Отчет Selectel: количество и мощность DDoS-атак в России продолжают активно расти

Selectel, крупнейший независимый провайдер сервисов IT-инфраструктуры в России, представил аналитический отчет о DDoS-атаках по итогам 2025 года. Данные получены с помощью сервиса защиты Selectel и отражают динамику и ключевые характеристики актуальных киберугроз для облачной инфраструктуры российских компаний.

Анализ показывает рост основных показателей DDoS-активности злоумышленников по сравнению с 2024 годом, что подчеркивает возрастающие риски информационной безопасности для IT-систем бизнеса.

● Рост числа атак: за 2025 год было отражено 140 628 DDoS-атак, что на 25% превышает показатель 2024 года. В среднем ежемесячно фиксировалось более 11 тысяч атак.
● Рост мощности атак: максимальный объем одной атаки достиг 569 Gbps — на 38% больше, чем годом ранее. Пиковая скорость составила 193 млн пакетов в секунду (Mpps), +16% год к году.
● Продолжительность атак: максимальное время, в течение которого один клиент находился под атаками, достигло 863 часов — почти 36 календарных дней (+75% год к году). Максимальная длительность одной атаки выросла до 353 часов — около 15 дней непрерывного воздействия (+75% год к году).
● Рекордные значения: максимальное количество атак на одного клиента достигло 7 172 атаки за месяц (+ 73% год к году). Общее время, на протяжении которого клиенты находились под атаками составило 22 743 часа (+67% год к году).
● Популярные типы атак: доля атак типа TCP SYN Flood и TCP PSH/ACK Flood составила 87% от общего числа инцидентов.

«В 2025 году заметным стал паттерн «зондирующих» и «ковровых» атак — слабых, но частотных. Они были направлены на разведку и обнаружение наиболее уязвимых элементов IT-инфраструктуры. После обнаружения таких целей злоумышленники проводят по ним длительные и мощные атаки.

Актуальная статистика подтверждает, что DDoS-атаки окончательно перешли от разовых инцидентов в разряд постоянных операционных рисков для бизнеса. Для эффективного противодействия компаниям необходимо переходить к концепции киберустойчивости и проактивного подхода для защиты от угроз: пересматривать архитектуру своих сервисов, использовать балансировку и геораспределенность, изолировать критичные служебные сервисы, использовать постоянную защиту от DDoS-атак с динамической адаптацией правил фильтрации», — комментирует Антон Ведерников, руководитель направления продуктовой безопасности в Selectel.

Количество атак растет

За 2025 год Selectel отразил 140 628 кибератак на инфраструктуру своих клиентов. Этот показатель на 25% превысил результаты 2024 года. В среднем ежемесячно сервис отражал 11 719 атак. При этом пиковое значение было отмечено в январе, когда количество инцидентов достигло 14 611.

Наибольшее число атак на одного клиента было зафиксировано в декабре 2025 года — 7 172 инцидента, что в 1,6 раза превышает максимальный показатель, отмеченный в 2024 году.
Мощность атак бьет рекорды

Мощность атак на сетевом (L3) и транспортном (L4) уровнях модели OSI (отвечают за маршрутизацию и доставку данных) оценивается по двум ключевым параметрам: объему передаваемых данных и скорости передачи пакетов. Объемные атаки нацелены на переполнение каналов передачи данных. Злоумышленники отправляют большое количество некорректных запросов и исчерпывают доступную пропускную способность.

Максимальный объем атаки вырос на 38% в 2025 году относительно 2024 года — с 412 до 569 Gbps. Максимальная скорость передачи пакетов увеличилась на 16% — со 166 до 193 миллионов пакетов в секунду (Mpps). Атаки, характеризующиеся высокой скоростью, направлены на истощение вычислительных ресурсов.
Атаки становятся продолжительнее

Вместе с увеличением количества инцидентов выросла и их длительность. В 2025 году общее время, в течение которого клиенты Selectel подвергались воздействию атак, достигло 22 743 часов — на 67% больше, чем годом ранее.

Рекордная активность злоумышленников наблюдалась в декабре, когда общая длительность атак составила 4 159 часов.

Показатель максимальной общей длительности атак на одного клиента достиг 863 часов — почти 36 календарных дней (+75% год к году). Наиболее длительный инцидент произошел в декабре — он продолжался непрерывно в течение 353 часов. Это более чем в 50 раз превышает показатель сентября 2025 года.
Количество основных типов атак сократилось до двух

Самыми распространенными типами атак стали TCP SYN Flood и TCP PSH/ACK Flood. На их долю в 2025 году в совокупности пришлось 87% всех зафиксированных инцидентов. При этом TCP SYN Flood к концу года заняли 65% от общего количества атак. В то же время атаки типа UDP Flood практически исчезли.

TCP SYN Flood реализуется посредством массовой отправки SYN-запросов для установления соединения. Сервер, отвечая на каждый такой запрос, резервирует ресурсы и отправляет подтверждение (SYN+ACK), которое злоумышленник игнорирует. Это приводит к накоплению очереди полуоткрытых соединений, которые блокируют каналы и препятствуют обработке легитимных запросов, вызывая задержки и отказы в обслуживании.

TCP PSH/ACK Flood — тип атаки, при которой на целевой узел обрушивается поток поддельных пакетов с флагом подтверждения (ACK). Эти пакеты отправляются на случайные или заданные порты и не соответствуют ни одному реально существующему соединению. Атакуемая система вынуждена расходовать вычислительные ресурсы на проверку и обработку этих некорректных пакетов, что ведет к снижению ее производительности.
Методология

Источником данных для отчета являются системы защиты от DDoS-атак, используемые на уровне сетевой инфраструктуры дата-центров Selectel. Сервис защиты от DDoS-атак работает при использовании облачной платформы Selectel, платформенных сервисов и выделенных серверов, включая аттестованные сегменты. Весь входящий трафик проверяется на вредоносную активность, нелегитимные запросы отбрасываются. Дополнительные алгоритмы, учитывающие исходящий трафик, повышают точность фильтрации TCP-атак до 99,9%. Сервис обеспечивает нейтрализацию атак на сетевом (L3) и транспортном (L4) уровнях модели OSI.