Рассказываем про собственную статистику DDoS-атак за 2025 и первый квартал 2026 года — и через эту призму размышляем об эволюции DDoS как явления в целом.
Предисловие: эволюция трафика и DDoS как явления
Распределенные атаки типа «отказ в обслуживании» появились не вчера — начало их эпохи принято отсчитывать с 22 июля 1999 года, когда была проведена первая DDoS-кампания, в которой участвовало всего лишь 114 зараженных компьютеров. Сегодня в самой обычной DDoS-атаке могут участвовать сотни тысяч и даже миллионы устройств, из которых компьютеры составляют небольшую долю — в основном сырьем для ботнетов становятся «умные устройства», а порой даже и солнечные батареи.
DDoS-атака в своем сегодняшнем виде — грозная и при этом недорогая разновидность кибератак. Защититься от нее своими силами практически невозможно, поскольку отдельные инструменты быстро теряют эффективность, а на кастомную разработку под конкретный проект чаще всего просто недостаточно ресурсов. Сегодня это явление абсолютно современное, неразрывно связанное с развитием технологий и удешевлением трафика.
Последний фактор сыграл ключевую роль в эволюции DDoS. Стоимость 1 Мбит/с в Москве за 25 лет (2000 и 2025 год) снизилась в тысячу раз, и аналогичная ситуация произошла по всему миру. Ультрадешевый трафик, появление безлимита и огромные (по меркам прошлого) пропускные полосы для домашнего интернета — вот основные компоненты той почвы, на которой в 2010-х и особенно 2020-х расцвели сверхмощные DDoS-атаки.
Еще один фактор, тесно связанный с предыдущим и который теперь кажется очевидным (проблема эта пока не решаема) — стремительный рост числа «умных устройств» с постоянным доступом в интернет. Количество IoT-девайсов в 2026 году уже троекратно превысило население планеты и продолжает стремительно увеличиваться (в основном в развивающихся странах с низким уровнем ИБ).
Это дает хакерам практически бесконечный ресурс для организации ботнетов из числа таких устройств путем автоматического сканирования по открытым IP и автоматического же «зомбирования» их путем рассылки вредоносных скриптов.
Рост числа атак объясняется еще и другой простой причиной: их теперь не обязательно организовывать самостоятельно, DDoS стал обычным онлайн-сервисом, который можно заказать и использовать без каких-либо специальных знаний — о технической части уже позаботились хакеры и хактивисты (однако важно помнить ,что во многих странах это преследуется по закону, в частности — в РФ). Стоимость же организации DDoS, одновременно с повышением их доступности, упала за 20 лет в 10-100 раз без учета инфляции.
В 2000-х основным техническим решением против DDoS-атак были специализированные сетевые устройства, которые, однако, обходились дорого в эксплуатации, и их могли позволить себе очень немногие. В 2010-х, по мере роста проблемы, сформировалась оптимальная экономически и технологически модель противодействия им — появились компании, специализирующиеся только на анти-DDoS защите, такие как DDoS-Guard. Теперь стало не нужно приобретать дорогостоящее оборудование и тратиться на технических специалистов — аутсорс-решение «под ключ» взяло все это на себя.
На сегодняшний день у DDoS-атак есть два основных типа и два основных источника.
Первый тип: атаки на уровне приложений, он же седьмой уровень модели OSI. Это преобладающий на сегодняшний день (80% и больше от всех инцидентов) тип атак, нацеленный на утилизацию ресурсов конечного оборудования.
Второй тип: атаки, проводимые на уровнях L3-4 модели OSI (сетевой и транспортный уровни). Все менее популярная с каждым годом разновидность DDoS, которая, однако, обладает грозным преимуществом: помимо исчерпания ресурсов конечного оборудования, они могут “положить” канал выхода в интернет, причем не только у жертвы, но и у всей сети апстрима, от которого этот канал поставляется.
Первый источник: ботнеты, состоящие из скомпрометированных устройств, взломанных либо зараженных, подконтрольных тому, кто их скомпрометировал. С этих устройств злоумышленник может сгенерировать любой тип атакующего трафика.
Второй источник: хактивисты. В принципе, это те же самые ботнеты, только люди добровольно запускают на своих ПК софт, создающий атаку в сторону жертвы. Такие атаки мотивированы политическими факторами — и учитывая, как интенсивно глобальные события развиваются сегодня, этот источник будет только усиливаться.
Глобальные проблемы DDoS сегодня
DDoS-атаки во второй половине 2020-х связаны с рядом очень специфических проблем, которые раньше было невозможно даже представить. Теперь же это реальность, с которой приходится считаться как бизнесу, так и провайдерам защиты.
Первый фактор — это резкое усиление ботнетов (причины уже были описаны выше: дешевый трафик и изобилие IoT-устройств). Уже в первом квартале 2026 года DDoS-Guard зафиксировала атаку с рекордной для нашего опыта распределенностью — вредоносные запросы одновременно посылали более 3 миллионов устройств. Рост этого показателя происходит очень стремительно — еще в 2024 году наибольшее число уникальных IP-адресов в одной DDoS-атаке едва превышало 950 тысяч, а рекорд второй половины 2025 года был чуть больше 2 млн. Таким образом, всего за полгода распределенность атак выросла на 50% (на 200% за полтора года), и это очень много.
Второй фактор — разумеется, тесно связанный с первым — это мультитерабитные, неожиданно оказавшиеся очень даже реальными и ощутимыми. Самый наглядный пример здесь — суперботнет AISURU, который во второй половине 2025 года несколько раз обрушил мировые рекорды и показал, что провайдеры защиты сильно недооценивали, насколько может вырасти сегодня мощь точечной DDoS-атаки.
AISURU такой пока что один (суперботнет Kimwolf оказался «сайд-проектом» тех же хакеров) — но очевидно уже недалек тот час, когда сверхмощные атаки, бросающие серьезный вызов системам защиты от DDoS, станут частью нашей повседневной реальности. Резкий рост распределенности атакующих адресов говорит о том, что ждать осталось недолго.
Третий фактор, пока не слишком проявивший себя — это использование злоумышленниками «ИИ» (то есть, нейросетей) для организации атак. На текущий момент этот фактор не особенно повлиял на рост мощности или число атак по сравнению с остальными перечисленными выше. И все же атаки определенно становятся более «хитрыми» и могут менять свой рисунок прямо в процессе, если становится понятна неэффективность изначального атакующего паттерна.
Тем не менее, в интернете есть множество статей, в которых утверждается, что без продвинутого «ИИ» в защите скоро невозможно будет отразить современные DDoS и нужно срочно всем подключать защитные решения на базе «ИИ» — но это по большей части просто маркетинговые материалы вендоров, которые продвигают свои «ИИ»-решения, и относиться к ним следует соответствующе.
Ключевые тренды 2025 года
Практически все мировые вендоры защиты от DDoS единодушны в своем заключении: 2025-й стал годом, когда наметились серьезные изменения на рынке DDoS-атак, и уже в 2026-м мы увидим, насколько сильными будут эти изменения.
Свежий отчет Radware Global Threat Analysis Report описывает 2025 год как «переломный для киберугроз». Эксперты заявляют, что демократизация кибератак больше не является теоретической проблемой; это наша реальность. В качестве причины этого указывается, что «конвергенция генеративных фреймворков для атак на основе ИИ и профессионализация услуг DDoS-атак фактически снизила барьер для входа». Наряду с прочими уже известными факторами, Radware отмечают возросшую роль невидимых уязвимостей IPI.
Gcore также сообщает, что злоумышленники «все чаще комбинируют атаки на сетевом уровне с методами на уровне приложений, направленными на исчерпание бизнес-логики, API и критически важных пользовательских потоков». Против профессиональных и все более усложняющихся атак сегодня будут работать «только интегрированные, многоуровневые стратегии защиты, выходящие за рамки традиционной защиты периметра», считают в компании.
Akamai соглашается со всем вышеперечисленным и отмечает, что «количество атак на веб-приложения продолжало расти двузначными темпами, DDoS-атаки продолжали стремительно развиваться, а злоупотребление API превратилось из технической проблемы в настоящий кризис обеспечения непрерывности бизнеса».
Nokia также констатирует, что «во второй половине 2025 мы вступили в совершенно новую эру распределенных атак типа «отказ в обслуживании» (DDoS) — это масштабный переход от корпоративных ботнетов к DDoS-атакам с использованием резидентных прокси-серверов».
Мы в DDoS-Guard со своей стороны отмечаем, что подавляющее большинство атак (8 из 10) пришлось в 2025 году на уровень L7. Заметно увеличилась и их плотность: количество запросов в самой мощной атаке составило 859 млн (рост на 270% по сравнению с первым кварталом).
Наши наблюдения и прогнозы
Самый яркий и выпуклый тренд 2025 года, который мы заметили — это резкий рост интереса хакеров к игровым сервисам. В минувшем году игровые серверы, приложения и официальные сайты атаковали на 310% чаще, чем в 2024-м (104 тысячи раз).
Также в 2025-м ощутимо выросло время средней атаки. Если в 2024-м большая часть всех атак (почти миллион) длилась менее 20 минут, то в 2025-м с колоссальным перевесом (более 400%) лидируют уже атаки длиной от 20 минут до часа. Преобладание атак длиной менее 20 минут сохраняется только на уровне L3-L4, где такие атаки составили 95% всех инцидентов за год. В первом квартале 2026-го эта ситуация сохраняется.
Ощутимо выросло число как средних (до 6 часов, на 25%), так и сверхдолгих (более суток, на 17%) DDoS-атак. Продолжается также замеченный в начале года тренд на гомогенизацию атак по месяцам и дням недели, и можно предположить, что через пару лет эта разница практически исчезнет, и DDoS-атаки станут просто привычным и постоянным фоном 24/7.
Если рост общего числа атак в 2025-м ощутимо замедлился (в отчете мы объясняем, по каким причинам), то в 2026-м уже наблюдается мощный старт и, возможно, статистика по его итогам изменится довольно сильно. Уже за первый квартал, с января по март, мы наблюдаем прирост количества атак в 30% (584 тысячи против 452 в Q1 2025).
Другие примечательные наблюдения:
L7 Атаки в Q1 2026 в среднем серьезно выросли в мощности. Раньше обычно доходили едва ли до пары сотен тысяч rps, а атаки на уровне от 500 тыс до 1 млн rps, что сейчас стали повседневностью, обычно заслуживали отдельного упоминания. Злоумышленник небольшого масштаба сегодня имеет в своем распоряжении атаки, которые 5 лет назад были только у самых крупнейших группировок.
Под прицел попадают все — на изображениях видно, что под атакой находятся в том числе и ресурсы, у которых всего лишь десятки rps легитимного трафика (при этом существует меняющийся, но вполне определенный топ атакуемых отраслей:, сейчас это бизнес-порталы, финорганизации, телеком-провайдеры, госсайты и игровые ресурсы)
Высокая вариативность атакующих IP-адресов. Это не спуфинг, а реальные уникальные IP, отчего эти атаки представляют еще большую опасность. Во всех атаках на приведенных изображениях по результатам анализа было от 900 тыс до 2,2 млн уникальных IP адресов, причем они не были замечены в других аномалиях. Учитывая частый паттерн такого поведения в последний месяц Q1 2026 (мощные атаки, большое количество уникальных IP, непересекающиеся IP между атаками на разные ресурсы), можно заключить, что речь идет о разных атакующих группировках.
Низкое качество атак. Часть атакующих запросов (на изображениях обозначена как suspicious) имела шанс «оправдаться» автоматизированными проверками, но не смогла этого сделать. Та часть, что обозначена как blocked, не смогла пройти даже базовые автоматические проверки. Это не страшно при наличии профессиональной защиты, но в таких объемах запросов и уникальных IP все еще очень разрушительно для систем без автоматизированной защиты. Запросы, крайне похожие на легитимные, все же встречаются, но их количество измеряется десятками-сотнями единиц, что несущественно на фоне 0,5-1 млн rps.
Невысокая продолжительность. Большая часть атак длится недолго, до десяти минут, однако бывают и исключения, например, до получаса. За этот период на ресурсы цели прилетают десятки и сотни миллионов запросов. Атаки приходят в разное время, иногда через несколько дней с измененным паттерном — вероятно, злоумышленники пробуют цель на прочность через разные параметры.
Прогнозы по DDoS-ландшафту на текущий момент довольно пессимистичные. Еще прошлой осенью мы проводили исследование, в рамках которого выявили опасный парадокс — несмотря на то, что общий объем закупок по киберзащите демонстрирует четкую тенденцию к росту, объемы закупок по части защиты от DDoS-атак сокращаются.
На фоне новостей об усилении ботнетов, генерирующих вредоносный трафик, и рекордах мощности атак, все это выглядит весьма тревожно. Для противодействия суперботнетам вроде AISURU, которые генерируют сотни тысяч DDoS-атак на госструктуру, уже требуется прямое государственное вмешательство. Более мелкие (но потенциально фатальные для сайта без защиты) DDoS-атаки, однако, по-прежнему остаются головной болью самих владельцев бизнесов — и эта ситуация сохранится еще долгое время (хотя и наблюдаются определенные подвижки).
В 2026 году следует ожидать как увеличения числа DDoS-атак, так и их усиления. После такого прошлогоднего черного лебедя как AISURU весьма вероятно возникновение новых схожих проектов суперботнетов — можно предположить, что основным сырьем для них снова станут страны Азии, где еще с начала 2025 года наблюдается резкий рост числа DDoS-атак в несколько раз.