Экспертный центр по сетевой защите холдинга «Гарда» проанализировал эволюцию характеристик и динамику DDoS-нападений в третьем квартале 2025 года в сопоставлении с аналогичным промежутком 2024 года и предыдущим кварталом.
Задача анализа заключалась в выявлении преобладающих разновидностей кибератак, направленных на организации, и их отраслевой специфики в течение третьего квартала 2025 года.
Структура DDoS-угроз по секторам экономики в третьем квартале 2025 претерпела значительные изменения относительно как предыдущего квартала, так и аналогичного интервала 2024 года. Наибольший скачок отмечен в телекоммуникационной сфере: с 15% год назад и 19% во втором квартале до 36% в третьем – это максимальный показатель среди всех отраслей. Объем атак на государственные структуры, лидировавший в предыдущем квартале (34%), сократился до 19%, приблизившись к значениям прошлого года (15%). В четыре раза уменьшилось число DDoS-нападений на ИТ-сферу: с 32% в третьем квартале 2024 до 8% в третьем квартале 2025.
Незначительное увеличение до 12% продемонстрировали DDoS-атаки на финансовый сектор. Доля нападений на промышленность снизилась до 8% после квартального роста, оставаясь существенно выше прошлогодних значений. Медицинская отрасль впервые вошла в статистику с показателем 7%, что свидетельствует о растущем внимании злоумышленников к этой сфере. Розничная торговля сохраняет стабильные 6% с момента включения в отчетность во втором квартале. Постепенно увеличивается количество DDoS-атак на образовательные учреждения: с нуля год назад через 2% в предыдущем квартале до 3% в третьем.
Во второй половине 2025 года наблюдается принципиальное изменение структуры DDoS-угроз. Простые однообразные атаки (TCP ACK, UDP) уступают позиции более совершенным методам – IP fragmentation, DNS/STUN amplification и комбинированным TCP-сценариям (SYN + SYN/ACK). Это подтверждает тенденцию к усложнению DDoS и потребность в продвинутой многоуровневой защите.
Наиболее выраженный рост продемонстрировали атаки типа IP fragmentation: с 7% во втором квартале до 29% – почти четырехкратный прирост и возрождение тренда на сложные низкоуровневые атаки. Схожую динамику показывает TCP syn/ack, отсутствовавший ранее в статистике (0% в 2024 и во втором квартале 2025), но сразу занявший 14% в третьем квартале.
Атаки с усилением сохраняют relevancy. DNS amplification увеличился с 14% до 21%, дополнившись типом STUN amplification (2%). Это свидетельствует об активной эксплуатации механизмов усиления нагрузки. TCP SYN остается одним из ключевых методов, несмотря на снижение доли с 24% до 16%. TCP ACK, ранее доминировавший (27% в 2024), продолжает снижаться: с 12% до 7%, что указывает на отход классических однотипных TCP-нагрузок на второстепенные позиции. UDP-атаки также теряют распространенность: 22% во втором квартале против всего 7% в третьем – одно из самых значительных снижений.
Категория «прочие» резко уменьшилась с 21% до 4%, что может свидетельствовать о стандартизации методик: злоумышленники фокусируются на ограниченном наборе проверенных сценариев вместо распыления на множество ненадежных методов.
Фрагментированные IP-атаки нацелены на снижение производительности всех сетевых узлов, обрабатывающих информационные пакеты. Это затрагивает как пользовательские серверы с приложениями, так и системы безопасности, где осуществляется сборка сетевых сессий. Увеличение количества подобных атак объясняется двумя причинами: с одной стороны, злоумышленники совершенствуют способы обхода защитных механизмов. С другой — усложнение самих сетевых систем защиты вынуждает атакующих прикладывать больше ресурсов при подготовке любых видов нападений.
Однако общая доля относительно простых атак (TCP-SYN, TCP-SYN/ACK, TCP-ACK) продолжает оставаться значительной и оказывает серьезную нагрузку на сервисы. Эти разновидности DDoS легко реализовать, и по принципу «затраты-результат» они остаются популярными среди злоумышленников.
Увеличение доли DDoS-атак на телекоммуникационные организации связано с тем, что провайдеры усиливают меры по противодействию атакам на уровнях выше L4 модели OSI. Это дает возможность выявлять и останавливать атаки еще на уровне оператора связи, а не целевых серверов, что и подтверждается статистическими данными.
Злоумышленники постоянно совершенствуют методы организации DDoS-атак и используют комбинированные инструменты. Но параллельно развиваются и технологии защиты — например, в настоящее время Anti-DDoS системы все чаще интегрируются с защитой веб-приложений (WAF).
