Тенденции DDoS-атак в 2025 году

Обложка: Тенденции DDoS-атак в 2025 году

В итоговом материале за 2025 год рассказываем, какие отрасли атаковали чаще всего, как менялись технические характеристики и общая динамика инцидентов, а также чего следует ожидать в текущем году.

Сохранить PDF с отчетом о DDoS-атаках

График DDoS-атак 2025 по сравнению с 2024 — DDoS-Guard
Распределение атак по месяцам в 2025 году по сравнению с 2024 — данные DDoS-Guard

Хотя количество DDoS-атак продолжает расти, в 2025-м наша статистика показала самый небольшой прирост год к году за все время наблюдений — 1,6%. Означает ли это, что актуальность угрозы DDoS-атак снижается? Напротив! У такой кажущейся аномалии есть сразу несколько объяснений:

Первый фактор — глобальное изменение тактики политически мотивированных DDoS-атак, которые продолжаются с 2022 года. Вместо конкретных ресурсов теперь в большинстве своем такие атаки бьют по провайдерам, у которых зачастую есть собственная защита от DDoS. Теперь эти хактивистские атаки в нашу статистику не попадают, что вызвало заметное снижение числа инцидентов. Более того — вместо атак на сайты c какой-либо защитой от DDoS злоумышленники переключились на цели без защиты вообще (их даже в 2025 году остается достаточно много), чтобы не тратить ресурсы впустую.

Второй фактор — продолжается тренд, ярко наметившийся в 2024 году: переход количества атак в их качество. Самих DDoS-атак становится меньше, но они более длинные, изощренные и бьют по более уязвимым местам цели. 

Третий фактор — в середине прошлого года мы добавили для наших клиентов функционал тонкой настройки чувствительности защиты. Теперь если клиент видит множество отчетов об атаках, которые, по его мнению, не критичны, он может понизить чувствительность. Это более удобно для практического использования — но мелкие атаки, соответственно, не попадают в нашу статистику.

Уровни чувствительности защиты — DDoS-Guard.png

За год сильно (почти на 50%) подросла распределенность атак — то есть количество уникальных IP-адресов, с которых идут вредоносные запросы. 

В 2024 году наибольшее число уникальных IP-адресов в одной DDoS-атаке едва превышало 950 тысяч. В течение 2025 года мы видели постепенный прирост до 1,4 млн, затем до 1,7 млн, и в итоге зафиксировали рекордную атаку, в которой участвовало 2 050 039 уникальных IP. Используемый злоумышленниками ботнет содержит больше зараженных устройств, чем все население отдельно взятой страны, например, Латвии.

Причины таких изменений, несомненно, связаны с ежегодным приростом на несколько миллиардов единиц числа умных устройств вроде видеокамер и роутеров, основного «сырья» для ботнетов. К разнообразию уязвимых устройств присоединились даже солнечные батареи.

2025 год стал годом суперботнетов, вроде AISURU, несколько раз подряд побившего мировой рекорд по мощности DDoS-атаки. Поэтому столь стремительный рост распределенности атак не удивляет — но сильно повышает необходимость защиты от DDoS.

Топ-стран источников атакующих запросов 2025 год — DDoS-Guard

Топ стран, которые чаще всего служили источниками DDoS-атак, как и в прошлом году, возглавили США, благодаря развитой IT-инфраструктуре и, соответственно, большим возможностям для злоумышленников воспользоваться прокси-услугами. Не вызывает особого удивления и сама Россия на втором месте среди географических источников атак на Россию — это известная тактика киберпреступников, которые арендуют мощности поближе к цели атак, чтобы не попасть под механизм геоблокировки. На третье место вышла Индонезия, причем с большим отрывом (почти в два раза от Бразилии на четвертой позиции).

В некоторых отчетах других провайдеров Индонезия и вовсе возглавляет топ стран-источников DDoS-атак. Это напрямую связано с общим ростом распределенности и подъемом суперботнетов — Индонезия с каждым годом все сильнее цифровизируется, стремительно растет число умных устройств, вместе с тем уровень цифровой грамотности населения пока остается не слишком высоким, и эти устройства быстро удаленно взламываются и попадают в состав ботнетов.

Распределение DDoS-атак в 2025 году по продолжительности — DDoS-Guard
Распределение DDoS-атак в 2025 году по продолжительности

В 2025 году ощутимо выросло время средней атаки. Если в 2024-м большая часть всех атак (почти миллион) длилась менее 20 минут, то в 2025-м с колоссальным перевесом (почти в 5 раз!) лидируют уже атаки длиной от 20 минут до часа.

Преобладание атак длиной менее 20 минут сохраняется только на уровне L3-L4, где такие атаки составили 95% всех инцидентов за год.

Ощутимо выросло число средних (до 6 часов, на 25%) и сверхдолгих (более суток, на 17%) DDoS-атак.

Продолжается также замеченный в начале года тренд на гомогенизацию атак по месяцам и дням недели: июль по-прежнему остается самым активным месяцем для DDoS, но в 2025-м декабрь практически вплотную к нему приблизился. Сокращаются разрывы по числу атак между остальными месяцами года и днями недели (пока самым атакуемым днем остается четверг), можно предположить что через пару лет они практически исчезнут, и DDoS-атаки станут просто постоянным фоном 24/7.

Уже с первого квартала 2025 года мы наблюдали тренд на множество одновременных маленьких атак на множество маленьких ресурсов, например, по 500 запросов в секунду на 40 доменов одного владельца. Это создает напряженный фон в трафике, направленном на конкретного владельца ресурса. По всей видимости, атакующие предварительно собирают информацию по тому, кому принадлежат домены и планируют свои атаки так, чтобы они были менее заметными. Еще одно интересное наблюдение: микроатаки длительностью в несколько секунд, которые при этом обладают большой мощностью. 

На графиках атак в течение года видно, что иногда прямо в процессе атаки, вероятно из-за отсутствия видимого эффекта, ее вектор резко меняется с сохранением цели. Хакеры, таким образом, продолжают учиться на своих ошибках прямо в реальном времени. 

Ярко проявившиеся в первом квартале высокопараллельные атаки с малым количеством запросов на множество доменов одного владельца — во втором практически исчезли. Также почти не наблюдались единичные атаки с гигантской мощностью, но с максимально короткими интервалами по времени. Вероятно, произошла их трансформация в Pulse Wave — DDoS-атаки, где потоки вредоносного трафика идут волнами с паузами. Пример можно увидеть ниже. В конце графика видно, что атакующие переключились на трафик постоянной мощности в попытках подобрать паттерн, который был бы эффективен.

График DDoS-атаки «Pulse Wave» — DDoS-Guard

Увеличилось число вялотекущих слабых атак в фоне — в июне 2025 мы зафиксировали внезапный всплеск их объема сразу в 6 раз по сравнению с любым из месяцев Q1 2025.

Возобновились reflect-атаки, когда злоумышленники подменяют IP-адреса и направляют трафик якобы от лица жертвы в большом количестве в надежде, что жертву «завалит» ответами. В качестве исходящих портов подключения используются порты из общеизвестного зарегистрированного диапазона, например, относящиеся к протоколам bgp, smtp, а в качестве жертвы — почти всегда какой-нибудь интернет-провайдер.

На уровне L3 часто наблюдались атаки вида TCP/UDP флуд на различные служебные порты в широком диапазоне (по портам и адресам по всей /24), особенно на 80 порт по TCP маленькими пакетами.

Пример атаки маленькими пакетами на служебные порты и 80 порт — DDoS-Guard

Подавляющее большинство атак (8 из 10) пришлось в 2025 году на уровень L7. Также заметно увеличилась и их плотность: количество запросов в самой мощной атаке составило 859 млн (рост на 270% по сравнению с первым кварталом).

График распределения атак по месяцам — DDoS-Guard
График с числом атак на уровень L7 за последние 2 года. Несмотря на отсутствие выдающихся всплесков, как в июле 2024 года, общий атакующий фон в 2025 усилился и стал более равномерным

Следует также отметить ощутимое (на 70%) повышение интенсивности атак по количеству запросов в секунду после периода относительной стабильности в этом плане (в первые два квартала 2025 года этот показатель практически не менялся).

Больше всего обращает на себя внимание, как изменились цели атакующих по отраслям.

Динамика DDoS-атак по отраслям — DDoS-Guard

Сектор бизнеса и промышленности, уверенно державшийся последние годы в топ-3 целей DDoS, теперь сместился на пятое место (расслабляться владельцам бизнеса, однако, не стоит, это всего лишь означает, что количество атак осталось примерно на том же уровне, что в 2024-м (более 70 тысяч нейтрализованных инцидентов).

Помимо вечно лидирующих в этом рейтинге банков и финорганизаций (рост атак на этот сектор тоже серьезный, 45%), а также самих телеком-провайдеров (рост атак составил 80%), в 2025 чаще всего атаковали государственные сервисы и игровые порталы и серверы.

Рост атак по этим отраслям составил за год умопомрачительные 250% и 310% соответственно. О причинах усиленного внимания к игровой индустрии высказался Денис Сивцов, руководитель направления защиты сети на уровне L3-4 в DDoS-Guard:

Мы видим колоссальный прирост атак на игровые сервисы, потому что индустрия развивается, в нее вливаются огромные деньги — за новые игровые серверы часто ведется жесткая конкурентная борьба, где DDoS-атаки часто выступают как оружие, чтобы переманивать аудиторию. Речь не только про российские, но и про мировые игровые сервисы — атакующим безразлична географическая или национальная принадлежность сервиса, пока из этого можно извлечь прибыль.

По мере роста рынка игровых сервисов количество атак тоже будет расти. Так как DDoS-атаки сами по себе постоянно становятся мощнее и мощнее, безотносительно того, на кого они направлены, игровая отрасль тоже это ощутит на себе. Дополнительно следует отметить, что в игровых сервисах часто используются собственные самописные сетевые протоколы, поэтому многие стандартные меры защиты не работают там должным образом. Если подавляющее большинство веб-ресурсов можно защитить одними и теми же инструментами, то каждый игровой сервис — это отдельный проект на разработку защиты, что ощутимо увеличивает бюджет на нее.

В 2025 году наблюдается сокращение общего числа атак одновременно с увеличением их длительности и вместе с тем колоссальный рост ударов по определенным отраслям

Таким образом, злоумышленники сменили тактику и теперь бьют более точечно и эффективно.

Для мира минувший год в DDoS стал годом неожиданных «черных лебедей» вроде суперботнета AISURU, который продемонстрировал реальную возможную мощность атак, ранее считавшуюся фантастической. 

Это знаковый момент, который повлияет на весь DDoS-ландшафт — а судя по резкому росту распределенности и длительности атак, уже начал влиять. Следует ожидать более сильных и более долгих атак. Их сложность и многовекторность также будут расти.

Как и в прошлом году, большинство атак (80%) пришлись на прикладной уровень L7, в 2026 году этот тренд несомненно продолжится.

Факты говорят сами за себя: судя по тому, как резко переменились в 2025 году топовые отрасли из числа атакуемых злоумышленниками (при этом атаки на бывших лидеров рейтинга не сократились, а выросли), от DDoS-атаки сегодня не застрахован никто

Именно поэтому так важно своевременно подключить профессиональную защиту и быть уверенным в завтрашнем дне.

Поделиться:

Читайте также

Итоги 2025 года

Отчёты

Итоги 2025 года в DDoS-Guard

Рассказываем о ключевых обновлениях сервисов и событиях в жизни компании за прошедший год

10 мин
94
1920x1080 Реактивная оборона_ почему бизнес экономит на DDoS-защите в эпоху усиления атак.jpg

Отчёты

Реактивная оборона: почему бизнес экономит на DDoS-защите в эпоху усиления атак

DDoS-Guard публикует результаты исследования, проведенного совместно с оператором ИТ-решений «ОБИТ»

140
1920x1080 Дайджест новостей.jpg

Отчёты

Дайджест событий в мире кибербезопасности за третий квартал 2025 года

Собрали все самые яркие события и киберинциденты, которые произошли за третий квартал 2025 года. Также дополнили их нашей собственной аналитикой

22 мин
747