DDoS, боты и BGP-инциденты в 2025 году: статистика и тренды

Ключевые факты и выводы

• Наибольшее число DDoS-атак в 2025 году было направлено на сегменты “Финтех” (26,6%), “Электронная коммерция” (21,3%), “ИТ и Телеком” (13,4%) и “Медиа” (11,6%). На эти четыре сегмента суммарно пришлось почти 75% всех атак.
• Среди микросегментов в 2025 году чаще всего атаковали “Платежные системы” (11,7%), “Рестораны и доставка еды” (11,3%), “Медиа, ТВ, радио и блогеры” (10,0%), “Банки” (7,7%) и “Онлайн-образование” (6,7%).
• В декабре мы зафиксировали две самые интенсивные L3-L4 DDoS-атаки 2025 года. Они были направлены на микросегмент “Онлайн-букмекеры”, их интенсивность в пике достигала 3,06 и 3,51 Тбит/с — втрое больше рекорда 2024 года (1,14 Тбит/с).
• Самая длительная DDoS-атака 2025 года продолжалась 119,2 ч, то есть около пяти дней. Для сравнения, рекорд 2024 года — 19 дней (463,9 ч).
• В 2025 году мы обнаружили крупнейший DDoS-ботнет за всю историю наблюдений. За этот год его размер вырос с 1,33 млн до 5,76 млн зараженных устройств, преимущественно расположенных в Бразилии, Вьетнаме, США, Индии и Аргентине.
• По итогам всего 2025 года крупнейшими источниками L7 DDoS-атак стали Россия (16,82%), Бразилия (15,92%) и США (11,99%). Наиболее заметный рост по сравнению с 2024 годом продемонстрировали Бразилия, Вьетнам и Аргентина.
• Появление столь масштабных DDoS-ботнетов и рост доли развивающихся стран среди источников L7 DDoS, по нашему мнению, обусловлены быстрым увеличением числа уязвимых устройств, подключенных к высокоскоростному интернету, а также активным применением атакующими инструментов на основе ИИ.
• Количество заблокированных запросов “плохих” ботов в 2025 году выросло на 30% по сравнению с прошлым годом и в среднем составило 2,2 миллиарда в месяц.
• Средний “индекс ботовости” за последние девять месяцев 2025 года составил 2,1%.
• Самая масштабная атака “плохих” ботов в 2025 году продолжалась около месяца, всего было заблокировано более 3,3 миллиарда бот-запросов.
• В 2025 году число уникальных АС, допустивших утечки маршрутов, осталось на том же уровне, что и годом ранее. При этом количество АС, совершивших BGP-перехваты, снизилось на 17% по сравнению с 2024 годом.
• Количество глобальных утечек маршрутов в 2025 году было на 37% ниже, чем в 2024 году, а глобальных BGP-перехватов мы зафиксировали ровно столько же, что и годом ранее.

Преобладающие векторы DDoS-атак в 2025 году

Как и ранее, мы отсекаем L3-L4 DDoS-атаки интенсивностью менее 1 Гбит/с, считая их белым шумом. Для L7 DDoS-атак мы также используем пороговые значения: не менее 100 заблокированных IP-адресов и скорость не менее 1000 запросов в секунду. Критерий объединения нескольких отдельных волн атаки в единый инцидент — временная разница между ними в пределах одного часа.

В связи со сменой методики мы анализируем распределение DDoS-атак по векторам только за последние 9 месяцев 2025 года. В этом периоде основная доля пришлась на HTTP, то есть на атаки на уровне приложений — их было 59,6% от общего числа зафиксированных нами атак. На втором месте UDP flood (20,3%), на третьем — IP flood (10,2%).

Доли TCP flood и SYN flood в 2–4 кварталах 2025 года были крайне незначительными (1,1% и 0,8% соответственно). Что касается ICMP flood, то за последние 9 месяцев мы зафиксировали всего одну атаку.

По новой методике анализа доля мультивекторных атак в последние 9 месяцев 2025 года составила 8,0%. Примерно в половине случаев (3,6% от всех инцидентов) в рамках одного инцидента сочетались L3-L4 DDoS и L7 DDoS.

Распределение DDoS-атак по индустриям в 2025 году

Основными целями DDoS-атак в 2025 году были организации в сегментах “Финтех” (26,6%), “Электронная коммерция” (21,3%), “ИТ и Телеком” (13,4%) и “Медиа” (11,6%). На эти четыре сегмента пришлось почти три четверти всех зафиксированных нами атак.

При более детальном рассмотрении, в 2025 году чаще всего атаковали сегменты “Платежные системы” (11,7%), “Рестораны и доставка еды” (11,3%), “Медиа, ТВ, радио и блогеры” (10,0%), “Банки” (7,7%) и “Онлайн-образование” (6,7%). Суммарно в 2025 году почти половина всех атак была направлена на эти пять микросегментов.

Продолжительность DDoS-атак в 2025 году

Самая продолжительная атака 2025 года была направлена на организацию из сегмента “Медиа, ТВ, радио и блогеры” и длилась почти пять дней (119,2 ч). Второе место по итогам года заняла атака на сегмент “Онлайн-букмекеры” продолжительностью около четырех дней (96,5 ч). На третьем разместилась L7-атака на “Платежные системы”, которая длилась около трех дней (71,4 ч).

По сравнению с прошлым годом, в 2025 году длительность атак заметно снизилась: средняя продолжительность упала почти вдвое, с 4270 до 2268 секунд. А медианная длительность сократилась со 150 до 120 секунд.

Интенсивность L3-L4 DDoS-атак в 2025 году

Две самые интенсивные L3-L4 DDoS-атаки 2025 года произошли в первой половине декабря и были направлены на микросегмент “Онлайн-букмекеры”. Их пиковая интенсивность достигала 3,06 и 3,51 Тбит/с — втрое больше рекорда 2024 года (1,14 Тбит/с).

Ранее на рекорд года претендовала атака на “Онлайн-ритейл” с пиковой интенсивностью 1,15 Тбит/с, которая произошла в конце августа. Еще одна атака более терабита была зафиксирована в октябре — она была нацелена на “Медиа, ТВ, радио и блогеры” и в пике достигала 1,03 Тбит/с. Таким образом, если в 2024 году мы столкнулись всего с одной атакой с пиковой интенсивностью выше 1 Тбит/с, то в 2025 году нам пришлось иметь дело уже с четырьмя инцидентами.

Интересно, что рост интенсивности L3-L4 DDoS-атак наблюдался не только в отдельных топ-инцидентах, но даже в большей степени в рядовых атаках, которые составляют основную массу. Если средний битрейт наиболее распространенных атак UDP flood в 2025 году вырос примерно на 15% относительно прошлого года, то медианное значение увеличилось на 57%.

Пятерка микросегментов, на которые в 2025 году были направлены самые интенсивные L3-L4 DDoS-атаки, выглядит следующим образом: “Онлайн-букмекеры” (3,51 Тбит/с), “Онлайн-ритейл” (1,15 Тбит/с), “Медиа, ТВ, радио и блогеры” (1,03 Тбит/с), “Криптобиржи” (668 Гбит/с) и “Игровые платформы” (460 Гбит/с).

Если говорить о максимальной скорости передачи пакетов, то в 2025 году это были атаки на микросегменты “Платежные системы” (466,0 Mpps), “Онлайн-ритейл” (325,8 Mpps), “Онлайн-букмекеры” (177,9 Mpps), “Нефть и газ” (93,4 Mpps), а также “Хостинговые платформы” (72,0 Mpps).

Самый большой DDoS-ботнет 2025 года

Весь 2025 год мы наблюдали за деятельностью огромного DDoS-ботнета, который впервые обнаружили 26 марта. Первая атака этого ботнета была направлена на организацию из сегмента “Онлайн-букмекеры”. В ходе нейтрализации этой атаки мы заблокировали 1,33 миллиона IP-адресов, преимущественно в Бразилии (51,1%), а также в Аргентине (6,1%), России (4,6%), Ираке (3,2%) и Мексике (2,4%).

16 мая мы отразили новую атаку этого ботнета на организацию из сегмента “Государственные ресурсы”: на этот раз мы заблокировали около 4,6 миллиона IP-адресов. География ботнета к этому моменту заметно изменилась: доля Бразилии снизилась с 51% до 29,7%; резко выросла доля устройств из США (12,1%), Вьетнама (7,9%) и Индии (2,9%), а Аргентина (2,8%) заняла лишь пятое место.

1 сентября произошла новая масштабная атака этого же DDoS-ботнета, вновь нацеленная на “Государственные ресурсы”. В ходе ее отражения мы заблокировали уже 5,76 миллиона IP-адресов.

К моменту третьего инцидента география используемых этим DDoS-ботнетом IP-адресов снова заметно изменилась. Бразилия осталась на первом месте, но ее доля снизилась до 24,5% от общего количества заблокированных IP-адресов. Также в пятерку вошли Вьетнам (11,5%), США (11,2%), Индия (7,1%) и Аргентина (2,8%).

Географическое распределение источников L7 DDoS-атак в 2025 году

В 4 квартале в рейтинге стран, которые чаще всего служили источниками DDoS-атак на уровне приложений, продолжилась та динамика, которую мы наблюдали на протяжении всего 2025 года — быстрый рост доли развивающихся стран.

Первое место уже второй квартал подряд занимает Бразилия (17,64%). На второе место вырвался Вьетнам (14,26%). Россия (10,08%) заняла лишь третье место, а США (7,87%) опустились на четвертое. На пятом месте разместилась Аргентина (3,81%), которая еще год назад не попадала даже в топ-20 стран-источников L7 DDoS-атак.

Также в 4 квартале в рейтинге было много новичков: ЮАР, Пакистан, Колумбия, Эквадор, Венесуэла, Бангладеш и Ирак — последние две страны даже попали в топ-10.

По итогам всего 2025 года России (16,82%) удалось сохранить первое место, но с минимальным отрывом от Бразилии (15,92%), занявшей второе место. Ожидаем, что в следующем году Бразилии удастся закрепиться на вершине рейтинга. На третьем месте США (11,99%), а на четвертое вышел Вьетнам (8,08%).

Наиболее высокие темпы роста в 2025 году показали Бразилия, за год увеличившая долю с 5,79% до 15,92% и поднявшаяся с 3-го на 2-е место; Вьетнам, доля которого резко выросла с 1,77% до 8,08%, за счет чего страна поднялась с 12-го на 4-е место; а также Аргентина — в 2024 году она не входила даже в топ-20, а по итогам этого года заняла сразу 7-е место.

Судя по всему, в 2026 году мы увидим продолжение этого тренда: быстрый рост доли развивающихся стран среди источников L7 DDoS-атак и их дальнейшее продвижение в рейтинге.

Мы связываем это с двумя факторами: с одной стороны, это стремительный рост в развивающихся странах количества устройств, подключенных к быстрому интернету, в сочетании с низкой культурой кибербезопасности и большим количеством уязвимостей.

С другой стороны — активное использование атакующими инструментов на основе ИИ, которые позволяют автоматизировать поиск и компрометацию уязвимых устройств, существенно ускоряя создание и масштабирование DDoS-ботнетов.

Статистика защиты от “плохих” ботов в 2025 году — CURATOR.ANTIBOT

Поясним, чтобы избежать путаницы, что под “плохими” ботами имеются в виду автоматизированные системы, которые пытаются взаимодействовать с сайтами, притворяясь настоящими пользователями. В отличие от деструктивных DDoS-ботов, “плохие” боты не стремятся нарушить работоспособность сайта. Их цели обычно состоят в сборе данных, накрутке каких-либо показателей, брутфорсе учетных записей и тому подобной нежелательной деятельности.

В 2025 году количество заблокированных запросов “плохих” ботов выросло на 30% — темпы роста те же, что и годом ранее. В среднем в месяц в 2025 году CURATOR.ANTIBOT блокировал около 2,2 миллиарда бот-запросов, тогда как в прошлом году — 1,69 миллиарда.

Если в прошлые годы количество заблокированных бот-запросов было распределено достаточно равномерно, то в 2025 году наблюдались резкие всплески повышенной активности. Первый из них пришелся на весну, второй — на осень-зиму. Этот эффект связан с двумя особенно продолжительными и масштабными атаками, о которых мы поговорим ниже.

В 2025 году наибольшее число атак ботов было направлено на сегмент “Онлайн-ритейл” (41,1% от всей бот-активности). Сегмент “Здравоохранение” (24,9%) неожиданно вырвался на второе место, потеснив сегмент “Онлайн-ставки” (17,4%). Это опять-таки было связано с одной крайне длительной атакой, направленной на организацию из сегмента “Здравоохранение” — она была настолько масштабной, что смогла повлиять на годовые результаты.

Со второго квартала 2025 года мы начали анализировать долю бот-трафика от общего объема трафика на защищаемые нами ресурсы — своего рода “индекс ботовости”. В четвертом квартале этот показатель составил 2,5%, а всего по итогам последних девяти месяцев 2025 года — 2,1%.

Как мы уже наблюдали в предыдущих кварталах, “Индекс ботовости” сильно варьируется от индустрии к индустрии. Четверка наиболее подверженных бот-трафику сегментов в период со второго по четвертый квартал 2025 года выглядит следующим образом: “Здравоохранение” (8,95%), “Образовательные технологии” (5,63%), “Транспорт и логистика” (5,24%) и “Онлайн-ставки” (4,86%). В остальных сегментах “индекс ботовости” был ниже среднего.

Напомним, что CURATOR.ANTIBOT позволяет заказчикам самостоятельно настраивать, на каких страницах и на каких доменах будет работать защита. Поэтому “индекс ботовости” может не учитывать значительную часть бот-трафика.

Распределение ботов по типам в 2025 году было следующим: основную часть составляли скриптовые боты (64,55%). На втором месте API-боты (31,31%), на третьем — браузерные боты (4,14%). Доля последних заметно снизилась по сравнению с 2024 годом — тогда их было 5,4%.

Начиная со второго квартала 2025 года мы перешли на более детальную категоризацию, разделив ранее единую группу браузерных ботов на две подкатегории:

• Боты-кукловоды — роботы, имитирующие окружение обычного пользователя, но с внешней автоматизацией.
• Умные боты — боты, которые знают о проверках и пытаются их обходить.

В рамках обновленной методологии анализ проводился по данным за период со 2 по 4 квартал 2025 года. За это время доля ботов-кукловодов составила 3,27%, а доля умных ботов — 0,23%.

Наиболее заметные атаки “плохих” ботов в 2025 году

Как уже было сказано выше, в 2025 году мы наблюдали две крайне продолжительные бот-атаки, которые были настолько масштабными, что повлияли на годовые результаты. Обе они длились около месяца и суммарное количество бот-запросов, заблокированных в рамках защиты от каждой из них, было сопоставимо с месячной нормой всего бот-трафика на все защищаемые нами ресурсы.

Первая из них произошла во 2 квартале и была направлена на организацию из сегмента “Электронная коммерция”. Всего за время нейтрализации этой атаки CURATOR.ANTIBOT заблокировал 1,9 миллиарда бот-запросов.

Вторая атака произошла в 4 квартале 2025 года. Она была направлена на организацию из сегмента “Здравоохранение” и в результате ее отражения наше решение заблокировало в сумме 3,3 миллиарда бот-запросов.

Также отметим две наиболее интенсивные бот-атаки 2025 года. Первая из них была зафиксирована во 2 квартале: она была направлена на организацию из сегмента “Электронная коммерция” и в пике достигала 441 тыс. запросов в секунду.

Вторая произошла в 4 квартале, была направлена на организацию из сегмента “Онлайн-ставки” и в пике достигала 329 тыс. вредоносных запросов в секунду.

Инциденты BGP

Количество уникальных автономных систем (АС), которые были ответственны за утечки маршрутов, в 2025 году осталось в точности на том же уровне, что и в прошлом году: в среднем их было 1966 в месяц, тогда как в 2024 году — 1977.

При этом число уникальных АС, совершавших BGP-перехваты, в 2025 году заметно снизилось по сравнению с 2024 годом: среднемесячное значение упало с 10412 в предыдущем году до 8587, примерно на 17%.

Глобальные инциденты BGP

Напоминание: для выделения глобальных BGP-инцидентов команда CURATOR.BGP использует ряд пороговых значений. Эти условия включают количество затронутых префиксов и автономных систем, а также степень распространения аномалии по таблицам маршрутизации.

Динамика глобальных инцидентов BGP была противоположна тому, что мы наблюдали в рядовых инцидентах. Количество глобальных утечек маршрутов в 2025 году упало примерно на треть по сравнению с 2024 годом — с 33 до 25. При этом количество глобальных BGP-перехватов в 2025 году осталось ровно на том же уровне, что и годом ранее: 5 инцидентов.

Детальные выводы

• Среди векторов DDoS-атак в 2–4 кварталах 2025 года преобладали HTTP (59,6% от общего числа атак), UDP flood (20,3%) и IP flood (10,2%).
• Доля мультивекторных атак за этот период составила 8,0%, а в 3,6% инцидентов сочетались L3-L4 DDoS и L7 DDoS.
• Полностью потерял популярность у атакующих ICMP flood — за последние девять месяцев мы зафиксировали всего несколько атак.
• Чаще всего в 2025 году DDoS-атаки были направлены на сегменты “Финтех” (26,6%), “Электронная коммерция” (21,3%), “ИТ и Телеком” (13,4%) и “Медиа” (11,6%). Всего на эти четыре сегмента пришлось почти 75% всех атак.
• Среди микросегментов DDoS-атаки в 2025 году были преимущественно нацелены на “Платежные системы” (11,7%), “Рестораны и доставка еды” (11,3%), “Медиа, ТВ, радио и блогеры” (10,0%), “Банки” (7,7%) и “Онлайн-образование” (6,7%). Эти пять микросегментов отвечали примерно за половину атак в 2025 году.
• Две наиболее интенсивные L3-L4 DDoS-атаки 2025 года были направлены на микросегмент “Онлайн-букмекеры” и в пике достигали 3,06 и 3,51 Тбит/с — втрое больше рекорда 2024 года (1,14 Тбит/с). На третьем месте по итогам 2025 года разместилась атака на “Онлайн-ритейл” с пиковой интенсивностью 1,15 Тбит/с.
• В 2025 году значительно более интенсивными по сравнению с 2024 годом стали не только рекордные, но и рядовые атаки: если средний битрейт UDP flood, преобладающих среди L3-L4 DDoS-атак, в 2025 году вырос на 15%, то медианное значение увеличилось на целых 57%.
• Три самых продолжительные DDoS-атаки 2025 года были направлены на микросегменты “Медиа, ТВ, радио и блогеры” (119,2 ч), “Онлайн-букмекеры” (96,5 ч) и “Платежные системы” (71,4 ч).
• Самый крупный DDoS-ботнет 2025 года состоял из 5,76 миллиона устройств, то есть в десятки раз больше самого масштабного ботнета 2024 года (около 227 тысяч). Преимущественно в него входили устройства из Бразилии (24,5%), Вьетнама (11,5%), США (11,2%), Индии (7,1%) и Аргентины (2,8%).
• В 2025 году крупнейшими источниками L7 DDoS-атак были Россия (16,82%), Бразилия (15,92%) и США (11,99%). Доля Бразилии в этом году значительно выросла, можно ожидать, что в следующем году эта страна окажется на первом месте в этом рейтинге.
• Также весьма впечатляющую динамику показали Вьетнам, за год поднявшийся с 12-го на 4-е место, и Аргентина, которая по итогам 2025 года заняла 7-е место, хотя в 2024 году не входила даже в топ-20. Мы ожидаем дальнейшего роста доли развивающихся стран среди источников L7 DDoS-атак в 2026 году.
• Мы связываем укрупнение DDoS-ботнетов и рост доли развивающихся стран среди источников L7 DDoS с сочетанием двух факторов. Во-первых, это стремительное увеличение числа подключенных к интернету уязвимых устройств. Во-вторых, это широкое использование атакующими ИИ-инструментов, которые позволяют автоматизировать поиск и компрометацию таких устройств.
• Активность “плохих” ботов в 2025 году была значительно выше (+30%), чем в прошлом году. Количество заблокированных бот-запросов в среднем составило 2,2 миллиарда в месяц.
• Наибольшее число атак “плохих” ботов в 2025 году было направлено на сегменты “Онлайн-ритейл” (41,1%), “Здравоохранение” (24,9%) и “Онлайн-ставки” (17,4%).
• В среднем доля бот-трафика от всего трафика на защищаемые нами ресурсы в период со 2 по 4 квартал 2025 года составила 2,1%. Лидерами по “индексу ботовости” стали сегменты “Здравоохранение” (8,95%), “Образовательные технологии” (5,63%), “Транспорт и логистика” (5,24%) и “Онлайн-ставки” (4,86%).
• Наиболее длительная и масштабная атака “плохих” ботов произошла в 4 квартале 2025 года. Она была направлена на сегмент “Здравоохранение”, продолжалась около месяца и в ходе ее нейтрализации суммарно мы заблокировали более 3,3 миллиарда бот-запросов.
• В 2025 году количество уникальных автономных систем, допустивших утечки маршрутов, осталось практически неизменным по сравнению с 2024 годом. В среднем в месяц мы фиксировали 1966 таких АС против 1977 годом ранее. При этом активность автономных систем, участвовавших в BGP-перехватах, заметно снизилась: среднемесячное число уникальных АС сократилось с 10412 в 2024 году до 8587 в 2025 году (-17%).
• Динамика глобальных BGP-инцидентов отличалась от общей картины. В 2025 году количество глобальных утечек маршрутов сократилось с 33 до 25 инцидентов (-37% по сравнению с 2024 годом). В то же время число глобальных BGP-перехватов осталось неизменным — в течение года было зафиксировано 5 таких инцидентов, ровно столько же, сколько и годом ранее.