Российский провайдер ИТ-инфраструктуры Selectel, работающий независимо, обнародовал аналитический обзор DDoS-атак за 2025 год. Информация была собрана с использованием собственного защитного сервиса компании и демонстрирует тенденции и основные черты современных киберугроз, нацеленных на облачные ресурсы отечественных организаций.
Исследование указывает на увеличение ключевых метрик DDoS-активности со стороны злоумышленников в сравнении с 2024 годом, что свидетельствует о растущих рисках для информационной безопасности бизнес-систем.
Увеличение количества атак: в течение 2025 года было нейтрализовано 140 628 DDoS-атак, что на 25% больше, чем в предыдущем году. Ежемесячно в среднем регистрировалось свыше 11 тысяч атак.
Рост силы атак: максимальный объем трафика в ходе одной атаки составил 569 Гбит/с — на 38% выше показателя годичной давности. Пиковая скорость достигла 193 миллионов пакетов в секунду (Mpps), что означает рост на 16% в годовом исчислении.
Длительность атак: предельное время, в течение которого одна из жертв подвергалась атакам, достигло 863 часов — почти 36 календарных дней (прирост на 75% к прошлому году). Наибольшая продолжительность отдельной атаки увеличилась до 353 часов, что эквивалентно примерно 15 суткам непрерывного воздействия (также +75% год к году).
Рекордные показатели: максимальное число атак на одного заказчика в месяц составило 7 172 (увеличение на 73% в годовом сравнении). Суммарное время, в течение которого клиенты находились под атаками, достигло 22 743 часов (рост на 67% год к году).
Преобладающие виды атак: атаки типа TCP SYN Flood и TCP PSH/ACK Flood составили 87% от общего числа зафиксированных инцидентов.
«В 2025 году явно проявилась тенденция «зондирующих» и «ковровых» атак — не слишком мощных, но частых. Их цель — разведка и выявление наиболее слабых звеньев в ИТ-инфраструктуре. Обнаружив такие цели, злоумышленники организуют против них продолжительные и интенсивные атаки. Текущая статистика подтверждает, что DDoS-атаки окончательно превратились из единичных происшествий в постоянный операционный риск для компаний. Для эффективной защиты бизнесу необходимо двигаться в сторону киберустойчивости и проактивного подхода: пересматривать архитектуру сервисов, применять балансировку нагрузки и географическое распределение, изолировать критически важные служебные системы, а также использовать постоянную защиту от DDoS с динамической адаптацией правил фильтрации», — прокомментировал Антон Ведерников, руководитель направления продуктовой безопасности Selectel.
За 2025 год Selectel отразил 140 628 кибератак на инфраструктуру своих клиентов. Этот результат на 25% превысил данные 2024 года. В среднем за месяц сервис нейтрализовал 11 719 атак. Пиковое значение пришлось на январь, когда количество инцидентов достигло 14 611.
Наибольшее число атак на одного клиента было зарегистрировано в декабре 2025 года — 7 172 инцидента, что в 1,6 раза выше максимального показателя, отмеченного в 2024 году.
Интенсивность кибератак на сетевом (L3) и транспортном (L4) уровнях модели OSI, которые отвечают за маршрутизацию и передачу информации, измеряется двумя основными метриками: общим трафиком и частотой отправки пакетов. Атаки, нацеленные на объем, стремятся полностью загрузить каналы связи. Для этого злоумышленники генерируют огромное число ошибочных запросов, исчерпывая всю доступную полосу пропускания.
Пиковый объем трафика во время атак в 2025 году вырос на 38% по сравнению с 2024 годом — с 412 до 569 Гбит/с. Максимальная частота отправки пакетов увеличилась на 16% — с 166 до 193 миллионов пакетов в секунду (Mpps). Атаки с высокой частотой пакетов направлены на истощение процессорных мощностей целевых систем.
Параллельно с ростом числа инцидентов увеличилась и их продолжительность. В 2025 году совокупное время, в течение которого клиенты Selectel находились под воздействием атак, составило 22743 часа — на 67% больше, чем в предыдущем году.
Наибольшая активность злоумышленников была зафиксирована в декабре, когда общая продолжительность всех атак достигла 4159 часов.
Максимальная суммарная длительность атак на одного клиента составила 863 часа — это почти 36 календарных дней (+75% в годовом сравнении). Самый продолжительный единичный инцидент произошел также в декабре и длился без перерыва 353 часа. Этот показатель более чем в 50 раз превышает значение, зарегистрированное в сентябре 2025 года.
Наиболее часто используемыми типами атак стали TCP SYN Flood и TCP PSH/ACK Flood. Вместе на их долю в 2025 году пришлось 87% всех зарегистрированных инцидентов. При этом к концу года атаки TCP SYN Flood составляли уже 65% от общего числа. В то же время атаки типа UDP Flood практически сошли на нет.
Атака TCP SYN Flood осуществляется путем массовой отправки запросов на установление соединения (SYN). Сервер, отвечая на каждый такой запрос, выделяет ресурсы и отправляет ответное подтверждение (SYN+ACK), которое злоумышленник оставляет без ответа. Это приводит к заполнению очереди частично установленных соединений, которые блокируют каналы связи и мешают обработке законных запросов, вызывая задержки и отказы в обслуживании.
TCP PSH/ACK Flood — это тип атаки, при которой на атакуемый узел обрушивается поток фальшивых пакетов с установленным флагом подтверждения (ACK). Эти пакеты направляются на случайные или заранее выбранные порты и не соответствуют ни одному активному соединению. Атакуемая система вынуждена тратить вычислительные ресурсы на проверку и обработку этих невалидных пакетов, что приводит к значительному падению ее производительности.
Основой для формирования отчета служат системы противодействия DDoS, развернутые в сетевой инфраструктуре дата-центров Selectel. Данный защитный механизм функционирует при работе с облачной платформой Selectel, платформенными сервисами и выделенными серверами, в том числе в аттестованных сегментах. Весь поступающий трафик анализируется на предмет вредоносной активности, а нелегитимные запросы блокируются. Специальные алгоритмы, которые также учитывают исходящий трафик, позволяют достичь точности фильтрации TCP-атак до 99,9%. Сервис гарантирует отражение атак на сетевом (L3) и транспортном (L4) уровнях модели OSI.
