Аналітика DDoS-атак 2025: хто під прицілом, коли атакують і як захиститися

За даними від Cloudflare, понад 80% усіх DDoS-атак у світі націлені на мережевий рівень, відомий як L3–L4. Ці атаки полягають у перевантаженні мережі чи серверних портів надмірним трафіком, тобто небажаними даними, які він не може швидко обробити. Проте такі атаки відносно легко виявити та зупинити.

За спостереженнями компанії DDoS-Guard, кількість атак на прикладному рівні, або L7, значно перевищує мережеві атаки L3–L4. Атаки L7 націлені на вебсайт або додаток. Наприклад, бот масово відкриває сторінки, імітуючи дії звичайного користувача. Їх важче виявити, бо вони нагадують традиційний трафік.

Динаміка зростання DDoS-атак:

• У першій половині 2025 року спостерігалося збільшення кількості атак L7. Якщо зазвичай різниця між кількістю атак на рівнях L7 і L3–L4 становила 3–4 рази, то з січня до березня 2025 року вона зросла майже до 10 разів (410 тис. проти 42 тис. атак відповідно).

Джерело

• У другому кварталі 2025 року ця різниця дещо скоротилася, але залишалася великою. До кінця кварталу на рівні L7 було зафіксовано близько 563 тис. атак у світі, тоді як на L3–L4 — лише 74 тис. Різниця між ними становить 7,5 раза.

Джерело

Збільшення кількості атак L7 на 38% у другому кварталі порівняно з першим може свідчити про те, що захист на рівні додатків у багатьох компаніях застарів і не відповідає сучасним викликам. Особливо це стосується таких галузей, як телекомунікації, енергетика і фінанси, які часто стають мішенню для зловмисників.

Джерело

DDoS-атаки змінюються не лише кількісно, а і якісно. Традиційні довготривалі навантаження поступаються новим форматам:

• Імпульсно-хвильові атаки — серія коротких, але потужних сплесків, які йдуть один за одним. Такий підхід дає змогу атакувати кілька цілей по черзі або обійти прості системи виявлення аномалій.

• Мікроатаки — у першому кварталі 2025 року зафіксували значну кількість DDoS-інцидентів, які тривали лише кілька секунд, але при цьому мали великий масштаб. Вони стали новим способом тестувати вразливості, а також відвертати увагу від основної атаки.
• Повільні, малопомітні атаки у фоновому режимі — тактика, яка з’явилася у другому кварталі 2025 року. Атаки можуть залишатися непоміченими якомога довше, поступово виснажуючи ресурси системи.

На українському ринку доступний комплексний захист від шкідливого трафіку — AntiDDoS від Київстар, який базується на технології FortiDDoS від Fortinet. Сервіс надає багаторівневий захист IT-інфраструктури від різних атак: як від відомих, так і нових. Його легко налаштувати та використовувати, а вбудовані інструменти допомагають автоматично аналізувати трафік і складати звіти.

Як працює AntiDDoS: 

1. Сервіс підключається до інтернет-каналу від Київстар і впродовж 2–4 тижнів аналізує трафік клієнта. 
2. Після навчання система постійно моніторить структуру трафіку, а при виявленні аномалій автоматично перенаправляє його на очищення, перш ніж він потрапить до клієнта.

Цікаво, що в першому кварталі 2025 року певної залежності від часу доби не було. Утім, ввечері після завершення робочого дня активність хакерів дещо зростала. П’ятниця та субота були найчастішими днями для атак.

У другому кварталі ситуація змінилася: субота та неділя стали новими днями активності зловмисників. Це може бути пов’язано з тим, що саме у вихідні дні багато компаній працюють з мінімальною кількістю працівників, а це ускладнює швидку реакцію організацій на інциденти.

DDoS-атаки часто короткі й сплескові, але цього достатньо, щоб вивести вебсайт або систему з ладу. Проте багато залежить від типу атаки:

• L3–L4. У другому кварталі 2025 року більшість атак на мережевому рівні (L3–L4) тривали не більше 20 хвилин. Вони орієнтовані на швидке перевантаження інфраструктури. Жодна з них не була довшою 12 годин.
• L7. У першій половині 2025 року зафіксовано понад 18 тис. атак, які тривали понад 12 годин. Це лише 3% від загальної кількості, але цифра все одно вражає, враховуючи потенційні збитки.

У першому кварталі найпоширеніша тривалість L7-атак — до 1 години або від 1 до 6 годин. Утім, найдовша атака сягнула 26 годин, і це поки рекорд за перше півріччя 2025 року. У другому кварталі максимальна тривалість трохи скоротилася — 25 годин.

Перелік галузей, які найбільше страждають від DDoS-атак, залишається доволі стабільним. Водночас з’явилися й нові тенденції. Один з неочікуваних секторів — інтернет-магазини автозапчастин. У першому кварталі саме на них було спрямовано 11% усіх DDoS-атак. У другому кварталі активність зменшилася, але проблема не зникла, адже понад 9000 атак знову були спрямовані саме на цю категорію бізнесу.

Галузі, що залишаються в зоні ризику:

• Телекомунікаційні компанії.
• Фінансові установи.
• Ігрові платформи.
• Промислові підприємства.

Варто звернути увагу на фінансові установи та ігрові платформи, бо саме вони зазнали майже вдвічі більше атак, ніж раніше. Ці сфери мають одну спільну рису: для них критично важлива безперебійна онлайн-робота, і навіть короткочасне відключення може мати фінансові або репутаційні наслідки.

Щодо решти напрямів, то кількість атак на них теж зростає, але пропорційно загальній тенденції по ринку. Іншими словами, зловмисники не забувають і про інші цілі, однак фокус тримається на тих, де збитки від атаки будуть максимальними.