Selectel подвел итоги по DDoS-атакам в первом полугодии 2025

Количество DDoS-атак (атак, при которых из-за огромного количества запросов серверы пользователя не могут продолжать полноценную работу) продолжает расти от года к году. Так, только в 2024 году количество атак составило 31 436 в первом полугодии, 80 375 во втором полугодии, а в первом полугодии 2025 года их число показало что-то среднее между прошлогодними показателями: 61 212 атак.

Методология расчета

Анализ проводился на базе данных 28 тысяч клиентов Selectel, использующих бесплатный сервис защиты от DDoS-атак, предоставляемый компанией вместе с услугами хостинга.

За атаку при подсчетах брался один вид атаки, идущий непрерывно или прерывающийся не более, чем на три минуты. Если пользователь одновременно подвергался двум или трем видам атак, или атака шла с промежутками больше трех минут, эти инциденты считались разными атаками.

Рекорды и усредненные данные по DDoS-атакам в первом полугодии 2025 года

В исследовании было отмечено, что общая продолжительность атак, несмотря на их меньшее количество в сравнении со вторым полугодием прошедшего года, практически не изменилась, составив более 9,5 тысяч часов.

Распределение DDoS-атак по месяцам первого полугодия 2025 года
Источник: отчет Selectel

При этом самые мощные и одновременно с тем продолжительные атаки были зафиксированы в январе 2025 года - их количество составило 14 611, почти в два раза меньше - 6 788 раз атаковали хакеры в феврале - это наименьшее количество атак в первом полугодии. 

Рекордное число атак на одного клиента было зафиксировано в мае - в компании насчитали 4156 инцидентов. В среднем атака на одного клиента длилась от 7 до 11 часов, хотя рекорд по общей продолжительности атак на одного клиента за месяц равнялся 553 часам.

Если усреднить количество атак за первое полугодие по месяцам, то клиенты перенесли по 51 инциденту в месяц (это почти в два раза больше, чем год к году, но на 15 инцидентов меньше, чем во втором полугодии 2024 года).

Характеристики атак

Наибольший объем переданных бит данных в секунду во время атаки был выявлен в январе - максимум составил 204 Гбит/с, однако в среднем по январю объем атак был небольшим. Наименьший  объем был зафиксирован в мае - 82 Гбит/с. А вот в феврале, несмотря на снижение общего количества инцидентов, злоумышленники бомбардировали пользователей наибольшим объемом переданных данных: в среднем они передавали 78 Гб информации за атаку, а среднее количество переданных пакетов за атаку в феврале равнялось 284 млн, что тоже стало рекордным в первом полугодии.

Максимальный объем атаки
Источник: отчет Selectel

Были обнаружены и атаки с высокой скоростью передачи данных - так, в июне была зафиксирована атака, достигавшая скорости 100 млн пакетов в секунду. Для сравнения - в феврале максимальная скорость атаки была почти на порядок меньше: всего 12 млн пакетов в секунду.

Максимальная скорость атак по месяцам первого полугодия 2025 года, измеряемая в млн пакетов в секунду
Источник: Отчет Selectel

По времени атаки в среднем длились не дольше 15 минут, хотя отдельные инциденты продолжались на протяжении нескольких дней: например, в апреле атака шла больше 9 суток - 222 часа. А самое продолжительное общее время атак на одного клиента за месяц составило 553 часа за один месяц.

Максимальная продолжительность всех атак за месяц на одного клиента
Источник: отчет Selectel

Типизация атак

Специалисты Selectel выделяют три основных типа атак, составивших более трех четвертей от их общего числа - это TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood.

Доля атак TCP PSH/ACK Flood составила в первом полугодии 2025 года 37,1%, или более 22,5 тыс. атак. Для этого типа характерна отправка большого количества фальсифицированных ACK-пакетов, что требует дополнительных вычислительных ресурсов для их проверки.

TCP SYN Flood характеризуется отправкой множества SYN-запросов на подключение, и игнорированием ответных SYN+ACK пакеты, что выстраивает очередь из наполовину открытых соединений, мешающих устанавливать легальные подключения. На этот тип пришлось 16065 атак или 26,2% от общего числа.

Еще 7 759 атак или 12,7% составили UDP Flood, направляющие большое количество UDP-датаграмм на выбранные или случайные порты целевого узла. В результате проверки каждого пакета получатель убеждается в отсутствии активности и отправляет ICMP-сообщение о недоступности адресата, что может привести к перегрузке атакуемого узла.

Остальные атаки составили 24% от общего числа.

Так распределились атаки в первом полугодии 2025 года
Источник: отчет Selectel

Выводы

Специалисты Selectel отметили, что атаки становятся более продолжительными, однако в целом фокус сегодня смещен с экстремально мощных на более частые, распределенные и менее объемные атаки. Более «модными» стали атаки волнами идущие часами с небольшими перерывами. Как отмечает руководитель направления защиты от DDoS на уровне веб-приложений в DDoS-Guard Дмитрий Никонов, это сигнал для владельцев интернет-сервисов о том, что пора присмотреться к своим подходам к кибербезопасности и сменить вектор с защиты от пиковых атак на проактивную защиту с анализом поведения трафика и адаптировать инфраструктуру у длительным атакам средней мощности.

Отмечается и существенное увеличение числа ботнетов - если в прошлом, 2024 году, было обнаружено несколько сотен тысяч устройств, в 2025 их число практически достигло 5 млн.

По итогам прошедшего года, как отмечал StormWall, больше всего от DDoS-атак пострадали отрасль телекоммуникаций, финансы и ритейл.