Будьте в курсе наших новостей и продуктов!
Подпишитесь на ежемесячный обзор самых популярных идей Интернета от CURATOR!
Войти Зарегистрироваться Я под атакой
Главная / Блог /
DDoS, боты и BGP-инциденты в 2025 году: статистика и тренды

DDoS, боты и BGP-инциденты в 2025 году: статистика и тренды

14 января 2026

Ключевые факты и выводы


  • Наибольшее число DDoS-атак в 2025 году было направлено на сегменты “Финтех” (26,6%), “Электронная коммерция” (21,3%), “ИТ и Телеком” (13,4%) и “Медиа” (11,6%). На эти четыре сегмента суммарно пришлось почти 75% всех атак.
  • Среди микросегментов в 2025 году чаще всего атаковали “Платежные системы” (11,7%), “Рестораны и доставка еды” (11,3%), “Медиа, ТВ, радио и блогеры” (10,0%), “Банки” (7,7%) и “Онлайн-образование” (6,7%).
  • В декабре мы зафиксировали две самые интенсивные L3-L4 DDoS-атаки 2025 года. Они были направлены на микросегмент “Онлайн-букмекеры”, их интенсивность в пике достигала 3,06 и 3,51 Тбит/с — втрое больше рекорда 2024 года (1,14 Тбит/с).
  • Самая длительная DDoS-атака 2025 года продолжалась 119,2 ч, то есть около пяти дней. Для сравнения, рекорд 2024 года — 19 дней (463,9 ч).
  • В 2025 году мы обнаружили крупнейший DDoS-ботнет за всю историю наблюдений. За этот год его размер вырос с 1,33 млн до 5,76 млн зараженных устройств, преимущественно расположенных в Бразилии, Вьетнаме, США, Индии и Аргентине.
  • По итогам всего 2025 года крупнейшими источниками L7 DDoS-атак стали Россия (16,82%), Бразилия (15,92%) и США (11,99%). Наиболее заметный рост по сравнению с 2024 годом продемонстрировали Бразилия, Вьетнам и Аргентина.
  • Появление столь масштабных DDoS-ботнетов и рост доли развивающихся стран среди источников L7 DDoS, по нашему мнению, обусловлены быстрым увеличением числа уязвимых устройств, подключенных к высокоскоростному интернету, а также активным применением атакующими инструментов на основе ИИ.
  • Количество заблокированных запросов “плохих” ботов в 2025 году выросло на 30% по сравнению с прошлым годом и в среднем составило 2,2 миллиарда в месяц.
  • Средний “индекс ботовости” за последние девять месяцев 2025 года составил 2,1%.
  • Самая масштабная атака “плохих” ботов в 2025 году продолжалась около месяца, всего было заблокировано более 3,3 миллиарда бот-запросов.
  • В 2025 году число уникальных АС, допустивших утечки маршрутов, осталось на том же уровне, что и годом ранее. При этом количество АС, совершивших BGP-перехваты, снизилось на 17% по сравнению с 2024 годом.
  • Количество глобальных утечек маршрутов в 2025 году было на 37% ниже, чем в 2024 году, а глобальных BGP-перехватов мы зафиксировали ровно столько же, что и годом ранее.


Преобладающие векторы DDoS-атак в 2025 году

Начиная со 2 квартала 2025 года мы поменяли нашу методику анализа DDoS-атак. До этого момента мы учитывали отдельно атаки на сетевом и транспортном уровне (L3-L4 DDoS) и отдельно атаки на уровне приложений (L7 DDoS). Теперь мы перешли к единой статистике, оперирующей инцидентами, которые могут состоять из нескольких атак по разным векторам.

Как и ранее, мы отсекаем L3-L4 DDoS-атаки интенсивностью менее 1 Гбит/с, считая их белым шумом. Для L7 DDoS-атак мы также используем пороговые значения: не менее 100 заблокированных IP-адресов и скорость не менее 1000 запросов в секунду. Критерий объединения нескольких отдельных волн атаки в единый инцидент — временная разница между ними в пределах одного часа.

В связи со сменой методики мы анализируем распределение DDoS-атак по векторам только за последние 9 месяцев 2025 года. В этом периоде основная доля пришлась на HTTP, то есть на атаки на уровне приложений — их было 59,6% от общего числа зафиксированных нами атак. На втором месте UDP flood (20,3%), на третьем — IP flood (10,2%).

Доли TCP flood и SYN flood в 2–4 кварталах 2025 года были крайне незначительными (1,1% и 0,8% соответственно). Что касается ICMP flood, то за последние 9 месяцев мы зафиксировали всего одну атаку.

По новой методике анализа доля мультивекторных атак в последние 9 месяцев 2025 года составила 8,0%. Примерно в половине случаев (3,6% от всех инцидентов) в рамках одного инцидента сочетались L3-L4 DDoS и L7 DDoS.


Распределение DDoS-атак по индустриям в 2025 году

Основными целями DDoS-атак в 2025 году были организации в сегментах “Финтех” (26,6%), “Электронная коммерция” (21,3%), “ИТ и Телеком” (13,4%) и “Медиа” (11,6%). На эти четыре сегмента пришлось почти три четверти всех зафиксированных нами атак.

При более детальном рассмотрении, в 2025 году чаще всего атаковали сегменты “Платежные системы” (11,7%), “Рестораны и доставка еды” (11,3%), “Медиа, ТВ, радио и блогеры” (10,0%), “Банки” (7,7%) и “Онлайн-образование” (6,7%). Суммарно в 2025 году почти половина всех атак была направлена на эти пять микросегментов.


Продолжительность DDoS-атак в 2025 году

Самая продолжительная атака 2025 года была направлена на организацию из сегмента “Медиа, ТВ, радио и блогеры” и длилась почти пять дней (119,2 ч). Второе место по итогам года заняла атака на сегмент “Онлайн-букмекеры” продолжительностью около четырех дней (96,5 ч). На третьем разместилась L7-атака на “Платежные системы”, которая длилась около трех дней (71,4 ч).

По сравнению с прошлым годом, в 2025 году длительность атак заметно снизилась: средняя продолжительность упала почти вдвое, с 4270 до 2268 секунд. А медианная длительность сократилась со 150 до 120 секунд.


Интенсивность L3-L4 DDoS-атак в 2025 году

Две самые интенсивные L3-L4 DDoS-атаки 2025 года произошли в первой половине декабря и были направлены на микросегмент “Онлайн-букмекеры”. Их пиковая интенсивность достигала 3,06 и 3,51 Тбит/с — втрое больше рекорда 2024 года (1,14 Тбит/с).

Ранее на рекорд года претендовала атака на “Онлайн-ритейл” с пиковой интенсивностью 1,15 Тбит/с, которая произошла в конце августа. Еще одна атака более терабита была зафиксирована в октябре — она была нацелена на “Медиа, ТВ, радио и блогеры” и в пике достигала 1,03 Тбит/с. Таким образом, если в 2024 году мы столкнулись всего с одной атакой с пиковой интенсивностью выше 1 Тбит/с, то в 2025 году нам пришлось иметь дело уже с четырьмя инцидентами.

Интересно, что рост интенсивности L3-L4 DDoS-атак наблюдался не только в отдельных топ-инцидентах, но даже в большей степени в рядовых атаках, которые составляют основную массу. Если средний битрейт наиболее распространенных атак UDP flood в 2025 году вырос примерно на 15% относительно прошлого года, то медианное значение увеличилось на 57%.

Пятерка микросегментов, на которые в 2025 году были направлены самые интенсивные L3-L4 DDoS-атаки, выглядит следующим образом: “Онлайн-букмекеры” (3,51 Тбит/с), “Онлайн-ритейл” (1,15 Тбит/с), “Медиа, ТВ, радио и блогеры” (1,03 Тбит/с), “Криптобиржи” (668 Гбит/с) и “Игровые платформы” (460 Гбит/с).

Если говорить о максимальной скорости передачи пакетов, то в 2025 году это были атаки на микросегменты “Платежные системы” (466,0 Mpps), “Онлайн-ритейл” (325,8 Mpps), “Онлайн-букмекеры” (177,9 Mpps), “Нефть и газ” (93,4 Mpps), а также “Хостинговые платформы” (72,0 Mpps).


Самый большой DDoS-ботнет 2025 года

Весь 2025 год мы наблюдали за деятельностью огромного DDoS-ботнета, который впервые обнаружили 26 марта. Первая атака этого ботнета была направлена на организацию из сегмента “Онлайн-букмекеры”. В ходе нейтрализации этой атаки мы заблокировали 1,33 миллиона IP-адресов, преимущественно в Бразилии (51,1%), а также в Аргентине (6,1%), России (4,6%), Ираке (3,2%) и Мексике (2,4%).

16 мая мы отразили новую атаку этого ботнета на организацию из сегмента “Государственные ресурсы”: на этот раз мы заблокировали около 4,6 миллиона IP-адресов. География ботнета к этому моменту заметно изменилась: доля Бразилии снизилась с 51% до 29,7%; резко выросла доля устройств из США (12,1%), Вьетнама (7,9%) и Индии (2,9%), а Аргентина (2,8%) заняла лишь пятое место.

1 сентября произошла новая масштабная атака этого же DDoS-ботнета, вновь нацеленная на “Государственные ресурсы”. В ходе ее отражения мы заблокировали уже 5,76 миллиона IP-адресов.

К моменту третьего инцидента география используемых этим DDoS-ботнетом IP-адресов снова заметно изменилась. Бразилия осталась на первом месте, но ее доля снизилась до 24,5% от общего количества заблокированных IP-адресов. Также в пятерку вошли Вьетнам (11,5%), США (11,2%), Индия (7,1%) и Аргентина (2,8%).


Географическое распределение источников L7 DDoS-атак в 2025 году

В 4 квартале в рейтинге стран, которые чаще всего служили источниками DDoS-атак на уровне приложений, продолжилась та динамика, которую мы наблюдали на протяжении всего 2025 года — быстрый рост доли развивающихся стран.

Первое место уже второй квартал подряд занимает Бразилия (17,64%). На второе место вырвался Вьетнам (14,26%). Россия (10,08%) заняла лишь третье место, а США (7,87%) опустились на четвертое. На пятом месте разместилась Аргентина (3,81%), которая еще год назад не попадала даже в топ-20 стран-источников L7 DDoS-атак.

Также в 4 квартале в рейтинге было много новичков: ЮАР, Пакистан, Колумбия, Эквадор, Венесуэла, Бангладеш и Ирак — последние две страны даже попали в топ-10.