Российская доменная инфраструктура превратилась в убежище для DDoS-стрессеров

Инцидент, послуживший отправной точкой для изучения, произошёл в марте 2026 года. Несколько проектов, связанных с браузерными играми, подверглись мощной комбинированной атаке. Злоумышленники использовали как атаки прикладного уровня (L7, HTTP-флуд), так и атаки уровня сети (L4, TCP/UDP-флуд), что привело к полной недоступности ресурсов. Самостоятельно отразить удар не удалось, и владельцу пришлось экстренно подключать внешнюю систему проксирования трафика, что обернулось регулярными расходами в десятки тысяч рублей ежемесячно. Именно этот неприятный опыт побудил автора разобраться в том, как устроен современный рынок DDoS-атак и кто за ним стоит.

Как выяснилось, ключевым инструментом для проведения атак остаются DDoS-стрессеры - сервисы, которые любой желающий может арендовать за криптовалюту. На таких платформах достаточно ввести IP-адрес или URL цели, выбрать длительность и метод атаки, после чего нажать кнопку запуска. Против подобных площадок регулярно проводятся международные операции под названием PowerOFF - Европол, ФБР и другие службы блокируют домены, изымают серверы и привлекают создателей к ответственности. Однако, как показало расследование, в российской юрисдикции у таких сервисов сформировалась особая "атмосфера".

Автор проанализировал более десяти активных DDoS-стрессеров и теневых форумов, включая площадки для продажи краденых банковских карт и поддельных документов. Почти все эти ресурсы используют домены, зарегистрированные через компании "Руцентр" и "Рег.Ру" - одних из крупнейших российских регистраторов. Более того, часть серверов, на которых размещаются эти стрессеры, защищена инфраструктурой DDoS-Guard - компании, которая позиционирует себя как поставщик решений для противодействия атакам. Возникает парадоксальная ситуация: средства защиты используются для обеспечения доступности тех, кто организует нападения.

Анализ показал, что сам по себе список таких ресурсов далеко не полный. В англоязычных киберпреступных сообществах российские регистраторы уже открыто называют "bulletproof" (неуязвимыми для блокировок). Там же подробно обсуждается, как обойти процедуру верификации KYC - купить сканы российских паспортов, использовать чужие банковские карты и оплачивать услуги криптовалютой. Для сравнения: у международных регистраторов вроде GoDaddy или Namecheap подобные домены живут не более 72 часов после жалобы, после чего снимаются с делегирования. В России же механизм реагирования на обращения практически отсутствует.

Автор направил жалобы на все обнаруженные ресурсы в уполномоченные организации: Координационный центр доменов .RU/.РФ, RIPN (администратор домена .SU), НКЦКИ, BI.ZONE, Dr.Web, RU-CERT, Роскомнадзор и МВД. Результат оказался удручающим. Большинство адресатов просто проигнорировали письма. Лишь один регистратор - "Руцентр" - формально ответил, но его ответ сводился к классической отписке. В нём компания заявила, что не является компетентным органом для определения признаков преступления, и готова заблокировать домены только по решению суда или запросу правоохранительных органов. Таким образом, обращения частных лиц фактически не имеют веса.

Это и есть корень проблемы. Формально у регистраторов есть процедуры идентификации клиентов, но на практике они не способны отличить реального владельца от мошенника, использующего поддельные документы. Жалобы на очевидные нарушения либо игнорируются, либо отправляются в бесконечное бюрократическое плавание. В результате киберпреступники чувствуют себя в полной безопасности и всё чаще регистрируют домены именно через российских провайдеров.

Особенно цинично выглядит позиция DDoS-Guard. Компания, чей бизнес построен на защите от атак, одновременно предоставляет свои мощности для работы сервисов, которые эти атаки проводят. На многочисленные жалобы реакции не последовало. Возникает вопрос: если компания-защитник не видит ничего предосудительного в обслуживании клиентов, чьи сайты прямо рекламируют "обход любой защиты" и обещают мощность атак до 5,4 Тбит/с, то о какой борьбе с DDoS-угрозами может идти речь?

Последствия такой политики очевидны. Российская инфраструктура становится тихой гаванью для международной киберпреступности. DDoS-стрессоры, размещённые на серверах под управлением российских регистраторов и защищённые российскими же средствами, могут атаковать любые цели по всему миру, включая российские сайты. Ущерб от таких атак несут не только владельцы ресурсов, но и конечные пользователи. Кроме того, на тех же площадках процветает торговля украденными данными и подделками документов, что напрямую угрожает финансовой безопасности граждан.

На момент публикации все перечисленные в расследовании ресурсы продолжали работу. Ни одно из обращений не привело к реальным действиям. Это системная проблема, которая требует немедленного вмешательства на уровне компетентных структур. Если регистраторы не могут или не хотят самостоятельно фильтровать противоправные домены, значит, необходимо либо ужесточать регулирование, либо создавать механизмы, при которых жалобы граждан будут иметь обязательную силу. Пока же российская доменная зона .RU, .РФ и .SU рискует окончательно закрепить за собой репутацию "серой зоны", где закон пишется только для тех, кто не может заплатить за обход.

IPv4

• 185.178.208.153
• 185.178.208.158
• 185.178.208.164
• 185.178.208.177
• 91.215.43.101
• 95.129.236.185

Domains

• carder.market
• ddos.su
• ddosforhi.ru
• ddosforum.online
• ddosnow.com
• mao-stress.su
• orbitalstress.su
• overload.su
• ratelimit.su
• Registrar.Eu
• stress.ba
• stressers.su
• thedarkvr.su
• volchmova.ru