диверсифицируется.
Самое показательное тут не в абсолютных цифрах, а в упаковке. В 2023 году на площадках чаще мелькали скрипты, утекшие инструменты, гайды и довольно расплывчатые объявления в духе «botnet service». В 2026-м это уже оформленные продукты. Flare приводит примеры сервисов вроде SatelliteStress с панелью управления, API, поддержкой игровых серверов и подпиской от 20 евро в месяц, а также RebirthStress с тарифами от $15 в месяц, акцентом на botnet-powered-инфраструктуру, более чем 400 слотами и возможностью перепродажи. Еще один сервис, Areshun, рекламирует «премиальные» атаки Layer 4 и Layer 7, мониторинг, интеграцию по API, кастомные планы, поддержку 24/7 и скидочные коды. Выглядит это уже не как криминальный самопал, а как лендинг очередного B2B-сервиса, только продают там не аналитику и не хостинг.
Технический словарь тоже никуда не делся, но его функция изменилась. Если раньше он был маркером «для своих», то теперь это часть маркетинга. В объявлениях регулярно встречаются Layer 4 и Layer 7, panel, API, slots, bypass, monitoring, uptime, support. В одном из кейсов, связанном с THORCC, продавец заявлял более 7000 активных ботов для атак уровня L4 и отдельно подчеркивал аналитику по полосе пропускания и векторам атаки. В других объявлениях фигурировали обещания обхода Cloudflare и DDoS-Guard, высокая параллельность и длительные атаки. Верить таким обещаниям на слово никто не обязан, но для защитников важен сам набор тезисов: покупателю продают не просто трафик, а удобство запуска, автоматизацию, псевдонадежность и быстрый старт без собственной инфраструктуры.
Сколько это стоит и почему это проблема
Цены на таком рынке неприятно земные. Flare зафиксировала предложения с часовыми атаками за $5, атаками на сайт за $10 и 24-часовой атакой формата home holder за $25. Есть и более дорогие варианты: актер под именем SamuraiDD рекламировал атаки от $100 в день, а POWERDDOS использовал ступенчатую модель с тестами за $5, «слабыми» целями за $100 в день, «средними» за $200 и «сильными» или защищенными — за $500 в день. На верхнем конце рынка встречались и предложения инфраструктурного класса: например, DDoS-ботнет-сеть за $2000.
Такая сетка цен хорошо показывает сегментацию спроса. Дешевые короткие атаки — для низкопороговых пользователей, которым нужно положить чужой сайт, игровой сервер или личный кабинет «на попробовать». Посуточные тарифы — для точечной атаки на бизнес-процесс, акцию, запуск или конфликт с подрядчиком. Более дорогие схемы и реселлинг — уже для тех, кто хочет строить на этом свой сервис, а не просто разово кому-то испортить день. Отдельно Flare ссылается и на публичные оценки рынка booter-сервисов: Akamai ранее отмечала, что часть таких услуг может стоить меньше $25 в месяц и предлагать пробные периоды. То есть входной билет в DDoS остается тревожно дешевым.
Контекст тут тоже важен. Пока подпольный рынок учится продавать атаки как подписку, реальный масштаб DDoS продолжает расти. Cloudflare сообщала, что в 2025 году блокировала атаку мощностью 7,3 Тбит/с, а затем в отчете за четвертый квартал 2025 года заявила о смягчении атаки на 31,4 Тбит/с. Microsoft, в свою очередь, писала, что Azure в октябре 2025 года отразила атаку на 15,72 Тбит/с, связав ее с ботнетом Aisuru. Для бизнеса это означает простую вещь: рынок исполнителей становится удобнее, а верхняя планка мощности никуда не делась. Не каждый заказчик купит атаку на десятки терабит, но сама экосистема становится плотнее и взрослее.
Что это значит для команд разработки и бизнеса
Для разработчиков и продуктовых команд главный вывод довольно приземленный: DDoS-as-a-service снижает требования к атакующему не только технически, но и организационно. Чтобы ударить по сервису, больше не нужно собирать ботнет, понимать сетевые тонкости или держать собственную инфраструктуру. Достаточно панели, кнопки запуска и чужих обещаний про обход защиты. Значит, при моделировании угроз стоит исходить не из портрета «сложного хакера», а из того, что disruptive-атака может прийти от куда более массового и не слишком квалифицированного пула. Для SaaS, маркетплейсов, fintech-продуктов, игровых платформ и любых сервисов с чувствительным аптаймом это аргумент в пользу пересмотра лимитов, rate limiting, анти-DDoS-провайдера, сценариев деградации и наблюдаемости на уровне приложений, а не только сети.
Отдельная неприятность в том, что подпольный рынок начал продавать не только силу атаки, но и удобство масштабирования: API, автоматические платежи, реселлерские модели, «поддержку» и красивые панели. Это значит, что следующая стадия вполне предсказуема: больше брендинга, больше автоматизации, больше пакетных услуг «под ключ». И если еще несколько лет назад DDoS-атака выглядела как грубый инструмент для шумного саботажа, то теперь она все чаще оформляется как сервисная опция с низким порогом входа и понятной юнит-экономикой. Проверить исходные цифры и примеры объявлений можно в материале BleepingComputer .
The post DDoS-as-a-service подешевел до $5 и стал похож на SaaS appeared first on iTech News.