В 2022 году многие компании прошли проверку на DDoS-прочность. В экстренных условиях кто-то спешно наращивал пропускную способность своих каналов, а кто-то – впервые подключал фильтрацию трафика. Казалось, многие приняли меры безопасности – угрозу удалось взять под контроль.
Автор: Рамиль Хантимиров, CEO и сооснователь StormWall
Но сейчас, спустя три года, стало очевидно: злоумышленники тоже провели работу над ошибками. Используя новые методы и инструменты, они легко обходят устаревшую защиту и быстрее парализуют бизнес-процессы. Как изменился мир DDoS-атак, обсуждаем в этой статье.
Разведка перед боем
В январе–октябре 2025 г., по нашим данным, количество DDoS-атак в России увеличилось почти в 1,6 раза по сравнению с тем же периодом 2024 г. Чаще всего под прицел злоумышленников попадали телеком-компании, финансовая отрасль и ретейл.
Главным трендом этого года стал взрывной рост зондирующих DDoS-атак, большинство из которых длятся не более 15 минут. За год их число увеличилось в 5300 (!) раз. И если ранее таких атак было не более 4%, то теперь – 33%. Это говорит об одном – злоумышленники больше не бьют со всей силой по многочисленным целям. Они выбрали менее затратный, но более разрушительный подход. Все чаще злоумышленники сначала анализируют инфраструктуру цели и проверяют защиту на прочность, а уже потом возвращаются с полномасштабной атакой и гарантированно добиваются результата.
Главная опасность зондирующих атак – в их скрытности. Короткие и не слишком мощные, они часто остаются в тени пороговых значений систем мониторинга и не вызывают сомнений. Статические правила, настроенные на отражение полномасштабного штурма, просто не замечают кратковременные атаки и сам факт разведки. В результате компания не успевает адаптировать оборону под грядущий удар, а злоумышленник получает ценнейшие данные об ее уязвимостях.
Ботнет им в помощь
Также в 2025 г. заметно возросла мощность DDoS-атак. Недавно мы зафиксировали атаку 2,5 Тбит/с – с подобными масштабными угрозами теперь сталкиваемся все чаще, хотя еще несколько лет назад они казались фантастическими. Даже ковровые бомбардировки, которые ранее не отличались большим объемом вредоносного трафика, в нашей практике теперь достигают 1,3 Тбит/с.
Главный драйвер роста мощности атак по-прежнему тот же – активное развитие ботнетов. Только за последний год объем бот-трафика в России вырос минимум в 1,7 раза.
Конечно, тренд далеко не новый – мы наблюдаем его уже несколько лет. Но в 2025 г. изменился расклад по географии источников автоматизированных атак – теперь вредоносные запросы на российские организации чаще идут с местных зараженных устройств. Так, в III квартале 2025 г. количество российских IP-адресов в автоматизированных DDoS-атаках выросло с 1,74 млн до 2,42 млн – это на 39% больше по сравнению с тем же периодом 2024 г. Проще говоря, с каждым днем угроза становится не просто масштабнее, но и ближе.
По всем фронтам
Еще один DDoS-тренд 2025 г. – стремительный рост числа многовекторных DDoS-атак. Сегодня они уже составляют 52% от всех регистрируемых нами инцидентов в России. Для сравнения: в 2024 г. их было не более 25%.
Суть многовекторной DDoS-атаки в том, что злоумышленник комбинирует векторы атак на разных уровнях модели OSI (L3, L4, L7). Чтобы достичь цели, он может использовать несколько методов (HTTP Flood, DNS-амплификацию, поддельные TCP-сессии и т. д.).
Многовекторные DDoS-атаки сложны в обнаружении и отражении. Обычно ресурсы ИБ- и ИТ-команды ограничены. На то, чтобы обеспечить безопасность на всех уровнях, от специалистов требуется много времени и сил. И даже если компания успевает обнаружить и отразить угрозу на всех фронтах вовремя, то всегда рискует не заметить другую активность киберпреступников, например попытки получить доступ к персональным данным и прочей конфиденциальной информации.
К тому же, во многих компаниях применяются разрозненные средства защиты, архитектура которых построена на разных протоколах и технологиях. Управлять таким зоопарком решений непросто, особенно в кризисной ситуации, когда счет может идти на минуты.
Как защититься от новых угроз?
В новых реалиях уже недостаточно обходиться базовыми мерами защиты от DDoS-атак. Необходимы решения, которые могут выявлять зондирующие атаки на раннем этапе, качественно анализировать трафик на всех уровнях OSI, выдерживать нагрузки 1–2 Тбит/с и выше, адаптироваться к изменяющимся в реальном времени паттернам, а главное – работать так же гибко и быстро, как и сами злоумышленники. Современные угрозы требуют подходов, основанных на машинном обучении, поведенческой аналитике и распределенной инфраструктуре фильтрации.
Именно эту философию мы используем в StormWall [1]. Наши решения совершенствуются с учетом новых реалий: мы развиваем сеть очистки, увеличиваем пропускную способность нашей сети, совершенствуем методы раннего обнаружения и создаем механизмы, которые позволяют не просто отражать DDoS-атаки, но и прогнозировать их развитие. Мы стремимся давать бизнесу не реактивную, а проактивную защиту – такую, которая сохраняет доступность сервисов даже в условиях самых сложных атак.
Реклама: ООО "СТОРМ НЕТВОРКС". ИНН 2SDnjf4Eao2. Erid: 2SDnjf4Eao2