Отчет Gcore Radar за первую половину 2025 года фиксирует фундаментальный сдвиг в ландшафте DDoS-угроз. Атаки стали не только масштабнее и изощреннее, но и сменили основную цель: технологический сектор вытеснил игровую индустрию с позиции наиболее атакуемой отрасли. Эта тенденция обусловлена ростом доступности инструментов для атак, уязвимостью IoT-устройств и усложнением тактик, нацеленных на веб-приложения и API.
Количество атак демонстрирует стабильный рост. В первом и втором кварталах 2025 года было зафиксировано 1,17 миллиона инцидентов, что на 21% больше, чем 969 тысяч атак во второй половине 2024 года. В годовом исчислении рост составил 41%. Одновременно увеличилась и мощность атак: пиковое значение достигло 2,2 Тбит/с, превысив предыдущий рекорд в 2 Тбит/с, установленный в конце 2024 года.
Ключевым изменением стала переориентация злоумышленников на новые отрасли. Если во втором полугодии 2024 года на игровую индустрию приходилось 34% всех атак, то в 2025 году этот показатель упал до 19%. Лидером стал технологический сектор, на который теперь приходится 30% инцидентов. Значительный риск также наблюдается в сфере финансовых услуг (21%), телекоммуникаций (13%), медиа (10%) и розничной торговли (5–6%).
Атаки на уровне приложений (Application Layer) становятся доминирующей угрозой. Доля многовекторных атак, направленных на веб-приложения и API, выросла с 28% в третьем и четвертом кварталах 2024 года до 38% в первой половине 2025-го. Такие атаки сложнее обнаружить, поскольку они маскируют вредоносную активность под легитимный трафик, эксплуатируя бизнес-логику и программные интерфейсы.
Изменилась и тактика продолжительности атак. Количество коротких атак (менее 10 минут) сократилось примерно на 33%. В то же время число атак продолжительностью от 10 до 30 минут увеличилось почти в четыре раза. Это указывает на сдвиг в сторону более продолжительных и настойчивых кампаний, направленных на истощение ресурсов защиты. При этом максимальная зафиксированная длительность атаки сократилась с пяти до трех часов.
Среди конкретных методов на сетевом уровне выделяются атаки типа ACK Flood, на которые теперь приходится 8% всего трафика. Использование многовекторных подходов позволяет злоумышленникам комбинировать объемные атаки с целевыми эксплойтами, что требует от систем защиты комплексного подхода к анализу трафика.
Рост частоты DDoS-атак обусловлен четырьмя основными факторами: доступностью дешевых сервисов «DDoS по найму», огромным количеством незащищенных IoT-устройств, используемых для создания ботнетов, глобальной геополитической и экономической напряженностью, а также постоянным совершенствованием техник атак.
География источников атак также претерпела изменения. Хотя США и Нидерланды остаются основными источниками атак на сетевом уровне, новым значительным центром стал Гонконг. На его долю теперь приходится 17% атак сетевого уровня и 10% атак на уровне приложений, что делает его одним из ключевых узлов для запуска DDoS-кампаний.
Усложнение атак, особенно тех, что сочетают объемные наводки с манипуляциями логикой приложений, делает жизненно необходимыми интегрированные платформы защиты. Отрасли, такие как электронная коммерция, логистика, онлайн-банкинг и государственные сервисы, особенно уязвимы перед подобными угрозами.
Эффективная защита от современных угроз требует комплексных решений, таких как Web Application and API Protection (WAAP). Платформы этого класса обеспечивают многоуровневую оборону. Например, решение Gcore DDoS Protection, интегрированное с WAAP, управлением ботами и защитой API, обладает фильтрующей мощностью сети более 200 Тбит/с и использует более 210 точек присутствия (PoP) по всему миру для отражения атак вблизи их источника.
Изображение носит иллюстративный характер
Количество атак демонстрирует стабильный рост. В первом и втором кварталах 2025 года было зафиксировано 1,17 миллиона инцидентов, что на 21% больше, чем 969 тысяч атак во второй половине 2024 года. В годовом исчислении рост составил 41%. Одновременно увеличилась и мощность атак: пиковое значение достигло 2,2 Тбит/с, превысив предыдущий рекорд в 2 Тбит/с, установленный в конце 2024 года.
Ключевым изменением стала переориентация злоумышленников на новые отрасли. Если во втором полугодии 2024 года на игровую индустрию приходилось 34% всех атак, то в 2025 году этот показатель упал до 19%. Лидером стал технологический сектор, на который теперь приходится 30% инцидентов. Значительный риск также наблюдается в сфере финансовых услуг (21%), телекоммуникаций (13%), медиа (10%) и розничной торговли (5–6%).
Атаки на уровне приложений (Application Layer) становятся доминирующей угрозой. Доля многовекторных атак, направленных на веб-приложения и API, выросла с 28% в третьем и четвертом кварталах 2024 года до 38% в первой половине 2025-го. Такие атаки сложнее обнаружить, поскольку они маскируют вредоносную активность под легитимный трафик, эксплуатируя бизнес-логику и программные интерфейсы.
Изменилась и тактика продолжительности атак. Количество коротких атак (менее 10 минут) сократилось примерно на 33%. В то же время число атак продолжительностью от 10 до 30 минут увеличилось почти в четыре раза. Это указывает на сдвиг в сторону более продолжительных и настойчивых кампаний, направленных на истощение ресурсов защиты. При этом максимальная зафиксированная длительность атаки сократилась с пяти до трех часов.
Среди конкретных методов на сетевом уровне выделяются атаки типа ACK Flood, на которые теперь приходится 8% всего трафика. Использование многовекторных подходов позволяет злоумышленникам комбинировать объемные атаки с целевыми эксплойтами, что требует от систем защиты комплексного подхода к анализу трафика.
Рост частоты DDoS-атак обусловлен четырьмя основными факторами: доступностью дешевых сервисов «DDoS по найму», огромным количеством незащищенных IoT-устройств, используемых для создания ботнетов, глобальной геополитической и экономической напряженностью, а также постоянным совершенствованием техник атак.
География источников атак также претерпела изменения. Хотя США и Нидерланды остаются основными источниками атак на сетевом уровне, новым значительным центром стал Гонконг. На его долю теперь приходится 17% атак сетевого уровня и 10% атак на уровне приложений, что делает его одним из ключевых узлов для запуска DDoS-кампаний.
Усложнение атак, особенно тех, что сочетают объемные наводки с манипуляциями логикой приложений, делает жизненно необходимыми интегрированные платформы защиты. Отрасли, такие как электронная коммерция, логистика, онлайн-банкинг и государственные сервисы, особенно уязвимы перед подобными угрозами.
Эффективная защита от современных угроз требует комплексных решений, таких как Web Application and API Protection (WAAP). Платформы этого класса обеспечивают многоуровневую оборону. Например, решение Gcore DDoS Protection, интегрированное с WAAP, управлением ботами и защитой API, обладает фильтрующей мощностью сети более 200 Тбит/с и использует более 210 точек присутствия (PoP) по всему миру для отражения атак вблизи их источника.
