Аналитика DDoS-атак Q2 2025

Во втором квартале 2025 года наибольшее количество DDoS-атак (34%) пришлось на государственные компании – это резкий рост по сравнению с предыдущим кварталом (13%). С 4% до 12% увеличилось количество атак на промышленные компании. Также усилия злоумышленников были направлены на 6% ритейл-организаций, которые отсутствовали в статистике первого квартала и во втором квартале прошлого года.

В то же время доля DDoS-атак на телекоммуникационные компании, которые традиционно оставались одной из самых атакуемых отраслей, на фоне роста давления на другие сектора показал значительное снижение: с 35% в Q2 2024 до 19% в Q2 2025. Уменьшилась доля DDoS-атак на ИТ-сектор – с 37% в первом квартале до 17% во втором, и компании сферы услуг – с 20% во втором квартале 2024 года до всего 1% в аналогичном периоде 2025 года. За год сократилась доля атак на финансовую отрасль с 10% до 9%, при этом в первом квартале текущего года показатель опускался до 2%. Уровень атак на образовательный сектор оставался стабильно низким – по 2% на протяжении всех трех периодов.

Выявленные изменения могут указывать на то, что злоумышленникам удалось обойти защиту на основе фильтрации по GeoIP. Это дало им возможность наращивать интенсивность атак на те отрасли, которые ранее эффективно использовали данный механизм. Кроме того, одной из предпосылок изменений стала быстрая цифровизация: по разным оценкам, количество IoT-устройств в России к середине 2025 года уже увеличилось на 35–40% по сравнению со всем предыдущим годом. Параллельно наблюдается рост ботнет-сетей – число атак с их использованием выросло почти на четверть. Изменяется и характер самих атак: все чаще злоумышленники используют инфраструктуру крупных западных ИТ-компаний, таких как Google или Cloudflare, что серьезно осложняет идентификацию и нейтрализацию угроз.

В распределении атак по типам продолжает лидировать количество DDoS через протокол TCP* на сетевом и транспортном уровнях (L3 и L4), хотя общее количество таких инцидентов снизилось до 49% с 54% в первом квартале. Количество флуд-атак (UDP) остается на втором месте с долей в 22%. Доля всех типов DDoS с усилением (amplification) сохраняется на уровне первого квартала и составляет 17%. Также стабильно высокой остается доля атак с использованием IP-фрагментации (7%).

Если в первом квартале 2025 года преобладали DDoS-атаки типа TCP ACK, то во втором квартале структура изменилась очень сильно. Это свидетельствует о том, что злоумышленники перераспределяют ресурсы и фокусируются на новых техниках. В частности, во втором квартале заметен рост атак с использованием WebSockets ‒ этот подход позволяет злоумышленникам обходить традиционные механизмы фильтрации и повышает эффективность нагрузки на атакуемые ресурсы. Также набирают популярность многоуровневые ботнеты, в которых одновременно используются как зараженные IoT-устройства, так и облачная инфраструктура. Такая гибридная модель делает атаки более масштабными, устойчивыми и сложными для выявления и отражения.

Заключение

Во втором квартале 2025 года сохраняется тренд на усложнение и многовекторность DDoS-атак. Злоумышленники продолжают использовать тактику «разведки боем», гибко подстраиваясь под защитные меры: это проявляется в резкой смене преобладающих техник (например, снижение доли TCP ACK-атак) и появлении других подходов — таких как атаки через WebSockets и применение многоуровневых ботнетов, сочетающих IoT-устройства и облачные ресурсы.

Наблюдается смещение фокуса на отрасли, ранее менее подверженные атакам: на первое место вышел госсектор, увеличилось давление на промышленность и ритейл. Это может быть связано с тем, что традиционные методы защиты, включая GeoIP-фильтрацию, теряют эффективность на фоне растущей сложности атакующей инфраструктуры.

Хотя доля DDoS на основе TCP-протоколов остается самой высокой, ее снижение по сравнению с первым кварталом, а также стабильные показатели атак с усилением и IP-фрагментацией, указывают на более избирательный подход к перегрузке конкретных сервисов. Все это подтверждает тенденцию: злоумышленники нацеливаются не столько на массированные атаки, сколько на точечное выведение из строя ключевых компонентов ИТ-инфраструктуры.

В материале использованы следующие термины:

• TCP-атаки – атаки через сетевой протокол TCP:
  • TCP ACK – атака с использованием большого количества TCP-пакетов, которые подтверждают получение сообщения или серии пакетов
  • TCP SYN – отправка в открытый порт сервера массы SYN-пакетов, не приводящих к установке реального соединения по тем или иным причинам
  • TCP RST (TCP-reset) – атака, при которой злоумышленник разрывает соединение между двумя жертвами, отправляя одной или обеим фальшивые сообщения с командой прервать соединение
  • TCP NULL – атака через отправку TCP-пакетов без установленных флагов, чтобы обойти системы фильтрации и выявить уязвимые устройства
• UDP-флуд – атака, которая провоцирует перегрузку сетевых интерфейсов, занимая всю полосу пропускания трафика.
• L2TP amplification – атака усиления на L2TP (от англ. Layer 2 Tunnelling Protocol – протокол туннелирования второго уровня), используемый при создании VPN-соединений.
• IP fragmentation – атака основана на рассылке чрезмерного количества фрагментированных IP-пакетов, она перегружает вычислительную мощность и ресурсы атакуемой системы.
• DNS amplification – атака усиления, когда к имеющему уязвимость серверу DNS (от англ. Domain Name System, система доменных имен) отправляется поддельный запрос о домене, а его ответ значительного размера высылается серверу-жертве, в результате канал связи переполняется ответами.
• ICMP/ICMPv6 флуд – атака с помощью поддельных ICMP/ICMPv6-пакетов с широкого диапазона IP-адресов для переполнения каналов связи.
• GRE – это разновидность «атаки с усилением». GRE (Generic Routing Encapsulatio, общая инкапсуляция маршрутов) – это туннельный протокол, который инкапсулирует различные сетевые протоколы в пакеты Internet Protocol. При атаке GRE Floods на уязвимые устройства посылаются GRE-пакеты с поддельным IP-адресом жертвы, в результате чего устройства отправляют на адрес жертвы значительно больший объем ответа, что приводит к истощению ресурсов на стороне атакуемого.