Облачный провайдер Selectel опубликовал годовой отчёт по DDoS-атакам на инфраструктуру своих клиентов. Данные собраны системами фильтрации на уровне сетей дата-центров компании и охватывают атаки на сетевом и транспортном уровнях. Общая картина: за год выросло всё — количество, мощность, длительность. Но главное — изменилась сама тактика атакующих.
За 2025 год Selectel отразил 140 628 DDoS-атак. Это на 25% больше, чем годом ранее. В среднем — по 11 700 атак каждый месяц. Пиковая нагрузка пришлась на январь: 14 611 атак за тридцать дней. А самый «популярный» клиент получил в декабре 7 172 атаки за месяц — по 240 в сутки. Показатель вырос на 73% по сравнению с 2024 годом.
Мощность тоже бьёт рекорды. Самая тяжёлая атака года достигла 569 Гбит/с — на 38% больше прошлогоднего пика в 412 Гбит/с. Пиковая скорость передачи пакетов выросла до 193 миллионов в секунду (+16%). Если объёмные атаки забивают каналы связи, то скоростные перегружают процессоры сетевого оборудования, вынужденного обрабатывать каждый входящий пакет.
Самый тревожный показатель — длительность. Совокупное время, которое клиенты Selectel провели под атаками за год, составило 22 743 часа (+67%). Один клиент подвергался ударам 863 часа — почти 36 суток. А самая длинная непрерывная атака продолжалась 353 часа: около 15 суток без паузы. Оба показателя выросли на 75%. Рекордным стал декабрь — 4 159 часов совокупной длительности атак за месяц.
Читайте также: В России число «зондирующих» DDoS-атак выросло в 10 000 раз
Пожалуй, самое интересное в отчёте — не цифры, а наблюдение о смене тактики. Антон Ведерников, руководитель направления продуктовой безопасности Selectel, описывает нарастающий тренд «зондирующих» атак.
Сначала злоумышленники наносят серию слабых, но частых ударов по разным элементам инфраструктуры. Задача — не положить сервис, а провести разведку: какой узел отвечает медленнее, где защита слабее. Обнаружив уязвимое место, атакующие обрушивают на него полноценный удар — мощный и продолжительный. DDoS превращается из грубой силы в точечный инструмент.
По типам атак ландшафт резко упростился. 87% всех зафиксированных инцидентов пришлось всего на два метода: TCP SYN Flood и TCP PSH/ACK Flood. К концу года доля одного только SYN Flood достигла 65%. Атаки через UDP Flood, ещё недавно занимавшие заметную нишу, практически сошли на нет.
Оба метода бьют по протоколу TCP, но разными способами. SYN Flood засыпает сервер запросами на установку соединения и никогда не завершает «рукопожатие» — очередь полуоткрытых соединений растёт, и для настоящих пользователей места не остаётся. PSH/ACK Flood обрушивает на сервер поток поддельных пакетов, не принадлежащих ни одному реальному соединению, — система вынуждена проверять каждый из них, сжигая процессорное время впустую.
Концентрация вокруг двух типов атак — признак зрелости: злоумышленники перестали экспериментировать и сфокусировались на том, что работает. Направление удара предсказуемо, но сами инструменты отточены и обкатаны на тысячах целей.
Ведерников рекомендует компаниям относиться к DDoS как к постоянному фону: распределять инфраструктуру географически, балансировать нагрузку, изолировать критичные сервисы от внешнего трафика и держать защиту включённой постоянно, а не реагировать по факту атаки. По итогам 2025 года вывод один: DDoS давно перестал быть вопросом «если». Рост по всем ключевым метрикам устойчивый и двузначный, а тактика «разведка плюс удар» делает атаки ещё и прицельнее.
Источник: Компания Selectel, годовой отчёт по DDoS-атакам за 2025 год (18 февраля 2026).
