В 2025 г. DDoS-атаки достигли беспрецедентной мощности и сложности. Злоумышленники применяют искусственный интеллект для организации масштабных и целенаправленных многовекторных атак. Основными целями являются телеком и финансовый сектор.
Автор: Михаил Хлебунов, директор по продуктам компании Servicepipe
Международные тенденции
С каждым годом DDoS-атаки становятся все сложнее и изощреннее, а их количество растет. По данным Cloudflare [1], за первое полугодие 2025 г. было заблокировано 27,8 млн атак – столько же, сколько за весь прошлый год. Только с апреля по июнь 2025 г. зафиксировано 7,3 млн инцидентов, из которых значительная доля пришлась на энергетический сектор и телеком-компании. Отмечается резкий рост сверхмощных атак: во II квартале произошло более 6,5 тыс. инцидентов, в среднем – 71 в день. Один из них установил мировой рекорд по интенсивности, длившись 45 сек., достигнув мощности 7,3 Тбит/с и почти 5 млрд пакетов в секунду [2].
В свою очередь, аналитики A10 Networks выявили свыше 12 млн инструментов для проведения DDoS-атак, которые активно используются преимущественно в странах Азии и Северной Америки [3]. Этот рост связан с развитием ИИ-управляемых ботнетов и повышением доступности сервисов DDoS-for-hire.
Атаки становятся более гибкими. Раньше злоумышленники просто перегружали каналы связи, но теперь они комбинируют несколько типов трафика, сетевого и прикладного, в процессе меняя вектор.
Увеличивается распространение коротких импульсных атак (Pulse Wave или Short-Burst Attacks), которые длятся от нескольких секунд до полуминуты, создавая всплески трафика, способные временно снизить доступность сервисов, пока фильтрующие механизмы не запущены на максимум.
Меняется география угроз: по данным аналитиков Cloudflare, во II квартале текущего года большинство атак исходило из Индонезии, Сингапура и Бразилии – эти регионы стали ключевыми источниками распределенных бот-сетей, использующих уязвимые IoT-устройства.
Российский контекст и тренды
Россия не только не отстает от остального мира, но и по-прежнему обнаруживает себя среди лидеров по числу DDoS-инцидентов. По результатам исследования Servicepipe, мы занимаем шестое место в мире по активности DDoS-инцидентов. Главный тренд в области DDoS-угроз в России в этом году: рост не только числа и сложности атак, но также увеличение их мощности. Количество массовых атак за десять месяцев текущего года выросло почти на 80%. Основной удар пришелся на телеком и финансовый сектор – 35% и 30% атак, соответственно. Около 13% инцидентов коснулись государственных структур. Если рассматривать атаки на L7 (уровень приложений), то лидирует ретейл (34% случаев), финансовый сектор (26%) и телеком (18%). На уровень L7 сегодня приходится порядка 42% от всего потока атак.
Летом прошлого года российский бизнес столкнулся с массовыми ковровыми атаками, которые в основном затронули крупнейшие финансовые учреждения страны. В этом году под ударом оказались компании из разных секторов экономики, но в первую очередь телеком, где площадь атаки может измеряться в тысячах и даже десятках тысяч IP.
2025 год ознаменован периодом многовекторных интеллектуальных DDoS-атак. Злоумышленники все чаще используют технологии искусственного интеллекта, позволяющие мгновенно менять вектор атаки, видя, что цель в виде недоступности или деградации сервисов не достигнута. В таких случаях обычно все начинается с перегрузки сетевого уровня, а затем переключается на прикладной, отправляя множество HTTP- или API-запросов к сайтам и сервисам. Такие атаки происходят, в первую очередь, по DNS, BGP, SIP-шлюзам и GRE. Если год назад количество одновременно атакуемых IP-адресов измерялось сотнями, то в текущем году речь уже идет о тысячах. Рост сложности атак свидетельствует о переходе от массовых к более целенаправленным операциям.
Не менее популярными у киберпреступников стали "хирургические" DDoS-атаки. Хакеры все чаще бьют не по всей инфраструктуре, а по ключевым элементам, влияющим на реальные бизнес-процессы. Это делает атаки короче, но точнее – и поэтому опаснее.
В отличие от традиционных объемных атак, когда целью является перегрузка сайта или сети целиком, "хирургические" атаки реализуют точечный подход. Они выводят из строя отдельные элементы, от которых зависит работа бизнеса: платежные системы, формы авторизации, процессинг заказов. При этом для пользователя сайт может оставаться доступным, но ключевые функции перестают работать. По оценкам Servicepipe, число таких атак за год выросло примерно на 30%.
Участились случаи использования DDoS-атак в качестве дымовой завесы. Злоумышленники инициируют мощные волны трафика, чтобы отвлечь внимание от действительно опасных действий: попыток проникновения в инфраструктуру, кражи или вывода данных. Подобная тактика серьезно усложняет работу специалистов по безопасности: пока команды ликвидируют последствия перегрузки сервисов, основная атака может разворачиваться в фоновом режиме внутри систем.
Как перестраивается защита?
Эволюция DDoS-атак побудила вендоров пересмотреть свой подход к решениям. Использование злоумышленниками технологий искусственного интеллекта для мгновенной смены вектора атаки вынуждает разработчиков внедрять аналогичные технологии в свои продукты. Компания Servicepipe не осталась в стороне от данной тенденции, и в 2025 г. мы представили интеллектуальный модуль Autopilot, функционирующий в составе адаптивной системы защиты ИТ-инфраструктуры DosGate [4] от DDoS-атак и сетевых угроз. Он автоматически создает правила фильтрации в ответ на сетевые аномалии на основе анализа трафика атаки в реальном времени и без участия инженера. Таким образом, благодаря модулю Autopilot в разы повышается скорость реакции на интеллектуальные атаки с быстро меняющимися векторами.
Модуль работает на базе сигнатур, поведенческого анализа и Rate-Limit-метрик, формируя правила в реальном времени и анализируя трафик прямо во время атаки. Правила взаимосвязаны и размещаются модулем в оптимальном порядке для максимально быстрой и эффективной блокировки конкретной угрозы. Финальное решение о применении или корректировке предложенных модулем правил принимает сетевой инженер. Если он согласен с рекомендациями, то новые правила фильтрации вступают в силу сразу, по клику.
Так как атаки зачастую идут как на сетевом уровне, так иx5на уровне приложений, команда Servicepipe разработала и представила рынку модуль RLOG, работающий с системой DosGate. Он автоматически выявляет угрозы на уровне приложения с помощью анализа логов веб-сервера. Модуль RLOG создан для анализа HTTP-трафика, он обрабатывает логи согласно заданным пользователем правилам. При обнаружении аномального поведения пользователей на уровне HTTP, модуль передает IP-адреса нарушителей в систему DosGate для дальнейшей фильтрации. Соответственно, все события и логи остаются внутри периметра организации, что критически важно для компаний, которые не могут передавать SSL/TLS-ключи или расшифровывать трафик, а также хотят соответствовать требованиям регуляторов (включая PCI-DSS и ГОСТ Р 57580.1-2017).
Для защиты от атак на DNS в DosGate добавлена новая контрмера противодействия подобным атакам: проверка подлинности адресов источника DNS-пакетов. Этот механизм позволяет отсеивать трафик с поддельными источниками и эффективно отражать широкий спектр атак, направленных на защищаемые DNS-сервера.
Для защиты от "хирургических" атак осенью этого года было обновлено еще одно решение: анализатор сетевого трафика FlowCollector [5]. Теперь в нем доступен мониторинг трафика на уровне отдельных портов. Появилась возможность добавлять новые векторы анализа с подсчетом порогов для любого выбранного порта, что позволяет отслеживать атаки, направленные на конкретные сервисы, а также заранее выделять критичные порты (например, для серверов приложений или баз данных) и контролировать трафик, идущий именно в их сторону. Заказчики, использующие анализатор сетевого трафика FlowCollector, могут точнее выявлять атаки и контролировать работу именно тех серверов, которые особенно критичны для бизнеса.
Какое будущее нас ждет?
В 2026–2027 гг. роль оператора в DDoS-атаках окончательно отойдет искусственному интеллекту. Если сейчас он всего лишь выступает в качестве советника злоумышленников, то в ближайшем будущем станет прямым исполнителем. Вендоры решений по защите от DDoS-атак должны учитывать этот риск, встраивая машинное обучение и искусственный интеллект в архитектуру безопасности так, чтобы она оставалась быстрой, прозрачной и надежной. Например, создавая системы защиты от атак, ядром которых является центр аналитики, основанный на машинном обучении, – именно туда будут поступать данные, собранные сенсорами, именно там они будут проанализированы, и созданы фиды для дальнейшего использования в различных компонентах эшелонированной защиты. При этом важно, чтобы в центр поступал не весь трафик, и большая часть отсеивалась на уровне решений защиты от DDoS-атак, а до ресурсоемких моделей доходила лишь малая часть, где действительно нужен более глубокий анализ. Использование публичных LLM вроде ChatGPT или Gemini в системах защиты невозможно: их нельзя контролировать, они уязвимы и не гарантируют стабильности. Для кибербезопасности критически важна полная автономия и изолированность моделей.
В настоящее время Servicepipe активно работает в этом направлении и планирует представить рынку свое решение уже в скором будущем.
Реклама: ООО “Сервиспайп”. ИНН 7708257951. Erid: 2SDnjeQdimV