Центр компетенций группы компаний «Гарда» провел анализ изменений ландшафта и особенностей DDoS-атак за весь 2025 г. Об этом CNews сообщили представители «Гарды».
Цель исследования – определить основные типы атак, которым подвергались компании и их распределение по отраслям в четвертом квартале и за весь 2025 год.
Распределение DDoS-атак по отраслям в 2025 году
В течение года распределение DDoS-атак по отраслям претерпело заметные изменения, отражающие смещение приоритетов злоумышленников и адаптацию к мерам защиты.
Количество DDoS в телекоммуникационном сегменте последовательно росло: с 29% в первом квартале до 43% в четвертом, закрепив за собой позицию основной цели. В госсекторе после увеличения с 13% до 20% во втором квартале доля инцидентов стабилизировалась на уровне 19% во втором полугодии, что указывает на устойчиво высокий интерес к данному сегменту.
На ИТ-сектор в первом квартале приходилась наибольшая доля DDoS-атак (37%), однако уже во втором и третьем кварталах она сократилась до 8%, а к концу года составила 10%. Атаки на финансовые организации также показали рост по отношению к началу года с пиком в 12% в третьем квартале.
В промышленности после снижения во втором квартале (4%) доля DDoS-атак увеличилась до 8% и удерживалась на этом уровне во втором полугодии. В медицине инциденты начали фиксироваться только с третьего квартала и к концу года достигли 8%, что говорит о появлении нового направления для атак. На образование на протяжении года приходилось стабильно небольшое количество DDoS – 2–3%.
В ритейле после всплеска в третьем квартале (6%) доля инцидентов снизилась до 1%. В сегменте услуг, напротив, после пика во втором квартале (20%) количество DDoS-атак относительно других отраслей вообще не проявлялось. При этом сами атаки и на ритейл, и на сектор услуг остались по-прежнему массовыми и интенсивными.
Распределение DDoS-атак по отраслям в IV квартале 2025 года
В IV квартале 2025 г. самая большая доля DDoS-атак по-прежнему приходится на телекоммуникационный сектор, хотя показатель снизился по сравнению с концом 2024 г. – с 55% до 43%. Государственные организации удерживают второе место с долей 19%, что почти в три раза выше уровня четвертого квартала 2024 года (7%) и сопоставимо с показателями третьего квартала 2025 г Это указывает на закрепление повышенного интереса к данному сегменту.
ИТ-сектор продолжает оставаться под давлением, однако его доля заметно ниже прошлогодних значений: 26% в конце 2024 года против 10% в четвертом квартале 2025 г. В финансовом сегменте после роста до 12% в третьем квартале фиксируется снижение до 8%, что близко к уровню конца 2024 г.
Количество DDoS-атак на промышленность сохраняет повышенные показатели по сравнению с прошлым годом: с 1% в четвертом квартале 2024 г. доля выросла до 8% и удерживается на этом уровне второй квартал подряд. Схожую динамику демонстрирует медицинский сектор, который отсутствовал в статистике год назад, но к четвертому кварталу 2025 года достиг 8%.
Распределение DDoS-атак по типам в 2025 году
Распределение DDoS-атак по типам в 2025 г. отражает последовательный уход от простых нагрузочных сценариев к более сложным и труднофильтруемым техникам.
В первом квартале доминировали классические TCP ACK-нагрузки, на которые приходилось 42% всех инцидентов. Уже во втором квартале их доля снизилась почти вдвое – до 24%, а к третьему кварталу упала до 7%, что указывает на снижение интересов злоумышленников к данному методу. В четвертом квартале показатель частично восстановился до 10%, однако остался значительно ниже уровня начала года. Схожую динамику демонстрируют UDP-сценарии: после роста до 17% во втором квартале их доля сократилась до 7% в третьем и составила 10% к концу года.
На этом фоне усиленные и низкоуровневые техники демонстрируют устойчивый рост. DNS amplification последовательно увеличивала долю в каждом квартале – с 11% в начале года до 38% в четвертом квартале, став основным типом DDoS. IP fragmentation после умеренных значений в первом полугодии (9–11%) резко выросла в третьем квартале до 29% и сохранилась на высоком уровне (27%) в конце года, что указывает на закрепление данного подхода.
TCP SYN демонстрировал умеренный рост до третьего квартала (16%), после чего снизился до 8%. А TCP syn/ack носил экспериментальный характер: резкий всплеск в третьем квартале (14%) сменился почти полным исчезновением в четвертом.
Распределение DDoS-атак по типам в IV квартале 2025 года
В четвертом квартале 2025 г. распределение DDoS-атак по типам отражает продолжающийся сдвиг в сторону более массовых техник. На первое место вышли сценарии с использованием DNS amplification, доля которых выросла с 7% в четвертом квартале 2024 года до 38% в конце 2025 г. Это наиболее заметное изменение за рассматриваемый период и признак ориентации злоумышленников на атаки с высоким коэффициентом усиления
IP fragmentation остается одним из доминирующих методов, несмотря на небольшое снижение по сравнению с третьим кварталом 2025 г. (29% ? 27%). По отношению к концу 2024 г. доля таких инцидентов выросла более чем втрое, что указывает на устойчивый интерес к низкоуровневым техникам обхода фильтрации.
Классические TCP-нагрузки продолжают теряют свою долю. TCP ACK, занимавший 43% год назад, снизился до 10%, а TCP SYN сократился с 11% до 8%. Кратковременный всплеск TCP syn/ack в третьем квартале (14%) сменился почти полным исчезновением этого типа – 1% в четвертом квартале 2025 года. UDP-сценарии сохраняются на умеренном уровне: после падения до 7% в третьем квартале их доля вернулась к 10%, что, однако, заметно ниже показателей конца 2024 г. (18%).
Заключение
Распределение DDoS-атак как по отраслям, так и по типам существенно изменилось, при этом оба среза дополняют друг друга и отражают единый тренд на усложнение и целенаправленность воздействий. По отраслевому признаку злоумышленники концентрируются на телекоммуникационном сегменте и госсекторе, где совокупная доля инцидентов стабильно росла или удерживалась на высоком уровне. Одновременно снизилось количество DDoS-атак, приходящихся на ИТ-сектор и услуги, тогда как промышленность и медицина, ранее находившиеся на периферии статистики, закрепились в распределении. Это указывает на расширение круга приоритетных целей и смещение интереса злоумышленников к организациям с критичными сервисами и менее однородным уровнем сетевой безопасности.
Распределение по типам подтверждает изменение применяемых техник. В течение года резко выросла доля DNS amplification и IP fragmentation, тогда как классические TCP ACK и UDP-нагрузки последовательно теряли позиции. Кратковременные всплески отдельных TCP-сценариев во втором и третьем кварталах носили, скорее, экспериментальный характер и не закрепились к концу года. В результате к финалу 2025 года основную роль стали играть усиленные и низкоуровневые методы, позволяющие обходить традиционные средства фильтрации и эффективнее расходовать ресурсы атакующих.
Причины таких изменений связаны сразу с несколькими факторами. С одной стороны, выросла общая защищенность крупных ИТ- и телеком-компаний, что вынуждает злоумышленников адаптироваться и искать новые векторы и техники. С другой – увеличилось количество IoT-устройств, расширилась доступность отражающих сервисов и облачной инфраструктуры, что упростило применение amplification- и гибридных сценариев. Техники с усилением неплохо подходят для простых массовых и интенсивных атак, с обходом геофильтров и списков доверия. В совокупности это приводит к тому, что DDoS-атаки в 2025 году все чаще используются не для массовой перегрузки каналов, а для точечного воздействия на конкретные сервисы и сегменты инфраструктуры.
Статистика за четвертый квартал подтверждает общий тренд года и указывает на дальнейшую эволюцию тактик злоумышленников и закрепление новых приоритетов. С одной стороны, сохраняется высокая концентрация давления на телекоммуникационный сектор, который остается основной целью. С другой – устойчиво высокий уровень нагрузки на госсектор, а также рост долей промышленности и медицины говорят о расширении круга приоритетных отраслей и смещении фокуса в сторону организаций с критичными сервисами и менее зрелыми механизмами защиты.
Одновременно происходит изменение применяемых техник. В четвертом квартале резко усиливается роль DNS amplification и IP fragmentation, тогда как доля классических TCP- и UDP-нагрузок оказывается ниже прошлогодних значений. Это свидетельствует о том, что отрасли достаточно быстро адаптируются к инструментам и техникам атак на сервисы, и злоумышленникам приходится прибегать к более интенсивным атакам, которые задействуют большее количество устройств, а также позволяют обходить традиционные средства фильтрации и эффективнее расходовать собственные ресурсы. Кратковременные всплески отдельных TCP-сценариев в предыдущих кварталах сменяются сценариями с большей вероятностью реализации.
Данные подтверждают трансформацию ландшафта DDoS-атак: простые однотипные нагрузки уступают место усиленным и труднофильтруемым сценариям, требующим более глубокой сетевой и прикладной защиты.
Поделиться
