8 мин. чтения
Предлагаем вашему вниманию 23-й выпуск ежеквартального отчета Cloudflare об угрозах DDoS-атак. В данном отчете представлен всесторонний анализ меняющегося ландшафта угроз, связанных с распределенными атаками типа «отказ в обслуживании» (DDoS), на основе данных сети Cloudflare. В этом выпуске мы сосредоточимся на третьем квартале 2025 года.
Третий квартал 2025 года был омрачен ботнетом Aisuru с огромной армией, насчитывающей примерно 1–4 миллиона зараженных хостов по всему миру. Aisuru регулярно осуществлял гиперобъемные DDoS-атаки, мощность которых превышала 1 терабит в секунду (Тбит/с) и 1 миллиард пакетов в секунду (Мпакетов/с). Количество таких атак увеличилось на 54 % по сравнению с предыдущим кварталом, в среднем совершалось 14 гиперволюметрических атак в день. Масштабы были беспрецедентными: атаки достигали пика 29,7 Тбит/с и 14,1 Ббит/с.
Помимо Aisuru, дополнительные ключевые аналитические данные в этом отчете включают:
В сентябре 2025 года трафик DDoS-атак на компании, занимающиеся искусственным интеллектом, увеличился на 347 % по сравнению с предыдущим месяцем, что связано с ростом общественного интереса к этой теме и ужесточением регулирования в сфере ИИ.
Обострение торговой напряженности между ЕС и Китаем из-за редкоземельных полезных ископаемых и тарифов на электрокары совпадает со значительным увеличением числа DDoS-атак на горнодобывающую, минеральную и металлургическую, а также автомобильную промышленность в третьем квартале 2025 года.
В целом, в третьем квартале 2025 года автономные средства защиты Cloudflare заблокировали в общей сложности 8,3 миллиона DDoS-атак. Это в среднем почти 3 780 DDoS-атак в час. Количество DDoS-атак выросло на 15 % по сравнению с предыдущим кварталом и на 40 % по сравнению с прошлым годом.
В 2025 году, когда до конца года остается еще целый квартал, Cloudflare уже нейтрализовала 36,2 млн DDoS-атак. Это соответствует 170 % DDoS-атак, которые Cloudflare нейтрализовала в течение 2024 года.
В третьем квартале 2025 года Cloudflare автоматически обнаружила и нейтрализовала 8,3 млн DDoS-атак, что на 15 % больше по сравнению с предыдущим кварталом и на 40 % больше по сравнению с предыдущим годом.
DDoS-атаки на сетевом уровне, на которые приходится 71 % всех DDoS-атак в третьем квартале 2025 года, или 5,9 млн DDoS-атак, увеличились на 87 % по сравнению с предыдущим кварталом и на 95 % по сравнению с предыдущим годом. Однако DDoS-атаки по HTTP, на которые пришлось лишь 29 % всех DDoS-атак в третьем квартале 2025 года, или 2,4 млн DDoS-атак, снизились на 41 % по сравнению с предыдущим кварталом и на 17 % по сравнению с предыдущим годом.
В третьем квартале 2025 года Cloudflare нейтрализовала в среднем 3 780 DDoS-атак каждый час.
Aisuru бьёт рекорды, используя ультрасовременные, гиперобъёмные DDoS-атаки
Деструктивная сила
Aisuru атаковал поставщиков телекоммуникационных услуг, компаний из сферы игр, хостинг-провайдеров, и финансовых услуг, и так далее. Это также вызвало «широкие сопутствующие перебои в работе Интернета [в США]», как сообщает Krebs on Security, просто из-за объема трафика ботнетов, проходящего маршрутизацией через интернет-провайдеров (ISP).
Осознайте это. Если вредоносный трафик Aisuru может нарушить работу частей интернет-инфраструктуры США, в то время как указанные интернет-провайдеры даже не были целью атаки, представьте, что он может сделать, когда он направлен непосредственно на незащищенных или недостаточно защищенных интернет-провайдеров, критически важную инфраструктуру, медицинские услуги, службы экстренной помощи и военные системы.
Статистика ботнетов-наёмников и DDoS
«Части» Aisuru предлагаются дистрибьюторами в качестве ботнетов-наёмников, поэтому любой может потенциально вызвать хаос в целых странах, выводя из строя магистральные сети и перегружая Интернет-каналы, нарушая работу миллионов пользователей и доступ к основным услугам — и все это за несколько сотен или тысяч долларов США.
С начала 2025 года Cloudflare уже нейтрализовала 2 867 атак Aisuru. Только в третьем квартале Cloudflare нейтрализовала 1 304 гиперволюметрические атаки, запущенные Aisuru. Это на 54 % больше по сравнению с предыдущим кварталом. К ним относятся рекордная в мире DDoS-атака мощностью 29,7 Тбит/с и DDoS-атака мощностью 14,1 Ббит/с.
Атака мощностью 29,7 Тбит/с представляла собой UDP-атаку типа «ковровая бомбардировка», поражая в среднем 15 тысяч портов назначения в секунду. Распределенная атака рандомизировала различные атрибуты пакетов в попытке обойти средства защиты, но системы нейтрализации Cloudflare полностью автономно обнаружили и нейтрализовали все атаки, включая эту. Узнайте больше о том, как Cloudflare нейтрализует гиперобъёмные DDoS-атаки.
Хотя большинство DDoS-атак являются относительно небольшими, в третьем квартале количество DDoS-атак, превысивших 100 миллионов пакетов в секунду, увеличилось на 189 % по сравнению с предыдущим кварталом. Аналогичным образом, количество атак мощностью более 1 Тбит/с увеличилось на 227 % по сравнению с предыдущим кварталом. На уровне HTTP 4 из каждых 100 атак превышали 1 миллион запросов в секунду.
Кроме того, большинство атак, 71 % DDoS-атак по HTTP и 89 % атак на сетевом уровне, заканчиваются менее чем за 10 минут. Это слишком быстро, чтобы человек или сервис по требованию могли отреагировать. Кратковременная атака может длиться всего несколько секунд, но вызванные ею сбои могут быть серьёзными, а восстановление занимает гораздо больше времени. После этого инженерным и операционным командам приходится выполнять сложный многоэтапный процесс, чтобы вернуть критически важные системы в онлайн, проверить данные на согласованность в распределенных системах и восстановить безопасное и надежное обслуживание клиентов.
Воздействие кратковременных DDoS-атак, будь то гиперволюметрические или нет, может выходить далеко за пределы продолжительности атаки.
Семь из десяти основных источников находятся в Азии, лидирует Индонезия. Индонезия является крупнейшим источником DDoS-атак и занимает первое место в мире уже целый год (с третьего квартала 2024 года). Даже до этого Индонезия всегда находилась в верхних списках источников атак. Во втором квартале 2024 года Индонезия была вторым по величине источником, поднявшись с более низких позиций в предыдущие кварталы и годы.
Чтобы проиллюстрировать рост Индонезии как центра DDoS, всего за пять лет (с третьего квартала 2021 года) процент запросов на DDoS-атаки по HTTP из Индонезии увеличился на поразительные 31 900 %.
Наиболее атакуемые отрасли
Злоумышленники, использующие DDoS-атаки, нацелены на редкоземельные полезные ископаемые
DDoS-атаки на горнодобывающую, минеральную и металлургическую промышленность значительно участились в третьем квартале 2025 года, когда 25-й торговый саммит между Европейским Союзом и Китаем продемонстрировал рост напряженности из-за тарифов на электрокары, экспорт редкоземельных элементов и проблем кибербезопасности, согласно сообщениям различных новостных агентств. BBC сообщила, что «Китай также повысил экспортный контроль на редкоземельные элементы и критически важные полезные ископаемые». В целом, горнодобывающая и металлургическая промышленность поднялись на 24 позиции в глобальном рейтинге, что сделало её 49-й наиболее атакуемой отраслью в мире.
В автомобильной отрасли наблюдался самый большой всплеск DDoS-атак: всего за один квартал она опередила отрасль на 62 точки, и в результате она стала 6-й отраслью в мире по количеству атак. Компании, занимающиеся кибербезопасностью, также отметили значительное увеличение числа DDoS-атак. Отрасль кибербезопасности поднялась на 17 позиций, став 13-й наиболее атакуемой отраслью в мире.
DDoS-атаки на ИИ увеличились на 347 %
В сентябре 2025 года опрос Института Тони Блэра показал, что британцы рассматривают ИИ больше как экономический риск, чем как возможность, что вызвало крупные заголовки об автоматизации и доверии. Юридическая комиссия Великобритании начала обзор использования ИИ в правительстве, что сделало этот месяц ключевым для этики ИИ, регулирования и внедрения генеративного ИИ. В сентябре 2025 года Cloudflare также зафиксировала месячные всплески трафика DDoS-атак по HTTP на компании, занимающиеся генеративным ИИ, до 347 % (на основе выборки ведущих сервисов генеративного ИИ).
Топ-10
В третьем квартале 2025 года информационные технологии и услуги возглавили список наиболее подвергшихся атакам отраслей, за ними следовали телекоммуникации и казино и азартные игры. Примечательно, что автомобильная промышленность резко поднялась на 62 позиции по сравнению с предыдущим кварталом. Сфера СМИ, производства и издательского дела также испытала резкий рост, который предшествовал росту в банковском и финансовом секторе, розничной торговле и производстве бытовой электроники.
Топ атакуемых местоположений
Существует прямая корреляция между геополитическими событиями и активностью DDoS-атак.
Остановите хищение!
«Лоотуваифи» (Остановите мародерство!) на мальдивском языке, стал лозунгом протестов на Мальдивах в 2025 году, когда протестующие вышли на улицы, возражая против «предполагаемой коррумпированности правительства и отступления от демократии», достигших пика с принятием закона о СМИ «конец свободы слова», который, по словам главы ООН по правам человека, «серьезно подорвет свободу СМИ и право на свободу выражения мнений для народа Мальдив, если его не отозвать». Протесты на Мальдивах в 2025 году сопровождались шквалом DDoS-атак. Соответственно, Мальдивы стали страной, где наблюдался самый высокий рост DDoS-атак. В третьем квартале 2025 года Мальдивы поднялись на 125 позиций, став 38-й самой атакуемой страной в мире.
Блокировать всё
Общенациональное протестное движение «Блокируйте всё» или по-французски «Bloquons Tout» было запущено французскими профсоюзами в сентябре 2025 года, чтобы противостоять правительству президента Макрона из-за новых мер экономии, изменений в пенсионной системе и роста стоимости жизни. В то время как профсоюзы призывали к скоординированным забастовкам и блокировкам транспорта, чтобы парализовать страну, киберпреступники атаковали французские веб-сайты и интернет-сервисы волнами DDoS-атак. Франция поднялась на 65 позиций по сравнению с предыдущим кварталом, став 18-й самой атакуемой страной в мире.
«Проведение красной черты для Газы в Брюсселе»
Одновременно с протестами во все большем количестве стран наблюдался рост числа DDoS-атак. Например, Бельгия поднялась на 63 позиции, заняв 74-е место в мире по числу атак, поскольку «десятки тысяч демонстрантов провели в Брюсселе красную линию для сектора Газа».
Топ-10
В третьем квартале 2025 года Китай оставался самой атакуемой страной, за ним следовали Турция на втором месте и Германия на третьем. Наиболее заметным изменением в этом квартале стало увеличение числа DDoS-атак на США, которые поднялись на 11 позиций, став пятой самой атакуемой страной. На Филиппинах наблюдался самый большой рост числа запросов в топ-10 — на 20 пунктов.
DDoS-атаки на сетевом уровне
Количество DDoS-атак через UDP, частично вызванных атаками Aisuru, увеличилось на 231 % по сравнению с предыдущим кварталом, что делает его основным вектором атак на сетевом уровне. DNS-флуд оказался на втором месте, SYN-флуд — на третьем, а ICMP-флуд — на четвертом, на его долю приходится чуть более половины всех DDoS-атак сетевого уровня.
Хотя с момента первого крупного появления Mirai прошло почти 10 лет, DDoS-атаки Mirai по-прежнему довольно распространены. Почти 2 из каждых 100 DDoS-атак сетевого уровня запускаются перестановками ботнета Mirai.
DDoS-атаки по HTTP
Почти 70 % DDoS-атак по HTTP исходили из ботнетов, уже известных Cloudflare. Это отражает одно из преимуществ, которые наши клиенты получают от использования Cloudflare. Как только ботнет атакует одного из миллионов клиентов Cloudflare, все автоматически защищены от этого ботнета.
Еще около 20 % DDoS-атак по HTTP исходили из поддельных или безголовых браузеров или включали подозрительные атрибуты HTTP. Оставшиеся ~10 % представляли собой сочетание общего флуда, необычных запросов, атак на основе очистки кэша и атак, нацеленных на конечные точки входа в систему.
Почему устаревшие решения для защиты от DDoS больше не подходят
Мы вступили в эпоху, когда DDoS-атаки стремительно увеличились в сложности и масштабе — за пределы того, что мы могли себе представить несколько лет назад. Многие организации столкнулись с трудностями в поддержании темпа с этим меняющимся ландшафтом угроз.
Организации, полагающиеся на локальные устройства для нейтрализации угроз или решения центра очистки трафика, предоставляемые по запросу, могут извлечь пользу из пересмотра своей стратегии защиты с учетом текущего ландшафта угроз.
Cloudflare, со своей обширной глобальной сетью и автономными системами нейтрализации DDoS-атак, стремится предоставлять бесплатную Защиту от DDoS-атак без ограничения трафика всем клиентам, независимо от размера, продолжительности и количества DDoS-атак, с которыми они сталкиваются.