DDoS-атаки-2025: 665 тыс. атак и рекорд мощности 11 Тбит/с

Введение

2025 год сохранил ландшафт угроз для онлайн-ресурсов и показал изменения в поведении злоумышленников, которые по-прежнему считают своей целью нанесение ущерба онлайн-ресурсам российских компаний. Хакеры продолжают проводить DDoS-атаки, чтобы сделать онлайн-ресурсы недоступными для пользователей и тем самым нарушить работу компаний или государственных сервисов, но все чаще переходят на веб-атаки на особо крупные компании из критично важных для страны отраслей.

Эксперты ГК «Солар» подготовили отчет о том, как киберпреступники использовали DDoS-атаки в минувшем году. Аналитика составлена на основе данных об инцидентах, зафиксированных и отраженных сервисом Anti-DDoS платформы Solar MSS за январь — декабрь 2025 года. Учтена информация о массовых атаках на магистральную сеть, канальную инфраструктуру доступа к услугам, клиентское оборудование. Для отчета была проанализирована информация о более 700 компаниях из различных отраслей, включая ретейл, финансовый и государственный секторы. В основе сервиса Anti-DDoS лежит отечественное ПО группы компаний «Гарда».

Число отраженных DDoS-атак свидетельствует о тенденции к постепенному снижению общего количества атак год к году. Это обусловлено возросшим уровнем защиты и информационной безопасности компаний-клиентов. В связи с этим хакеры продолжают проводить DDoS, параллельно совершая и другие атаки, например уровня L7 (атаки на веб-приложения, от которых защитит сервис WAF – Web Application Firewall) и более сложные целенаправленные (APT-атаки).

Каким был DDoS в 2025 году

В данном разделе мы подробнее остановимся на атаках, зафиксированных и отраженных сервисом мониторинга трафика и защиты от DDoS-атак (Anti-DDoS). DDoS-атака — это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры организации, ее порталов и веб-ресурсов. Хакеры искусственно создают нелегитимный трафик, чтобы сделать ресурсы недоступными для интернет-пользователей.

Количество DDoS-атак

Общее количество DDoS-атак, тыс. штук

2024
2025

Категория	Значение 1	Значение 2
Январь	29.4	55.7
Февраль	52.2	45.7
Март	44.4	92.3
Апрель	33.2	67.7
Май	47.9	79.8
Июнь	56.2	45.3
Июль	96.4	61.6
Август	45.6	31.7
Сентябрь	67.6	80.5
Октябрь	42.2	52.2
Ноябрь	45.3	24.7
Декабрь	40.3	28.1

В 2025 года сервис Anti-DDoS зафиксировал 665,3 тыс. DDoS-атак на российские компании — это на 11% больше, чем в аналогичном периоде 2024 года. На одну компанию в этот период приходилась 931 атака.

По нашему мнению, сегодня злоумышленники не готовы тратить ресурсы на DDoS-атаки, которые не выводят инфраструктуру жертвы из строя. Именно поэтому хакеры переходят на более сложные векторы — например, на веб-атаки уровня L7 с целью поиска уязвимостей.

Отдельно отметим, что хакеры, которые не смогли реализовать DDoS-атаку на ту или иную компанию, нередко переходят к более сложным атакам на веб-приложения, что уже может привести к утечке данных или взлому инфраструктуры. Такой тренд эксперты Anti-DDoS зафиксировали у 37% своих клиентов, пользующихся комплексной защитой от подобных киберугроз. При злоумышленники атакуют веб-приложения наиболее крупных компаний из критично важных для экономики страны отраслей — логистики, энергетической, транспортной и банковской сферы, госсектора. Однако порой хакеры по-прежнему используют DDoS как первый и самый простой способ на пути к взлому инфраструктуры — именно поэтому компаниям необходимо выстраивать комплексную защиту, в том числе и онлайн-периметра, от разных типов угроз.

Пик DDoS в 2025 году пришелся на март и cоставил 92,3 тыс. зафиксированных атак — тогда им чаще подвергались компании страхового сектора и кредитно-финансовой отрасли. Отметим, что 82% общего числа ударов на отрасль произошло в марте сразу после завершения переговоров США и Украины в Саудовской Аравии.

Большое количество DDoS-атак наблюдалось в сентябре, во время проведения Единого дня голосования (80,5 тыс. атак) и в мае (79,8 тыс. атак), когда были атакованы компании отрасли ИТ и телекома. Майские атаки связаны с празднованием в России 80-летия Победы в Великой Отечественной войне.

При этом максимальные по мощности атаки были зарегистрированы в августе и декабре 2025 года — о них речь пойдет в следующем разделе.

Мощность атак

Максимальная мощность атаки на клиентов ГК «Солар» в 2025 году достигла тех же значений, что и в 2024-м.

Максимальная мощность DDoS-атаки, Гбит/сек

2024
2025

Категория	Значение 1	Значение 2
Январь	208.09	328.45
Февраль	46.66	334.81
Март	724.25	324.49
Апрель	779.74	286.63
Май	297.94	163.85
Июнь	493.22	178.99
Июль	631.13	447.28
Август	308.05	1522.43
Сентябрь	403.17	320.42
Октябрь	1033.48	941.85
Ноябрь	145.30	399.69
Декабрь	158.62	1447.44

Максимальная мощность DDoS-атаки, Mpps

2024
2025

Категория	Значение 1	Значение 2
Январь	58.09	48.65
Февраль	28.48	94.73
Март	317.06	37.18
Апрель	170.13	166.79
Май	31.24	157.76
Июнь	114.58	137.48
Июль	129.37	387.80
Август	41.75	134.10
Сентябрь	34.96	119.67
Октябрь	86.38	112.57
Ноябрь	139.47	160.18
Декабрь	52.80	989.60

Так, большое количество DDoS-атак было зафиксировано в августе. Один из пиков составил 1522 Гбит/сек, когда был атакован был один из телеком-операторов и инфраструктура информационных систем, задействованных в подготовке к Единому дню голосования. Второй по мощности пик пришелся на декабрь — тогда в преддверии новогодних праздников были атакованы телеком-операторы.

Отдельно отметим, что на майских праздниках был обновлен рекорд по мощности атаки – он достиг 11 Тбит/сек.

Средняя мощность DDoS-атаки, Гбит/сек

2024
2025

Категория	Значение 1	Значение 2
Январь	1.15	0.80
Февраль	1.17	1.60
Март	1.81	0.69
Апрель	2.40	0.45
Май	1.79	0.75
Июнь	2.11	0.70
Июль	1.73	0.47
Август	2.63	0.76
Сентябрь	0.67	0.33
Октябрь	0.93	1.19
Ноябрь	0.79	0.95
Декабрь	0.59	1.00

При этом средняя мощность атаки, приходящей на один объект мониторинга (сущность в ПО AntiDDoS, объединяющая защищаемые адреса, шаблон детектирования и шаблон защиты на один канал связи или одну подсеть клиента), снизилась и составила 607 Мбит/сек и 111 млн пакетов/сек (Mpps), что дополнительно говорит о снижении интереса хакеров к проведению мощных DDoS-атак на постоянной основе.

Атакованные отрасли

Лидером по общему количеству DDoS-атак в 2025 году по-прежнему является телеком-отрасль. При этом большая часть самых мощных атак приходилась на операторов, работающих на новых российских территориях и в Южном федеральном округе. Телеком-операторы всегда вызывали интерес у злоумышленников. Данной отрасли критично важна непрерывность процесса и стабильность соединения, которую хакеры стремятся нарушить, оказывая негативное влияние на жизнь граждан.

Также можно отметить стабильно высокое количество DDoS на ИТ-отрасль. Хакеры нередко атакуют более крупные компании через подрядчика, в роли которых нередко выступают IT-организации. Традиционный интерес злоумышленники проявляют и к федеральным органам исполнительной власти. К примеру, РОИВ находятся под постоянным прицелом хакеров — за отчетный период их онлайн-ресурсы были атакованы более 32,2 тыс. раз, именно поэтому они выделены в отдельную категорию.

Топ атакуемых отраслей в 2025 году

Категория	Значение
Телеком	162
ИТ	116
ФОИВ	41
Кредитно-финансовая отрасль	41
РОИВ	32

Топ атакуемых отраслей в 2024 году

Категория	Значение
Телеком	100
ИТ	99
Кредитно-финансовая отрасль	96
ФОИВ	73
РОИВ	38

Среднее число DDoS-атак на одну компанию по отраслям, 2025 год

Телеком
ИТ
Кредитно-финансовая отрасль
ФОИВ
РОИВ

Категория	Значение 1	Значение 2	Значение 3	Значение 4	Значение 5
Январь	262	200	52	98	40
Февраль	207	58	33	115	44
Март	2025	172	262	138	118
Апрель	71	261	58	178	46
Май	197	376	29	253	66
Июнь	88	113	35	105	61
Июль	561	80	52	133	48
Август	179	54	18	91	29
Сентябрь	1300	39	22	71	34
Октябрь	644	58	22	73	34
Ноябрь	84	32	22	57	42
Декабрь	84	39	26	65	52

Среднее число DDoS-атак на одну компанию по отраслям, 2024 год

Телеком
ИТ
Кредитно-финансовая отрасль
ФОИВ
РОИВ

Категория	Значение 1	Значение 2	Значение 3	Значение 4	Значение 5
Январь	285	95	73	688	109
Февраль	221	80	50	379	126
Март	257	177	99	272	124
Апрель	214	84	62	270	69
Май	324	94	53	205	78
Июнь	317	263	61	194	62
Июль	217	219	526	163	47
Август	127	69	64	158	85
Сентябрь	215	139	100	150	60
Октябрь	260	69	107	84	125
Ноябрь	191	65	186	107	56
Декабрь	605	157	138	90	37

Также хакеры наращивают интенсивность DDoS-атак на телеком и ИТ. Так, в среднем на одну телеком-компанию за отчетный период было совершено порядка 340 атак — это на 34% больше, чем в 2024 году. В ИТ прирост составил порядка 11% год к году — до 150 DDoS-атак на одну компанию.

География атак

Общее количество DDoS-атак в регионах за 2025 год, тыс. шт.

Категория	Значение
Москва	337
Поволжье	53,1
Урал	51,7
Сибирь	51,6
Северо-Запад	49,1
Центр	38,6
Юг	31,2
Дальний Восток	24,4

Общее количество DDoS-атак в регионах за 2024 год, тыс. шт.

Категория	Значение
Москва	269
Урал	68,8
Поволжье	53,9
Юг	38,8
Сибирь	35,6
Северо-Запад	32,3
Центр	21,5
Дальний Восток	18,7

Лидером по общему числу зафиксированных DDoS-атак в 2025 году традиционно является Москва, так как там сконцентрировано больше организаций из различных секторов экономики, находящихся под прицелом хакеров.

Второе место занял Приволжский федеральный округ — всего в регионе за отчетный период было зафиксировано и отражено 53,1 тыс. атак. Уральский федеральный округ, который в аналогичном периоде 2024 года был на втором месте, в 2025-м сместился на 3-е место с 51,7 тыс. атак. Сразу за ним следует Сибирь, на которую пришлось 51,6 тыс. По нашему мнению, вектор атак переместился в Поволжье из-за расположения в регионе большого количества промышленных предприятий оборонной отрасли, что является объектом интереса хакеров.

Среднее число DDoS-атак на одну компанию в регионах за 2025 год

Категория	Значение
Дальний Восток 2025	62,3
Дальний Восток 2024	90
Центр 2025	59
Центр 2024	76,8
Северо-Запад 2025	86,4
Северо-Запад 2024	90
Юг 2025	60
Юг 2024	164,7
Поволжье 2025	70,5
Поволжье 2024	93,5
Сибирь 2025	68,6
Сибирь 2024	108,5
Урал 2025	61,5
Урал 2024	143,6
Москва 2025	192,30
Москва 2024	277,4

Что касается среднего числа атак во всех регионах, то здесь мы фиксируем снижение интенсивности DDoS в разрезе одной компании. Единственным федеральным округом, где отмечается сохранение среднего числа атак на одну организацию, — остается Северо-Западный. Это обусловлено тем, что в регионе много компаний — лидеров в разработке полезных ископаемых и газодобывающей промышленности, которые также вызывают повышенный интерес у злоумышленников.

Векторы атак

Топ-5 типов DDoS-атак в 2025 году, тыс. шт.

Категория	Значение
TCP SYN	85,3
IP Fragment	70
DNS	57
UDP	54,8
TCP ACK	22,1

Топ-5 типов DDoS-атак в 2024 году, тыс. шт.

Категория	Значение
TCP SYN	135,7
UDP	62,1
IP Fragment	59,4
DNS	38,7
Amplification L2TP	30,7

В 2025 году лидируют топ-5 векторов: TCP SYN, UDP Flood, атаки на DNS и атаки фрагментированными пакетами. TCP ACK, лидирующий по атакам в 2022–2024 годах, спустился на пятое место в наиболее популярных типах атак.

Также сохранился тренд на мультивекторные DDoS-атаки, который включает в себя несколько типов атак одновременно. Злоумышленники во время подобной атаки могут менять протоколы, порты и IP-адреса, чтобы увеличить разрушительную силу ударов и обойти средства защиты.

TCP SYN. Это флуд, направленный на создание большого числа неполных соединений, что приводит к исчерпанию ресурсов сервера и его недоступности для легитимных пользователей. До 25% всех мощных DDoS-ударов в 2025 году реализовано с применением TCP SYN. Существенная их часть осуществлялась по одному и тому же шаблону с применением ботнет-сетей, а эффективность атаки напрямую зависела от распределения элементов ботнета. Такой флуд увеличивает нагрузку на инфраструктуру даже крупных компаний и может привести к росту продолжительности обработки легитимный соединений. Именно поэтому для защиты от SYN Flood необходима опытная экспертная команда.
UDP Flood. Атаки типа UDP Flood создают огромный объем UDP-трафика, направленного на исчерпание пропускной способности сети и перегрузку целевых серверов. UDP Flood остается популярным методом атак, особенно в контексте мультивекторных атак.
IP Fragmentation. Это разновидность DDoS-атаки, которая эксплуатирует процесс фрагментации IP-пакетов для перегрузки сетевого оборудования и нарушения работы сервисов.
Атаки на DNS. Направлены на перегрузку серверов. Один из наиболее известных типов — DNS Flood. В этом случае злоумышленники массово отправляют ложные DNS-запросы, истощая ресурсы сервера и замедляя его работу.
Amplification DNS. Злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.
Amplification L2TP — тип атак, при которых для усиления их мощности применяются уязвимости протоколов, работающих по UDP. L2TP — протокол туннелирования, и его уязвимости могут быть использованы злоумышленниками для реализации таких атак.

Выводы

Эффективность DDoS-атак на клиентов «Солара» снижается – теперь хакеры все еще совершают точечные, довольно мощные атаки на отдельные компании. Какак правило, в период ярких геополитических событий или важных для страны мероприятий.
Телеком, ИТ-сектор и кредитно-финансовая отрасль остаются в топе наиболее атакуемых отраслей как наиболее критичные отрасли, оказывающие значительное влияние на экономику страны и жизнь граждан.
В целом хакеры переходят на более сложные атаки — к примеру, на веб-приложения, с помощью которых можно выявить уязвимости и проникнуть в инфраструктуру компании. Именно поэтому мы рекомендуем всем российским организациям внедрять эшелонированный подход к онлайн-защите (Anti-DDoS + WAF).