Ключевые факты и выводы

• Крупнейший DDoS-ботнет, который мы обнаружили в марте 2025 года, за год значительно вырос — с 1,33 млн до 13,5 млн зараженных устройств. Основную долю составляют устройства из США, Бразилии и Индии.
• Наиболее интенсивная DDoS-атака 1 кв. 2026 года была направлена на организацию из сегмента “Онлайн-ставки”. В пике она достигала более 2 Тбит/с и около 1 Bpps. При этом фаза высокой интенсивности продолжалась более 40 минут, что нетипично долго для настолько масштабных атак.
• Доля мультивекторных DDoS-атак в 1 кв. 2026 года выросла по сравнению с 2025 годом с 8,0% до 10,7% от всех инцидентов. Доля атак, сочетающих L3-L4 и L7, увеличилась еще заметнее: с 3,6% до 6,2% от всех инцидентов.
• Наибольшее число DDoS-атак в 1 кв. 2026 года было направлено на сегменты “Финтех” (44,2%), “ИТ и Телеком” (19,3%) и “Онлайн-ставки” (10,0%). На эти три сегмента суммарно пришлось почти три четверти всех зафиксированных нами атак.
• В число микросегментов, которые чаще всего атаковали в 1 кв. 2026 году, вошли “Банки” (22,8%), “Платежные системы” (15,9%), “Онлайн-букмекеры” (10,0%), “Хостинговые платформы” (6,8%) и “Системные интеграторы” (6,4%).
• В 1 кв. 2026 года крупнейшими источниками L7 DDoS-атак стали Бразилия (12,1%), США (11,5%) и Россия (7,3%). При этом доля первой пятерки стран снизилась по сравнению с прошлым годом с 56,5% до 42,0% — то есть распределение источников атак по странам стало в целом более равномерным.
• В 1 кв. 2026 года среднемесячное количество заблокированных запросов “плохих” ботов выросло на 12% по сравнению с 2025 годом и составило 2,5 млрд.
• Общий “индекс ботовости” в 1 кв. 2026 года составил 1,97%, что несколько ниже среднего значения за 9 последних месяцев 2025 года (2,1%), но все еще достаточно много.
• Самая длительная атака “плохих” ботов в 1 кв. 2026 года была направлена на организацию из сегмента “Электронная коммерция”. Она продолжалась более двух недель, за это время было заблокировано более 178 млн запросов ботов.
• В 1 кв. 2026 года число уникальных АС, допустивших утечки маршрутов, осталось на уровне прошлого года. При этом количество АС, совершивших BGP-перехваты, снизилось примерно на 17% по сравнению с 1 кв. 2025 года.
• Количество глобальных инцидентов BGP в 1 кв. 2026 года было достаточно высоким — мы зафиксировали 7 утечек маршрутов и один BGP-перехват.

Ключевые факты и выводы

• Наибольшее число DDoS-атак в 2025 году было направлено на сегменты “Финтех” (26,6%), “Электронная коммерция” (21,3%), “ИТ и Телеком” (13,4%) и “Медиа” (11,6%). На эти четыре сегмента суммарно пришлось почти 75% всех атак.
• Среди микросегментов в 2025 году чаще всего атаковали “Платежные системы” (11,7%), “Рестораны и доставка еды” (11,3%), “Медиа, ТВ, радио и блогеры” (10,0%), “Банки” (7,7%) и “Онлайн-образование” (6,7%).
• В декабре мы зафиксировали две самые интенсивные L3-L4 DDoS-атаки 2025 года. Они были направлены на микросегмент “Онлайн-букмекеры”, их интенсивность в пике достигала 3,06 и 3,51 Тбит/с — втрое больше рекорда 2024 года (1,14 Тбит/с).
• Самая длительная DDoS-атака 2025 года продолжалась 119,2 ч, то есть около пяти дней. Для сравнения, рекорд 2024 года — 19 дней (463,9 ч).
• В 2025 году мы обнаружили крупнейший DDoS-ботнет за всю историю наблюдений. За этот год его размер вырос с 1,33 млн до 5,76 млн зараженных устройств, преимущественно расположенных в Бразилии, Вьетнаме, США, Индии и Аргентине.
• По итогам всего 2025 года крупнейшими источниками L7 DDoS-атак стали Россия (16,82%), Бразилия (15,92%) и США (11,99%). Наиболее заметный рост по сравнению с 2024 годом продемонстрировали Бразилия, Вьетнам и Аргентина.
• Появление столь масштабных DDoS-ботнетов и рост доли развивающихся стран среди источников L7 DDoS, по нашему мнению, обусловлены быстрым увеличением числа уязвимых устройств, подключенных к высокоскоростному интернету, а также активным применением атакующими инструментов на основе ИИ.
• Количество заблокированных запросов “плохих” ботов в 2025 году выросло на 30% по сравнению с прошлым годом и в среднем составило 2,2 миллиарда в месяц.
• Средний “индекс ботовости” за последние девять месяцев 2025 года составил 2,1%.
• Самая масштабная атака “плохих” ботов в 2025 году продолжалась около месяца, всего было заблокировано более 3,3 миллиарда бот-запросов.
• В 2025 году число уникальных АС, допустивших утечки маршрутов, осталось на том же уровне, что и годом ранее. При этом количество АС, совершивших BGP-перехваты, снизилось на 17% по сравнению с 2024 годом.
• Количество глобальных утечек маршрутов в 2025 году было на 37% ниже, чем в 2024 году, а глобальных BGP-перехватов мы зафиксировали ровно столько же, что и годом ранее.

Дело о загадочном сбросе BGP-сессий из-за неправильного атрибута OTC Недавно мы столкнулись с интересной проблемой: необъяснимым сбросом BGP-сессий после получения роутерами маршрутов. Мы решили исследовать причины такого поведения — для этого мы проанализировали те сообщения BGP UPDATE, которые вызывали ошибку. Довольно быстро выяснилось, что у всех этих маршрутов была одна общая деталь: они содержали некорректный атрибут OTC. При этом корень проблемы со сбросом сессий заключался в том, как именно роутеры обрабатывали неправильные маршруты. Поговорим об этом чуть ниже, а сперва обсудим матчасть.

Ключевые факты и выводы В России рейтинг устойчивости IPv4 улучшился с 5,34% в 2023 году до 5,12% в 2024 (меньше — лучше). Это позволило России подняться на три позиции и войти в топ-10 стран мира. Устойчивость IPv6 российского сегмента улучшилась даже более заметно: с 5,85% до 3,66%. Однако в других регионах она также значительно выросла, в результате Россия по-прежнему занимает 13-е место в общемировом рейтинге устойчивости IPv6. Критическая автономная система для российского сегмента IPv4 не изменилась — это по-прежнему AS12389 (Ростелеком). Для IPv6 теперь это AS9049 (ЭР-Телеком). В среднем по миру устойчивость продолжила улучшаться, но достаточно скромными темпами — с 25,7% в 2023 году до 24,79% в 2024-м. По итогам 2024 года Бразилия заняла первое место и в рейтинге устойчивости IPv4 (0,98%), и в рейтинге устойчивости IPv6 (2,15%). На втором и третьем местах в обоих рейтингах в 2024 году были Нидерланды (2,54%/3,4%) и Германия (2,54%/3,6%). Темпы распространения IPv6 продолжают замедляться. Также по-прежнему наблюдается частичная связность IPv6, то есть отсутствие стыков между некоторыми Tier-1 операторами. Текущий рейтинг устойчивости национальных сегментов Интернета вы можете найти по ссылке .

Издание CNews опубликовало ежегодный обзор российского рынка информационной безопасности. По итогам исследования CURATOR заняла второе место среди отечественных поставщиков решений для защиты приложений.

Ключевые факты и выводы Наибольшее число DDoS-атак в 3 квартале было направлено на сегменты “Финтех” (26,1%), “Электронная коммерция” (22,0%), “Медиа” (15,8%), а также “ИТ и Телеком” (14,5%). На эти четыре сегмента суммарно пришлось почти 80% всех атак. Среди микросегментов в 3 квартале чаще всего атаковали “Медиа, ТВ, радио и блогеры” (14,1%), “Платежные системы” (13,9%), “Рестораны и доставка еды” (13,0%), “Онлайн-образование” (7,2%) и “Хостинговые платформы” (6,6%). Самая интенсивная L3-L4 DDoS-атака 3 квартала была направлена на организацию из микросегмента “Онлайн-ритейл” и имела максимальный битрейт 1,15 Тбит/с — немного больше рекорда 2024 года (1,14 Тбит/с). Самая длительная DDoS-атака 3 квартала продолжалась более девяти суток (225,9 ч). Для сравнения, рекорд 2024 года — 19 дней (463,9 ч). В 3 квартале мы зафиксировали очередную атаку DDoS-ботнета “миллионника”, который мы отслеживаем уже полгода. На этот раз в ней приняли участие 5,76 миллиона зараженных устройств, преимущественно из Бразилии, Вьетнама, США, Индии и Аргентины. В 3 квартале крупнейшим источником L7 DDoS-атак стала Бразилия (19%), опередившая Россию (18,4%) и США (10,3%). Появление столь масштабных DDoS-ботнетов и рост доли развивающихся стран среди источников L7 DDoS мы связываем со стремительным увеличением числа уязвимых устройств, подключенных к быстрому интернету, а также с активным использованием атакующими инструментов на основе ИИ. После резкого повышения активности “плохих” ботов во 2 квартале 2025 года, которое в основном было связано с одной крайне продолжительной атакой, в 3 квартале показатели заметно снизились квартал к кварталу (-37%). Одновременно существенно снизился “индекс ботовости”: доля бот-трафика в общем трафике на защищаемые ресурсы уменьшилась с 2,34% до 1,36%. В 3 квартале 2025 года число уникальных АС, допустивших утечки маршрутов, практически не изменилось по сравнению с прошлыми периодами. При этом количество АС, участвовавших в BGP-перехватах, оказалось ниже обычного уровня вследствие заметного спада в июле. После значительного роста во 2 квартале 2025 года, количество глобальных инцидентов BGP резко снизилось. В 3 квартале мы зафиксировали всего 5 таких инцидентов — 4 глобальные утечки маршрутов и 1 глобальный BGP-перехват.

1 сентября 2025 года специалисты CURATOR зафиксировали и нейтрализовали очередную атаку крупнейшего L7 DDoS-ботнета, направленную на организацию из сегмента “Государственные ресурсы”. В ходе инцидента было заблокировано 5,76 млн IP-адресов, задействованных в атаке.

Ключевые факты и выводы Общее число L3-L4 DDoS-атак во 2 квартале 2025 года заметно выросло по сравнению со 2 кварталом 2024 (+43%). Наибольшее число L3-L4 DDoS-атак во 2 квартале было направлено на сегменты “Финтех” (22,6%), “Электронная коммерция” (20,6%) и “ИТ и Телеком” (16,1%). Самая интенсивная L3-L4 DDoS-атака 2 квартала имела максимальный битрейт 965 Гбит/с — немногим меньше рекорда всего прошлого года (1140 Гбит/с). Атака была направлена на организацию из микросегмента “Онлайн-букмекеры” и, по всей видимости, была связана с установлением Александром Овечкиным нового рекорда результативности среди игроков НХЛ. Самая длительная L3-L4 DDoS-атака 2 квартала продолжалась чуть более четырех суток (96,5 ч). Для сравнения, рекорд 2024 года — 19 дней (463,9 ч). Количество L7 DDoS-атак во 2 квартале 2025 года значительно выросло по сравнению со 2 кварталом 2024 (+74%). Целями L7 DDoS-атак во 2 квартале 2025 года чаще всего становились сегменты “Финтех” (43,6%), “Электронная коммерция” (22,6%) и “ИТ и Телеком” (18,2%). Среди микросегментов наибольшее количество L7 DDoS-атак было направлено на “Банки” (24,7%), “Программное обеспечение” (12,9%), “Рестораны и доставка еды” (10,9%), “Платежные системы” (8,5%) и “Онлайн-ритейл” (6,1%). Самая продолжительная L7 DDoS-атака 2 квартала длилась 65,5 часа. Во втором квартале мы зафиксировали атаку рекордного по размеру DDoS-ботнета, состоявшего из 4,6 миллиона устройств. Это в 3,5 раза больше рекорда 1 квартала (1,3 миллиона) и в 20 раз больше крупнейшего ботнета, обнаруженного нами в 2024 году (227 тысяч). Тройка стран, которые чаще всего служили источниками L7 DDoS-атак, во 2 квартале 2025 не изменилась по сравнению с 2024 годом: это Россия (17%), США (16,6%) и Бразилия (13,2%), доля последней уверенно растет уже нескольких кварталов подряд. Активность “плохих” ботов во 2 квартале 2025 значительно выросла (+31%) относительно прошлого квартала. Основной прирост трафика пришелся на апрель-май. В основном это было связано с одной-единственной атакой на сегмент “Электронная коммерция”, которая началась в апреле, а закончилась только в мае, продлившись более месяца. В рамках защиты от нее мы заблокировали около 2 миллиардов бот-запросов — месячную норму бот-трафика. Число уникальных автономных систем, осуществлявших утечки маршрутов и BGP-перехваты, во 2 квартале 2025 года было примерно на том же уровне, что и в нескольких предыдущих кварталах. После резкого снижения, которое мы наблюдали в прошлом квартале, количество глобальных инцидентов BGP во 2 квартале значительно выросло и поставило новый квартальный рекорд. Мы зафиксировали 14 таких инцидентов: 10 глобальных утечек маршрутов и 4 глобальных BGP-перехвата.

Curator представляет статистику DDoS-атак, BGP-инцидентов и бот-активности в 1 квартале 2025 года.