8 миллионов DDoS-атак за полгода — и это не самое страшное. Мощность достигла 30 терабит в секунду

Во второй половине 2025 года мир пережил больше 8 миллионов DDoS-атак, и за сухой стабильностью общего объема скрывается куда более неприятная перемена. По данным NETSCOUT ATLAS, атаки не просто продолжаются на прежнем уровне, а становятся тяжелее, быстрее и доступнее для более широкого круга злоумышленников. На практике речь уже идет не только о росте числа инцидентов, но и о смене самой модели DDoS-угрозы: в ход идут ботнеты из устройств интернета вещей, инструменты на базе ИИ, координация между группами и постоянное давление на критически важную интернет-инфраструктуру.

NETSCOUT фиксировала мировую картину DDoS-активности с июля по декабрь 2025 года. За 6 месяцев телеметрия компании зарегистрировала свыше 8 миллионов атак в 203 странах. Общий объем инцидентов в отчете описан как относительно стабильный, но внутри массивов данных картина выглядит уже совсем не спокойной. Исследователи отмечают, что злоумышленники продемонстрировали рекордную мощность, встроили ИИ в свои операции и не отказались от атак на критическую инфраструктуру и дорогие для бизнеса отрасли даже после заметных действий правоохранителей против части платформ и сервисов.

Отдельное место в отчете занимают пиковые значения. По данным NETSCOUT, в конце 2025 года были зафиксированы демонстрации атак мощностью до 30 Тбит/с и интенсивностью до 4 миллиардов пакетов в секунду. Первый показатель отражает объем трафика, которым жертву пытаются забить канал и перегрузить сеть. Второй показывает, насколько быстро летят пакеты, то есть насколько тяжело становится оборудованию и системам фильтрации успевать обрабатывать поток. Для защитников подобные значения важны не как абстрактные рекорды, а как напоминание, что инфраструктуру приходится проектировать уже не под средний инцидент, а под экстремальные сценарии, иначе вопрос доступности сервисов быстро превращается в вопрос выживания.

Главным источником такой мощности исследователи называют продвинутые ботнеты на базе IoT-устройств. Под IoT в этом случае понимаются самые разные подключенные к сети приборы - камеры, роутеры, регистраторы, бытовая техника и другая электроника, которую часто плохо обновляют и слабо защищают. Когда злоумышленники берут под контроль огромное число таких устройств, получается распределенная сеть зараженных узлов, способная генерировать колоссальный трафик. Именно такие сети, по данным отчета, обеспечили демонстрации атак на десятки терабит в секунду.

Но рост мощности оказался не единственным заметным сдвигом. NETSCOUT отдельно пишет, что DDoS-сервисы по найму, так называемые DDoS-for-hire, начали активнее использовать разговорный ИИ и нелегальные большие языковые модели из дарквеба. Смысл перемены довольно простой: раньше для запуска многоступенчатой атаки требовались технические навыки, понимание сетевых протоколов, настройка инструментов и хотя бы минимальная операционная подготовка. Теперь часть такой работы можно все сильнее автоматизировать и упростить до уровня текстовых запросов. Низкий порог входа расширяет круг исполнителей, ускоряет эксплуатацию новых уязвимостей, помогает быстрее наращивать ботнеты и заставляет компании усиливать автоматическое обнаружение и фильтрацию, потому что ручная реакция на подобную скорость уже не успевает.

Еще 1 заметный вывод NETSCOUT связан с кооперацией между самими злоумышленниками. Крупные координированные ботнет-атаки показали, что партнерство между группами позволяет резко усиливать давление на цель. В отчете говорится, что такие союзы почти в 4 раза наращивали пропускную способность атак. Для защитников это плохая новость сразу по 2 причинам. Во-первых, даже если отдельная группа располагает умеренными ресурсами, в партнерстве она может резко поднять масштаб удара. Во-вторых, сама скорость такого наращивания сокращает запас времени на ответ и перераспределение трафика.

При этом громкие сбои и полицейские операции не остановили ни ботнет-активность, ни хактивистские кампании. NETSCOUT подчеркивает, что устойчивое присутствие подобных игроков сохранялось даже после серьезных нарушений в работе платформ, на которые они опирались. Такая живучесть показывает, что у экосистемы DDoS давно есть запасные каналы, распределенная структура и способность быстро восстанавливаться после внешнего давления. С практической точки зрения 1 успешный разгром платформы или инфраструктуры уже не гарантирует заметного спада по всей картине.

Сильнее всего атаки били по секторам, где любой сбой быстро превращается в реальные потери, общественный резонанс или нарушение базовых услуг. В отчете среди главных целей названы государственные структуры, финансовые сервисы, телеком, транспорт и гостиничная отрасль. Такой список вполне ожидаем: у государства и финансового сектора высока чувствительность к недоступности сервисов, у операторов связи и транспортных компаний атака может затронуть сразу большое число зависимых клиентов, а гостиничный бизнес остается удобной мишенью из-за постоянной работы с онлайн-бронированием, платежами и клиентскими системами.

Отдельной строкой NETSCOUT выделяет давление на инфраструктурные сервисы, без которых интернет в привычном виде вообще плохо работает. Под ударом оставались NTP и DNS. NTP - это протокол синхронизации времени, который нужен серверам и устройствам для согласованной работы. DNS - система доменных имен, которая переводит привычные адреса сайтов в IP-адреса, понятные сети. Если злоумышленники создают постоянную нагрузку на такие элементы, последствия выходят далеко за рамки 1 компании или 1 сайта. Поэтому устойчивое давление на NTP-инфраструктуру и корневые DNS-серверы в отчете рассматривается как сигнал для всей отрасли, а не только для отдельных операторов.

При этом история с DNS в докладе выглядит не только тревожной, но и показательной с точки зрения защиты. Несмотря на постоянные атаки, корневые DNS-серверы сохраняли высокую доступность. По оценке NETSCOUT, такой результат подтверждает, что грамотно построенная, распределенная по миру и избыточная архитектура действительно работает даже под устойчивым давлением. Иными словами, волна атак не доказывает всесилие злоумышленников, но ясно показывает цену ошибок в проектировании. Там, где инфраструктуру строили с запасом по устойчивости, защита срабатывает. Там, где рассчитывали на более спокойную среду, риски быстро накапливаются.

Главный вывод отчета сводится к простой мысли: во второй половине 2025 года изменилась не только интенсивность отдельных инцидентов. Изменилась доступность сложных атак, скорость их адаптации и масштаб потенциального ущерба. Рекордные пики, ИИ в DDoS-for-hire, кооперация между группами и постоянные удары по критической инфраструктуре складываются в 1 картину: запускать серьезные кампании могут все более разные игроки, а окно между подготовкой и ударом становится все короче.

Для компаний и операторов такой сдвиг означает довольно приземленную вещь: планировать защиту только под типовой инцидент уже опасно. Сценарии экстремального масштаба больше не выглядят редкой экзотикой из отчетов о самых громких ботнетах. Во второй половине 2025 года такие события уже вошли в реальную оперативную повестку. Именно поэтому устойчивость сервисов теперь все сильнее зависит не от формального наличия DDoS-защиты, а от того, выдержит ли архитектура резкий скачок мощности, многовекторный поток и атаки на базовые сетевые механизмы одновременно.