Центр компетенций группы компаний «Гарда» проанализировал изменения в DDoS-атаках за второй квартал 2025 года, сравнив их с предыдущими периодами. Исследование выявило основные типы атак, их распределение по отраслям и изменения в методах.
Во втором квартале 2025 года на государственные компании пришлось 34% DDoS-атак, что значительно больше, чем в первом квартале (13%) и во втором квартале 2024 года (13%). Доля атак на промышленные компании выросла с 4% до 12%, а на ритейл-организации — с 0% до 6%. При этом доля атак на телекоммуникационные компании снизилась с 35% до 19%, на ИТ-сектор — с 37% до 17%, а на сектор услуг — с 20% до 1%. Доля атак на финансовый сектор уменьшилась с 10% до 9%, а на образовательный — осталась на уровне 2%.
Изменения в ландшафте атак могут быть связаны с обходом защиты на основе фильтрации по GeoIP и ростом цифровизации, особенно в сегменте IoT-устройств, число которых в России увеличилось на 35–40%. Также наблюдается рост ботнет-сетей, что усложняет идентификацию и нейтрализацию атак. Злоумышленники все чаще используют инфраструктуру крупных западных ИТ-компаний, таких как Google и Cloudflare, что затрудняет их отслеживание.
В структуре атак лидируют TCP-атаки на сетевом и транспортном уровнях (49%), за ними следуют UDP-флуд-атаки (22%). Доля атак с усилением (amplification) осталась на уровне 17%, а IP-фрагментации — 7%. Во втором квартале заметно снижение доли TCP ACK-атак, что указывает на смену приоритетов злоумышленников. Растет популярность атак через WebSockets, многоуровневых ботнетов и других сложных техник, усложняющих защиту.
Также отмечается смещение фокуса на менее защищенные отрасли: государственный сектор, промышленность и ритейл. Это связано с утратой эффективности традиционных методов защиты, таких как GeoIP-фильтрация, в условиях усложняющейся инфраструктуры атак. Злоумышленники стремятся не к массовым атакам, а к точечному выведению из строя ключевых компонентов ИТ-инфраструктуры.