L3/L4 атаки упали на 81%, но HTTP-флуд вырос до 4,8 миллиарда pps — это новая эра DDoS

Cloudflare зафиксировала резкое снижение количества DDoS-атак во втором квартале 2025 года, остановив 7,3 миллиона атак, тогда как в первом квартале компания сообщала о 20,5 миллионах. Несмотря на общее сокращение количества атак, доля сверхмощных инциденфтов, напротив, значительно выросла .

Во втором квартале Cloudflare ежедневно отражала в среднем 71 «гиперобъёмную атаку» ( hyper-volumetric attack ), их общее число превысило 6 500. Эти атаки, отличающиеся запредельной интенсивностью, стали особенно заметными на фоне общего спада. Один из таких инцидентов достиг пиковых значений — 7,3 терабита в секунду и 4,8 миллиарда пакетов в секунду за менее чем минуту. Такие всплески трафика сопровождаются не только грубой силой, но и более тонкими техниками — например, сканированием уязвимостей в фоновом режиме, что позволяет злоумышленникам обойти стандартные системы защиты.

Количество атак уровня L3/L4 сократилось на 81% по сравнению с первым кварталом и составило 3,2 миллиона, в то время как HTTP-атаки, наоборот, выросли на 9% и достигли 4,1 миллиона. Более 70% HTTP-атак исходили от известных ботнетов. Наиболее часто использовались методы, основанные на перегрузке через протоколы DNS, TCP SYN и UDP.

Целями киберпреступников чаще всего становились телекоммуникационные компании и провайдеры связи, за ними следовали сферы интернета, ИТ-услуги, индустрии игр и азартных развлечений. Среди наиболее атакуемых регионов оказались Китай, Бразилия, Германия, Индия, Южная Корея, Турция, Гонконг, Вьетнам, Россия и Азербайджан. Источниками же большинства атак были Индонезия, Сингапур, Гонконг, Аргентина и Украина.

Отдельного внимания заслуживает рост числа атак, превышающих порог в 100 миллионов пакетов в секунду — таких стало на 592% больше по сравнению с предыдущим кварталом. Кроме того, атаки с требованием выкупа выросли на 68%. В этих случаях злоумышленники либо угрожают DDoS-атакой, либо уже проводят её, а затем требуют деньги за прекращение.

Cloudflare подчёркивает, что крупные атаки становятся всё более частыми. Из каждых ста HTTP-атак шесть превышают миллион запросов в секунду, а из каждых десяти тысяч L3/L4-атак — пять переходят порог в 1 терабит в секунду, что означает рост на 1 150% за квартал.

Компания также указала на активность ботнета DemonBot , нацеленного на Linux-системы, в основном на уязвимые IoT-устройства. Этот зловред использует открытые порты и слабые пароли, чтобы вовлекать устройства в масштабные DDoS-атаки уровня UDP, TCP и приложений. DemonBot управляется через командные серверы и способен генерировать огромные объёмы трафика, атакуя игровые, хостинг- и корпоративные сервисы.

Распространение подобных угроз связано с типичными проблемами — слабой защитой IoT-устройств, открытыми портами SSH и устаревшим программным обеспечением. Такие уязвимости в комплексе с техниками, вроде отражённых TCP-атак, DNS-амплификации и обманчивых всплесков трафика, становятся всё чаще предметом анализа в отчётах Cloudflare по угрозам и безопасности API.