Аналитика DDoS-атак Q3 2025

В третьем квартале 2025 года распределение DDoS-атак по отраслям заметно изменилось по сравнению как с предыдущим кварталом, так и с тем же периодом 2024 года. Резкий рост зафиксирован в телеком-секторе: с 15% год назад и 19% во втором квартале 2025 года до 36% в третьем квартале – это крупнейший показатель среди всех отраслей. Уровень атак на госсектор, который был самым высоким в предыдущем квартале (34%), снизился до 19% и приблизился к показателям прошлого года (15%). В четыре раза за год снизилось количество DDoS на ИТ-сектор: с 32% в Q3 2024 до 8% в Q3 2025.

Небольшой рост до 12% показали DDoS-атаки на финансовые организации. До 8% снизилась доля атак на промышленность после роста в прошлом квартале, что все еще заметно превышает показатели прошлого года. Медицина впервые появляется в статистике – 7%, что указывает на рост интереса атакующих к этой отрасли. Ритейл удерживает стабильные 6% после включения в статистику во втором квартале. Медленно, но последовательно, растет число DDoS-атак на образование: с 0 год назад через 2% в предыдущем квартале и до 3% в третьем.

Во втором полугодии 2025 года происходит качественный сдвиг в типах DDoS-атак. Примитивные однотипные нагрузки (TCP ACK, UDP) уходят на второй план, а их место занимают более сложные атаки – IP fragmentation, DNS/STUN amplification и гибридные TCP-сценарии (SYN + SYN/ACK). Это подтверждает тренд на усложнение DDoS и необходимость более глубокой многоуровневой фильтрации.

Самый заметный рост показал тип атак IP fragmentation: с 7% во втором квартале до 29% – это почти четырехкратное увеличение и возврат к тренду низкоуровневых сложных атак. Аналогичная динамика у TCP syn/ack, которого не было в статистике ранее (0% в 2024 и Q2 2025), но во втором квартале он сразу занял 14%.

Усиленные атаки сохраняют значимость. DNS amplification вырос с 14% до 21%, и добавился тип STUN amplification (2%). Это указывает на активное использование механизмов усиления нагрузки. TCP SYN остается одним из основных методов, хотя его доля снизилась с 24% до 16%. TCP ACK, ранее доминирующий (27% в 2024), продолжает падать: с 12% до 7%, то есть классические однотипные TCP-нагрузки отходят на второй план. UDP-атаки также теряют популярность: 22% во втором квартале и всего 7% в третьем – одно из самых резких падений.

Категория «другие» резко сократилась с 21% до 4%, что может указывать на стандартизацию техник: злоумышленники концентрируются на нескольких конкретных сценариях, а не распыляются на множество нестабильных методов.

Заключение

IP-атаки с фрагментацией направленны на замедление работы всех узлов сети, которые работают с пакетами данных. Это могут быть как конечные сервера с сервисами для пользователей, так и средства защиты информации, где происходит сборка сетевых сессий. Рост числа атак этого типа связан с двумя факторами: во-первых, злоумышленники развивают методы обхода средств защиты информации. Во-вторых, сами сетевые средства защиты также усложняются, что требует от атакующих все больше усилий при организации любого типа нападений.

Тем не менее, суммарная доля сравнительно простых атак (TCP-SYN, TCP-SYN/ACK, TCP-ACK) все еще остается высокой и создает значительное давление на сервисы. Эти виды DDoS просто воспроизвести и по критерию «стоимость-эффективность» они по-прежнему востребованы у злоумышленников.

Рост доли DDoS-атак на телекоммуникационные компании объясним тем, что провайдеры прилагают все больше усилий для нейтрализации атак на более высоких уровнях, чем L4 по модели OSI. Это позволяет находить и блокировать атаки еще на уровне провайдера, а не на конечных хостах, что и отражает статистика.

Атакующие продолжают развивать свои подходы к организации DDoS-атак и применяют комплексные инструменты. Однако, вместе с этим развиваются и методы противодействия, и, например, сейчас Anti-DDoS все чаще работает совместно с защитой веб-приложений (WAF).

В материале использованы следующие термины:

• TCP-атаки – атаки через сетевой протокол TCP:
  • TCP ACK – атака с использованием большого количества TCP-пакетов, которые подтверждают получение сообщения или серии пакетов
  • TCP SYN – отправка в открытый порт сервера массы SYN-пакетов, не приводящих к установке реального соединения по тем или иным причинам
  • TCP RST (TCP-reset) – атака, при которой злоумышленник разрывает соединение между двумя жертвами, отправляя одной или обеим фальшивые сообщения с командой прервать соединение
  • TCP NULL – атака через отправку TCP-пакетов без установленных флагов, чтобы обойти системы фильтрации и выявить уязвимые устройства
• UDP-флуд – атака, которая провоцирует перегрузку сетевых интерфейсов, занимая всю полосу пропускания трафика.
• L2TP amplification – атака усиления на L2TP (от англ. Layer 2 Tunnelling Protocol – протокол туннелирования второго уровня), используемый при создании VPN-соединений.
• IP fragmentation – атака основана на рассылке чрезмерного количества фрагментированных IP-пакетов, она перегружает вычислительную мощность и ресурсы атакуемой системы.
• DNS amplification – атака усиления, когда к имеющему уязвимость серверу DNS (от англ. Domain Name System, система доменных имен) отправляется поддельный запрос о домене, а его ответ значительного размера высылается серверу-жертве, в результате канал связи переполняется ответами.
• ICMP/ICMPv6 флуд – атака с помощью поддельных ICMP/ICMPv6-пакетов с широкого диапазона IP-адресов для переполнения каналов связи.
• GRE – это разновидность «атаки с усилением». GRE (Generic Routing Encapsulatio, общая инкапсуляция маршрутов) – это туннельный протокол, который инкапсулирует различные сетевые протоколы в пакеты Internet Protocol. При атаке GRE Floods на уязвимые устройства посылаются GRE-пакеты с поддельным IP-адресом жертвы, в результате чего устройства отправляют на адрес жертвы значительно больший объем ответа, что приводит к истощению ресурсов на стороне атакуемого.