Центр компетенций сетевой безопасности группы компаний «Гарда» представил анализ DDoS-угроз за третий квартал 2025 года и сопоставил результаты с Q2 2025 и Q3 2024. Цель исследования — определить основные отрасли-мишени и эволюцию методов атаки.
Динамика атак по отраслям
Структура DDoS-атак в третьем квартале 2025 года заметно изменилась относительно предыдущего периода и аналогичного квартала 2024-го. Наиболее резкий скачок показал телеком — с 15% год назад и 19% во втором квартале 2025-го до внушительных 36% сейчас. Таким образом, отрасль стала главным объектом DDoS-давления.
Государственный сектор, который уверенно лидировал во втором квартале (34%), в Q3 откатился к 19%, фактически вернувшись к уровням предыдущего года (15%). ИТ-рынок оказался крупнейшим «просевшим»: доля атак уменьшилась в четыре раза — с 32% в Q3 2024 до 8% в текущем периоде.
Небольшой, но устойчивый рост наблюдается у финансовых организаций — до 12%. Индустриальный сегмент опустился до 8% после временного всплеска ранее, однако все еще выше прошлогодних значений. Впервые в выборке появилась медицина (7%), что демонстрирует растущую заинтересованность злоумышленников в этой сфере. Ритейл сохраняет стабильные 6%, а образование медленно, но последовательно набирает долю: с нулевых значений год назад, через 2% во втором квартале до 3% сейчас.
Типология DDoS-атак
Вторая половина 2025 года отмечена сменой парадигмы: простые однотипные флады уходят на задний план, уступая продвинутым техникам. Чаще всего фиксируются IP-fragmentation, усилительные схемы (DNS и STUN) и комбинированные TCP-сценарии (SYN + SYN/ACK).
Особенно выделяется рост IP-fragmentation — с 7% до 29%, что почти в четыре раза больше и соответствует возврату к низкоуровневым ресурсозатратным атакам. TCP SYN/ACK, ранее отсутствовавший в статистике, сразу занял 14%. DNS-усиление увеличилось до 21%, а STUN amplification впервые отметился на уровне 2%.
Классические техники теряют популярность: TCP SYN опустился с 24% до 16%, TCP ACK — до 7%, UDP — c 22% до 7%, что является одним из наиболее заметных падений. Категория «прочее» почти исчезла (4% против 21% ранее), что говорит о концентрации злоумышленников на максимально эффективных методах.
Выводы
Фрагментационные атаки направлены на перегрузку всех компонентов сети, участвующих в обработке пакетов — от серверов до систем безопасности. Их рост обусловлен усложнением защитных платформ и стремлением атакующих обходить современные фильтры.
Несмотря на усиление продвинутых методик, классика все еще в ходу: базовые TCP-сценарии остаются массовыми из-за низкой стоимости и простоты реализации. Рост атак на телеком объясняется развитием фильтрации на стороне провайдеров: злоумышленники стремятся «пробить» инфраструктуру до того, как трафик будет очищен.
DDoS-активность становится более комплексной, а оборона — многослойной: решения Anti-DDoS все чаще используются совместно с WAF, что повышает устойчивость инфраструктуры к гибридным атакам.