Количество и мощность DDoS-атак в России продолжают активно расти

АО "Селектел" (Selectel) представило аналитический отчет о DDoS-атаках по итогам 2025 г. Данные получены с помощью сервиса защиты Selectel и отражают динамику и ключевые характеристики актуальных киберугроз для облачной инфраструктуры российских компаний.

Анализ показывает рост основных показателей DDoS-активности злоумышленников по сравнению с 2024 г., что подчеркивает возрастающие риски информационной безопасности (ИБ) для ИТ-систем бизнеса.

• Рост количества атак: за 2025 г. было отражено 140628 DDoS-атак, что на 25% превышает показатель 2024 г. В среднем ежемесячно фиксировалось более 11 тыс. атак.
• Рост мощности атак: максимальный объем одной атаки достиг 569 Gbps - на 38% больше, чем годом ранее. Пиковая скорость составила 193 млн пакетов в секунду (Mpps), +16% год к году.
• Продолжительность атак: максимальное время, в течение которого один клиент находился под атаками, достигло 863 часов - почти 36 календарных дней (+75% год к году). Максимальная длительность одной атаки выросла до 353 часов - около 15 дней непрерывного воздействия (+75% год к году).
• Рекордные значения: максимальное количество атак на одного клиента достигло 7172 атаки за месяц (+73% год к году). Общее время, на протяжении которого клиенты находились под атаками составило 22743 часа (+67% год к году).
• Популярные типы атак: доля атак типа TCP SYN Flood и TCP PSH/ACK Flood составила 87% от общего количества инцидентов.

"В 2025 г. заметным стал паттерн "зондирующих" и "ковровых" атак - слабых, но частотных. Они были направлены на разведку и обнаружение наиболее уязвимых элементов ИТ-инфраструктуры. После обнаружения таких целей злоумышленники проводят по ним длительные и мощные атаки.

Актуальная статистика подтверждает, что DDoS-атаки окончательно перешли от разовых инцидентов в разряд постоянных операционных рисков для бизнеса. Для эффективного противодействия компаниям необходимо переходить к концепции киберустойчивости и проактивного подхода для защиты от угроз: пересматривать архитектуру сервисов, использовать балансировку и геораспределенность, изолировать критичные служебные сервисы, использовать постоянную защиту от DDoS-атак с динамической адаптацией правил фильтрации", - комментирует руководитель направления продуктовой безопасности Selectel Антон Ведерников.

Количество атак растет

За 2025 г. Selectel отразил 140628 кибератак на инфраструктуру клиентов. Этот показатель на 25% превысил результаты 2024 г. В среднем ежемесячно сервис отражал 11719 атак. При этом пиковое значение было отмечено в январе, когда количество инцидентов достигло 14611.

Наибольшее количество атак на одного клиента было зафиксировано в декабре 2025 г. - 7172 инцидента, что в 1,6 раза превышает максимальный показатель, отмеченный в 2024 г.

Мощность атак бьет рекорды

Мощность атак на сетевом (L3) и транспортном (L4) уровнях модели OSI (отвечают за маршрутизацию и доставку данных) оценивается по двум ключевым параметрам: объему передаваемых данных и скорости передачи пакетов. Объемные атаки нацелены на переполнение каналов передачи данных. Злоумышленники отправляют большое количество некорректных запросов и исчерпывают доступную пропускную способность.

Максимальный объем атаки вырос на 38% в 2025 г. относительно 2024 г. - с 412 до 569 Gbps. Максимальная скорость передачи пакетов увеличилась на 16% - с 166 до 193 млн пакетов в секунду (Mpps). Атаки, характеризующиеся высокой скоростью, направлены на истощение вычислительных ресурсов.

Атаки становятся продолжительнее

Вместе с увеличением количества инцидентов выросла и их длительность. В 2025 г. общее время, в течение которого клиенты Selectel подвергались воздействию атак, достигло 22743 часов - на 67% больше, чем годом ранее.

Рекордная активность злоумышленников наблюдалась в декабре, когда общая длительность атак составила 4159 часов.

Показатель максимальной общей длительности атак на одного клиента достиг 863 часов - почти 36 календарных дней (+75% год к году). Наиболее длительный инцидент произошел в декабре - он продолжался непрерывно в течение 353 часов. Это более чем в 50 раз превышает показатель сентября 2025 г.

Количество основных типов атак сократилось до двух

Самыми распространенными типами атак стали TCP SYN Flood и TCP PSH/ACK Flood. На их долю в 2025 г. в совокупности пришлось 87% всех зафиксированных инцидентов. При этом TCP SYN Flood к концу года заняли 65% от общего количества атак. В то же время атаки типа UDP Flood практически исчезли.

TCP SYN Flood реализуется посредством массовой отправки SYN-запросов для установления соединения. Сервер, отвечая на каждый такой запрос, резервирует ресурсы и отправляет подтверждение (SYN+ACK), которое злоумышленник игнорирует. Это приводит к накоплению очереди полуоткрытых соединений, которые блокируют каналы и препятствуют обработке легитимных запросов, вызывая задержки и отказы в обслуживании.

TCP PSH/ACK Flood - тип атаки, при которой на целевой узел обрушивается поток поддельных пакетов с флагом подтверждения (ACK). Эти пакеты отправляются на случайные или заданные порты и не соответствуют ни одному реально существующему соединению. Атакуемая система вынуждена расходовать вычислительные ресурсы на проверку и обработку этих некорректных пакетов, что ведет к снижению ее производительности.

Методология

Источником данных для отчета являются системы защиты от DDoS-атак, используемые на уровне сетевой инфраструктуры дата-центров Selectel. Сервис защиты от DDoS-атак работает при использовании облачной платформы Selectel, платформенных сервисов и выделенных серверов, включая аттестованные сегменты. Весь входящий трафик проверяется на вредоносную активность, нелегитимные запросы отбрасываются. Дополнительные алгоритмы, учитывающие исходящий трафик, повышают точность фильтрации TCP-атак до 99,9%. Сервис обеспечивает нейтрализацию атак на сетевом (L3) и транспортном (L4) уровнях модели OSI.