«Гарда» провела исследование DDoS-атак в третьем квартале 2025 года
Центр компетенций сетевой безопасности группы компаний «Гарда» провел исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2025 года. Эксперты отмечают, что во втором полугодии 2025 года происходит качественный сдвиг в типах DDoS-атак.
В третьем квартале 2025 года распределение DDoS-атак по отраслям заметно изменилось по сравнению как с предыдущим кварталом, так и с тем же периодом 2024 года. Резкий рост, по данным компани, зафиксирован в телеком-секторе: с 15% год назад и 19% во втором квартале 2025 года до 36% в третьем квартале – это крупнейший показатель среди всех отраслей. Уровень атак на госсектор, который был самым высоким в предыдущем квартале (34%), снизился до 19% и приблизился к показателям прошлого года (15%).
Во втором полугодии 2025 года происходит качественный сдвиг в типах DDoS-атак. Примитивные однотипные нагрузки (TCP ACK, UDP) уходят на второй план, а их место занимают более сложные атаки – IP fragmentation, DNS/STUN amplification и гибридные TCP-сценарии (SYN + SYN/ACK). Это подтверждает тренд на усложнение DDoS и необходимость более глубокой многоуровневой фильтрации.
Самый заметный рост показал тип атак IP fragmentation: с 7% во втором квартале до 29% – это почти четырехкратное увеличение и возврат к тренду низкоуровневых сложных атак. Аналогичная динамика у TCP syn/ack, которого не было в статистике ранее (0% в 2024 и Q2 2025), но во втором квартале он сразу занял 14%.
Усиленные атаки сохраняют значимость. DNS amplification вырос с 14% до 21%, и добавился тип STUN amplification (2%). Это указывает на активное использование механизмов усиления нагрузки. TCP SYN остается одним из основных методов, хотя его доля снизилась с 24% до 16%.
Тем не менее, суммарная доля сравнительно простых атак (TCP-SYN, TCP-SYN/ACK, TCP-ACK) все еще остается высокой и создает значительное давление на сервисы. Эти виды DDoS просто воспроизвести и по критерию «стоимость-эффективность» они по-прежнему востребованы у злоумышленников.
Атакующие продолжают развивать свои подходы к организации DDoS-атак и применяют комплексные инструменты. Однако, вместе с этим развиваются и методы противодействия, и, например, сейчас Anti-DDoS все чаще работает совместно с защитой веб-приложений (WAF).
