Центр компетенций компании «Гарда» проанализировал изменения ландшафта и особенностей DDoS-атак за 2025 год. В этой статье мы расскажем, с какими типами DDoS-атак приходилось бороться компаниям и какие отрасли чаще других становились мишенями злоумышленников.
Поехали, будет интересно.
Какие отрасли чаще других подвергались DDoS-атакам в 2025 году
В течение года распределение DDoS-атак по отраслям претерпело заметные изменения, отражающие смещение приоритетов злоумышленников и адаптацию к мерам сетевой безопасности.
Количество DDoS в телекоммуникационном сегменте последовательно росло: с 29% в первом квартале до 43% в четвертом, закрепив за собой позицию основной цели. В госсекторе после увеличения с 13% до 20% во втором квартале доля инцидентов стабилизировалась на уровне 19% во втором полугодии, что указывает на устойчиво высокий интерес к данному сегменту.
На ИТ-сектор в первом квартале приходилась наибольшая доля DDoS-атак (37%), однако уже во втором и третьем кварталах она сократилась до 8%, а к концу года составила 10%. Атаки на финансовые организации также показали рост по отношению к началу года с пиком в 12% в третьем квартале.
В промышленности после снижения во втором квартале (4%) доля DDoS-атак увеличилась до 8% и удерживалась на этом уровне во втором полугодии. В медицине инциденты начали фиксироваться только с третьего квартала и к концу года достигли 8%, что говорит о появлении нового направления для атак. На образование на протяжении года приходилось стабильно небольшое количество DDoS — 2–3%.
В ритейле после всплеска в третьем квартале (6%) доля инцидентов снизилась до 1%. В сегменте услуг, напротив, после пика во втором квартале (20%) количество DDoS-атак относительно других отраслей вообще не проявлялось. При этом сами атаки и на ритейл, и на сектор услуг остались по-прежнему массовыми и интенсивными.
Как поменялся инструментарий злоумышленников при организации DDoS-атак в 2025 году
В 2025 году злоумышленники последовательно переходили от простых нагрузочных сценариев к более сложным и труднофильтруемым техникам. Так, в первом квартале доминировали классические TCP ACK-нагрузки, на которые приходилось 42% всех инцидентов. Уже во втором квартале их доля снизилась почти вдвое — до 24%, а к третьему кварталу упала до 7%, что указывает на снижение интересов злоумышленников к данному методу. В четвертом квартале показатель частично восстановился до 10%, однако остался значительно ниже уровня начала года. Схожую динамику демонстрируют UDP-сценарии: после роста до 17% во втором квартале их доля сократилась до 7% в третьем и составила 10% к концу года.
На этом фоне усиленные и низкоуровневые техники демонстрируют устойчивый рост. DNS amplification последовательно увеличивала долю в каждом квартале — с 11% в начале года до 38% в четвертом квартале, став основным типом DDoS. IP fragmentation после умеренных значений в первом полугодии (9–11%) резко выросла в третьем квартале до 29% и сохранилась на высоком уровне (27%) в конце года, что указывает на закрепление данного подхода.
TCP SYN демонстрировал умеренный рост до третьего квартала (16%), после чего снизился до 8%. А TCP syn/ack носил экспериментальный характер: резкий всплеск в третьем квартале (14%) сменился почти полным исчезновением в четвертом.
Выводы и прогнозы
Распределение DDoS-атак как по отраслям, так и по типам существенно изменилось, при этом оба среза дополняют друг друга и отражают единый тренд на усложнение и целенаправленность воздействий. По отраслевому признаку злоумышленники концентрируются на телекоммуникационном сегменте и госсекторе, где совокупная доля инцидентов стабильно росла или удерживалась на высоком уровне. Одновременно снизилось количество DDoS-атак, приходящихся на ИТ-сектор и услуги, тогда как промышленность и медицина, ранее находившиеся на периферии статистики, закрепились в распределении. Это указывает на расширение круга приоритетных целей и смещение интереса злоумышленников к организациям с критичными сервисами и менее однородным уровнем сетевой безопасности.
Распределение по типам подтверждает изменение применяемых техник. В течение года резко выросла доля DNS amplification и IP fragmentation, тогда как классические TCP ACK и UDP-нагрузки последовательно теряли позиции. Кратковременные всплески отдельных TCP-сценариев во втором и третьем кварталах носили, скорее, экспериментальный характер и не закрепились к концу года. В результате к финалу 2025 года основную роль стали играть усиленные и низкоуровневые методы, позволяющие обходить традиционные средства фильтрации и эффективнее расходовать ресурсы атакующих.
Причины таких изменений связаны сразу с несколькими факторами. С одной стороны, выросла общая защищенность крупных ИТ- и телеком-компаний, что вынуждает злоумышленников адаптироваться и искать новые векторы и техники. С другой — увеличилось количество IoT-устройств, расширилась доступность отражающих сервисов и облачной инфраструктуры, что упростило применение amplification- и гибридных сценариев. Техники с усилением неплохо подходят для простых массовых и интенсивных атак, с обходом геофильтров и списков доверия. В совокупности это приводит к тому, что DDoS-атаки в 2025 году все чаще используются не для массовой перегрузки каналов, а для точечного воздействия на конкретные сервисы и сегменты инфраструктуры.
Проведенное нами исследование подтверждает трансформацию ландшафта DDoS-атак: простые однотипные нагрузки уступают место усиленным и труднофильтруемым сценариям, требующим более глубокой сетевой и прикладной защиты.
P.S. С полной версией отчета можете ознакомиться на нашем сайте.
