Поделиться
«Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак
Центр компетенций сетевой безопасности группы компаний «Гарда» провел исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2025 г. по сравнению с аналогичным периодом 2024 г. и вторым кварталом.
Цель исследования – определить основные типы атак, которым подвергались компании, и их распределение по отраслям и по типам в третьем квартале 2025 г.
В третьем квартале 2025 г. распределение DDoS-атак по отраслям заметно изменилось по сравнению как с предыдущим кварталом, так и с тем же периодом 2024 г. Резкий рост зафиксирован в телеком-секторе: с 15% год назад и 19% во втором квартале 2025 г. до 36% в третьем квартале – это крупнейший показатель среди всех отраслей. Уровень атак на госсектор, который был самым высоким в предыдущем квартале (34%), снизился до 19% и приблизился к показателям прошлого года (15%). В четыре раза за год снизилось количество DDoS на ИТ-сектор: с 32% в третьем квартале 2024 до 8% в третьем квартале 2025.
Небольшой рост до 12% показали DDoS-атаки на финансовые организации. До 8% снизилась доля атак на промышленность после роста в прошлом квартале, что все еще заметно превышает показатели прошлого года. Медицина впервые появляется в статистике – 7%, что указывает на рост интереса атакующих к этой отрасли. Ритейл удерживает стабильные 6% после включения в статистику во втором квартале. Медленно, но последовательно, растет число DDoS-атак на образование: с 0 год назад через 2% в предыдущем квартале и до 3% в третьем.
Во втором полугодии 2025 г. происходит качественный сдвиг в типах DDoS-атак. Примитивные однотипные нагрузки (TCP ACK, UDP) уходят на второй план, а их место занимают более сложные атаки – IP fragmentation, DNS/STUN amplification и гибридные TCP-сценарии (SYN + SYN/ACK). Это подтверждает тренд на усложнение DDoS и необходимость более глубокой многоуровневой фильтрации.
Самый заметный рост показал тип атак IP fragmentation: с 7% во втором квартале до 29% – это почти четырехкратное увеличение и возврат к тренду низкоуровневых сложных атак. Аналогичная динамика у TCP syn/ack, которого не было в статистике ранее (0% в 2024 и во втором квартале 2025), но во втором квартале он сразу занял 14%.
Усиленные атаки сохраняют значимость. DNS amplification вырос с 14% до 21%, и добавился тип STUN amplification (2%). Это указывает на активное использование механизмов усиления нагрузки. TCP SYN остается одним из основных методов, хотя его доля снизилась с 24% до 16%. TCP ACK, ранее доминирующий (27% в 2024), продолжает падать: с 12% до 7%, то есть классические однотипные TCP-нагрузки отходят на второй план. UDP-атаки также теряют популярность: 22% во втором квартале и всего 7% в третьем – одно из самых резких падений.
Категория «другие» резко сократилась с 21% до 4%, что может указывать на стандартизацию техник: злоумышленники концентрируются на нескольких конкретных сценариях, а не распыляются на множество нестабильных методов.
IP-атаки с фрагментацией направленны на замедление работы всех узлов сети, которые работают с пакетами данных. Это могут быть как конечные сервера с сервисами для пользователей, так и средства защиты информации, где происходит сборка сетевых сессий. Рост числа атак этого типа связан с двумя факторами: во-первых, злоумышленники развивают методы обхода средств защиты информации. Во-вторых, сами сетевые средства защиты также усложняются, что требует от атакующих все больше усилий при организации любого типа нападений.
Тем не менее суммарная доля сравнительно простых атак (TCP-SYN, TCP-SYN/ACK, TCP-ACK) все еще остается высокой и создает значительное давление на сервисы. Эти виды DDoS просто воспроизвести и по критерию «стоимость-эффективность» они по-прежнему востребованы у злоумышленников.
Рост доли DDoS-атак на телекоммуникационные компании объясним тем, что провайдеры прилагают все больше усилий для нейтрализации атак на более высоких уровнях, чем L4 по модели OSI. Это позволяет находить и блокировать атаки еще на уровне провайдера, а не на конечных хостах, что и отражает статистика.
Атакующие продолжают развивать свои подходы к организации DDoS-атак и применяют комплексные инструменты. Однако вместе с этим развиваются и методы противодействия, и, например, сейчас Anti-DDoS все чаще работает совместно с защитой веб-приложений (WAF).
Поделиться
Короткая ссылка
