Witamy w 23. edycji kwartalnego raportu Cloudflare dotyczącego zagrożeń DDoS. Niniejszy raport przedstawia kompleksową analizę zmieniającego się krajobrazu zagrożeń związanych z atakami DDoS (Distributed Denial of Service), opartą na danych z sieci Cloudflare. W tym wydaniu skupiamy się na trzecim kwartale 2025 roku.
Trzeci kwartał 2025 r. upłynął w cieniu sieci botów Aisuru z ogromną, szacowaną na około 1–4 mln armią zainfekowanych hostów na całym świecie. Aisuru przeprowadzała hiperwolumetryczne ataki DDoS, które rutynowo przekraczały 1 terabit na sekundę (Tb/s) oraz 1 mld pakietów na sekundę. Liczba takich ataków wzrosła o 54% k/k, osiągając średnio 14 hiperwolumetrycznych ataków dziennie. Skala była bezprecedensowa, a natężenie ataków osiągało maksymalnie 29,7 Tb/s oraz 14,1 mld pakietów na sekundę.
Poza Aisuru, dodatkowe kluczowe wnioski przedstawione w tym raporcie obejmują:
Ruch związany z atakami DDoS na firmy zajmujące się sztuczną inteligencją wzrósł we wrześniu 2025 r. aż o 347 procent m/m, w miarę jak rosną obawy społeczne i intensyfikuje się przegląd regulacyjny dotyczący SI.
Narastające napięcia handlowe między UE a Chinami dotyczące metali ziem rzadkich i ceł na pojazdy elektryczne zbiegają się ze znacznym wzrostem ataków DDoS wymierzonych w sektor górnictwa, minerałów i metali oraz w przemysł motoryzacyjny w III. kwartale 2025 r.
Ogółem, w trzecim kwartale 2025 roku autonomiczne systemy obronne Cloudflare zablokowały łącznie 8,3 mln ataków DDoS. To średnio prawie 3780 ataków DDoS na godzinę. Liczba ataków DDoS wzrosła o 15% k/k oraz 40% r/r.
Do tej pory w 2025 r., a do końca roku pozostał jeszcze cały kwartał, firma Cloudflare zdołała już zneutralizować 36,2 mln ataków DDoS. Odpowiada to 170 procent liczby ataków DDoS, które Cloudflare zneutralizowała w całym 2024 r.
W trzecim kwartale 2025 r. firma Cloudflare automatycznie wykryła i zneutralizowała 8,3 mln ataków DDoS, co oznacza wzrost o 15 procent k/k i o 40 procent r/r.
Ataki DDoS w warstwie sieciowej, które stanowiły 71 procent wszystkich ataków DDoS w III. kwartale 2025 r. (czyli 5,9 mln ataków), wzrosły o 87 procent k/k i o 95 procent r/r. Z kolei liczba ataków DDoS na protokół HTTP, które stanowiły jedynie 29 procent wszystkich ataków DDoS w III. kwartale 2025 r. (czyli 2,4 mln ataków), zmniejszyła się o 41 procent k/k i o 17 procent r/r.
W trzecim kwartale 2025 r. firma Cloudflare zneutralizowała średnio 3780 ataków DDoS na godzinę.
Aisuru bije rekordy dzięki ultrazaawansowanym, hiperwolumetrycznym atakom DDoS
Siła zakłócająca
Aisuru atakowała m.in. dostawców usług telekomunikacyjnych, firmy z branży gier, dostawców hostingu oraz instytucje finansowe. Spowodowało to również „rozległe, uboczne zakłócenia w działaniu Internetu [w USA]”, jak podał serwis Krebs on Security, wyłącznie z powodu ogromnej ilości ruchu z sieci botów przekierowywanego przez dostawców usług internetowych.
Niech to wybrzmi. Jeśli ruch wywołany atakami generowanymi przez Aisuru może zakłócić część amerykańskiej infrastruktury internetowej, mimo że wspomniani dostawcy usług internetowych nie byli nawet bezpośrednim celem ataku, to wyobraź sobie, co może się wydarzyć, gdy atak zostanie skierowany bezpośrednio na niechronionych lub niewystarczająco chronionych dostawców usług internetowych, infrastrukturę krytyczną, usługi opieki zdrowotnej, służby ratunkowe czy systemy wojskowe.
Statystyki dotyczące sieci botów do wynajęcia oraz ataków DDoS
„Fragmenty” Aisuru są oferowane przez dystrybutorów jako sieci botów do wynajęcia, zatem każdy może potencjalnie wywołać chaos w całych państwach, paraliżując sieci szkieletowe i nasycając łącza internetowe, zakłócając działanie milionów użytkowników i utrudniając dostęp do podstawowych usług — wszystko to za kwotę od kilkuset do kilku tysięcy USD.
Od początku 2025 r. Cloudflare zneutralizowała już 2867 ataków Aisuru. Tylko w trzecim kwartale firma ta zneutralizowała 1304 hiperwolumetryczne ataki przeprowadzone przez Aisuru. To oznacza wzrost o 54 procent k/k. Wśród nich znajdują się rekordowe na skalę światową ataki DDoS o wolumenie 29,7 Tb/s oraz 14,1 mld pakietów na sekundę.
Atak o natężeniu 29,7 Tb/s był atakiem UDP typu carpet-bombing, który „bombardował” średnio 15 tys. portów docelowych na sekundę. Rozproszony atak losowo zmieniał różne atrybuty pakietów, próbując ominąć zabezpieczenia, jednak systemy obronne Cloudflare w pełni autonomicznie wykryły i zneutralizowały wszystkie ataki, w tym także ten. Przeczytaj więcej o tym, w jaki sposób Cloudflare ogranicza skutki hiperwolumetrycznych ataków DDoS.
Choć większość ataków DDoS jest stosunkowo niewielka, w III. kwartale liczba ataków DDoS o natężeniu przekraczającym 100 mln pakietów na sekundę wzrosła o 189 procent k/k. Analogicznie, liczba ataków przekraczających 1 Tb/s wzrosła o 227 procent k/k. W warstwie HTTP 4 na każde 100 ataków przekraczały 1 mln żądań na sekundę.
Co więcej, większość ataków, tj. 71 procent DDoS na protokół HTTP oraz 89 procent w warstwie sieciowej, kończy się w czasie krótszym niż 10 minut. To zbyt szybko, by jakikolwiek człowiek lub usługa uruchamiana na żądanie zdążyli zareagować. Krótki atak może trwać zaledwie kilka sekund, lecz wywołane przez niego zakłócenia mogą być poważne, a przywrócenie normalnego działania zajmuje znacznie więcej czasu. Zespoły inżynieryjne i operacyjne zostają wówczas uwikłane w złożony, wieloetapowy proces przywracania działania systemów krytycznych, weryfikacji spójności danych w systemach rozproszonych oraz odtwarzania bezpiecznych i niezawodnych usług dla klientów.
Skutki krótkotrwałych ataków DDoS, zarówno hiperwolumetrycznych, jak i tych o mniejszym wolumenie, mogą wykraczać daleko poza czas trwania samego ataku.
Siedem z dziesięciu głównych źródeł ataków znajduje się w Azji, z Indonezją na czele. Z Indonezji pochodzi najwięcej ataków DDoS i od roku (tj. od III. kwartału 2024 roku) kraj ten zajmuje pod tym względem pierwsze miejsce na świecie. Nawet wcześniej Indonezja zawsze znajdowała się w czołówce źródeł ataków. W drugim kwartale 2024 r. Indonezja była drugim największym źródłem ataków, po awansie z niższych pozycji w poprzednich kwartałach i latach.
Aby zilustrować wzrost znaczenia Indonezji jako centrum ataków DDoS, w zaledwie pięć lat (od III. kwartału 2021 r.) odsetek żądań ataków HTTP DDoS pochodzących z tego kraju zwiększył się o imponujące 31,9 tys. procent.
Najczęściej atakowane branże
Przeprowadzający ataki DDoS obierają za cel metale ziem rzadkich
Ataki DDoS wymierzone w sektor górnictwa, minerałów i metali znacząco nasiliły się w III. kwartale 2025 r., gdy podczas 25. szczytu handlowego Unia Europejska–Chiny narastały napięcia dotyczące ceł na pojazdy elektryczne, eksportu metali ziem rzadkich oraz kwestii cyberbezpieczeństwa, jak podawało wiele serwisów informacyjnych. BBC poinformowało, że „Chiny również zaostrzyły kontrolę eksportu metali ziem rzadkich i minerałów krytycznych”. Ogółem sektor górnictwa, minerałów i metali awansował o 24 pozycje w globalnym zestawieniu, stając się 49. najczęściej atakowaną branżą na świecie.
Branża motoryzacyjna odnotowała największy wzrost liczby ataków DDoS, awansując w ciągu zaledwie jednego kwartału o 62 pozycje, co uplasowało ją na szóstym miejscu wśród najczęściej atakowanych sektorów na świecie. Firmy zajmujące się cyberbezpieczeństwem również odnotowały znaczny wzrost liczby ataków DDoS. Branża cyberbezpieczeństwa awansowała o 17 pozycji, stając się 13. najczęściej atakowaną branżą na świecie.
Wzrost liczby ataków DDoS na SI o 347 procent
We wrześniu 2025 r. badanie opinii publicznej przeprowadzone przez Tony Blair Institute pokazało, że Brytyjczycy postrzegają SI bardziej jako zagrożenie dla gospodarki niż szansę, co wywołało głośne nagłówki dotyczące automatyzacji i zaufania. Brytyjska Komisja Prawa rozpoczęła przegląd wykorzystania SI w instytucjach rządowych, w związku z czym był to miesiąc, w którym poświęcono najwięcej uwagi etyce, przepisom oraz wdrażaniu generatywnej sztucznej inteligencji. We wrześniu 2025 r. Cloudflare odnotowała również wzrosty m/m sięgające nawet 347 procent w ruchu związanym z atakami HTTP DDoS wymierzonymi w firmy zajmujące się generatywną sztuczną inteligencją (na podstawie próby wiodących usług generatywnej SI).
Top 10
W trzecim kwartale 2025 r. branża technologii informacyjnych i usług znalazła się na szczycie listy jako najczęściej atakowany sektor, a za nią uplasowały się telekomunikacja oraz branża gier losowych i kasyn. Co istotne, branża motoryzacyjna odnotowała gwałtowny wzrost, awansując o 62 pozycje k/k. Branża mediów, produkcji i wydawnictw również odnotowała gwałtowny wzrost, a wyprzedziły ją sektory usług bankowo-finansowych, handlu detalicznego oraz elektroniki użytkowej.
Najczęściej atakowane lokalizacje
Istnieje bezpośrednia korelacja między wydarzeniami geopolitycznymi a aktywnością ataków DDoS.
Powstrzymaj grabież!
Wywodzące się z języka malediwskiego „Lootuvaifi” (Powstrzymaj grabież!) stało się hasłem przewodnim protestów na Malediwach w 2025 roku, gdy demonstranci wyszli na ulice, sprzeciwiając się „dostrzeganej korupcji rządu oraz odchodzeniu od zasad demokracji”, co osiągnęło punkt kulminacyjny wraz z ustawą medialną oznaczającą „koniec wolności słowa”. Wysoka Komisarz ONZ ds. Praw Człowieka stwierdziła, że jeśli ustawa nie zostanie wycofana, „poważnie podważy wolność mediów oraz prawo mieszkańców Malediwów do swobody wypowiedzi”. Protestom na Malediwach w 2025 r. towarzyszyła fala ataków DDoS. W konsekwencji to Malediwy odnotowały największy wzrost liczby ataków DDoS. W trzecim kwartale 2025 r. Malediwy awansowały o 125 miejsc, stając się 38. najczęściej atakowanym krajem na świecie.
„Blokuj wszystko”
Ogólnokrajowy ruch protestacyjny „Bloquons Tout” (z fr. „Blokuj wszystko”) został zainicjowany przez francuskie związki zawodowe we wrześniu 2025 r., aby sprzeciwić się rządowi prezydenta Macrona w związku z nowymi środkami oszczędnościowymi, zmianami w systemie emerytalnym oraz rosnącymi kosztami życia. Podczas gdy związki zawodowe wzywały do skoordynowanych strajków i blokad transportowych w celu sparaliżowania kraju, sprawcy cyberzagrożeń brali na cel francuskie witryny internetowe oraz usługi online w ramach falowych ataków DDoS. Francja awansowała o 65 miejsc k/k, stając się 18. najczęściej atakowanym krajem na świecie.
„Wyznaczanie czerwonej linii dla Gazy w Brukseli”
Wzrost liczby ataków DDoS zaobserwowano również w innych krajach, równolegle z falą protestów. Na przykład Belgia awansowała o 63 pozycje, stając się 74. najczęściej atakowanym krajem na świecie, gdy „dziesiątki tysięcy demonstrantów nakreśliły w Brukseli czerwoną linię dla Gazy”.
Top 10
W trzecim kwartale 2025 r. Chiny pozostały najczęściej atakowanym krajem, Turcja uplasowała się na miejscu drugim, a Niemcy na trzecim. Najbardziej znaczącą zmianą w tym kwartale był wzrost liczby ataków DDoS wymierzonych w Stany Zjednoczone, które awansowały o 11 pozycji, stając się piątym najczęściej atakowanym krajem. Filipiny odnotowały największy wzrost w pierwszej dziesiątce — awansowały o 20 miejsc.
Ataki DDoS w warstwie sieciowej
Liczba ataków UDP DDoS, częściowo napędzanych przez ataki Aisuru, wzrosła o 231 procent k/k, co uczyniło je najczęściej wykorzystywanym wektorem ataku w warstwie sieciowej. Ataki typu DNS flood zajęły drugie miejsce, SYN flood — trzecie, a ICMP flood — czwarte, co stanowi łącznie nieco ponad połowę wszystkich ataków DDoS w warstwie sieciowej.
Choć od jego pierwszego dużego pojawienia się minęło już prawie 10 lat, ataki DDoS z wykorzystaniem Mirai nadal są dość powszechne. Prawie 2 na każde 100 ataków DDoS w warstwie sieciowej są przeprowadzane przez różne odmiany sieci botów Mirai.
Ataki DDoS na protokół HTTP
Blisko 70 procent ataków HTTP DDoS pochodziło z sieci botów już znanych firmie Cloudflare. Odzwierciedla to jedną z korzyści, jakie nasi klienci odnoszą dzięki korzystaniu z rozwiązań Cloudflare. Gdy sieć botów zaatakuje jednego spośród milionów klientów Cloudflare, wszyscy są przed nią automatycznie chronieni.
Kolejne około 20 procent ataków HTTP DDoS pochodziło z fałszywych lub bezgłowych przeglądarek albo zawierało podejrzane atrybuty HTTP. Pozostałe około 10 procent stanowiła kombinacja ogólnych ataków typu flood, nietypowych żądań, ataków omijających pamięć podręczną oraz ataków na punkty końcowe logowania.
Powody, dla których starsze rozwiązania zabezpieczające przed atakami DDoS nie są już wystarczające
Wkroczyliśmy w erę, w której ataki DDoS błyskawicznie zyskały na złożoności i skali — przekraczając wszystko, co moglibyśmy sobie wyobrazić jeszcze kilka lat temu. Wiele organizacji zmaga się z trudnościami w nadążaniu za dynamicznie ewoluującym krajobrazem zagrożeń.
Organizacje polegające na lokalnych urządzeniach do łagodzenia zagrożeń lub centrach filtrowania ruchu (scrubbing center) na żądanie mogą odnieść korzyść z przeglądu swojej strategii obronnej w świetle obecnego krajobrazu zagrożeń.
Firma Cloudflare, dzięki swojej rozległej sieci globalnej oraz autonomicznym systemom ochrony przed atakami DDoS, angażuje się w zapewnianie bezpłatnej, nielimitowanej ochrony przed atakami DDoS wszystkim klientom — niezależnie od wielkości, czasu trwania czy liczby ataków DDoS, z którymi się mierzą.