Почему даже гиганты подвергаются DDoS-атакам

Рекорд мощности произведённых в 2025 году DDoS-атак был побит пять раз (!) и составил 31,4 Тбит/с, что в 8 раз больше по сравнению с 2024 годом. Такая статистика подчёркивает, что DDoS уже давно вышел из разряда незначительных неудобств и стал постоянным и жёстким прессингом для бизнеса и даже отдельных государств. Побороть эту «стихию» пока не может никто, в том числе и крупные игроки на рынке хостинг-услуг, например, такие, как Cloudflare или  AWS. Её можно только «смягчить», используя разные механизмы защиты, в том числе с применением возможностей искусственного интеллекта (ИИ). Рассмотрим некоторые из таких решений и выясним, насколько они могут быть эффективны.      

Почему крупные цели подвергаются атакам чаще

Практика показывает, что на выбор целей для проведения массированных атак могут влиять различные факторы. Вот некоторые из них:

• Величина возможного причинённого ущерба и / или получения выгоды;
• Возможности защиты;
• Геополитика.

По данным отчёта StormWall основными целями в 2025 году были: финансовые организации (22%); телекоммуникационные сервисы (19%); СМИ и образование (14%). Вместе они составили около 55% атак (см. Рисунок 1).    

Рисунок 1. Диаграмма распределения DDoS-атак за 2025 год. 

Уровень обеспечения защиты, например, веб-сервиса или сайта коммерческого предприятия может в значительной степени повлиять на решение атакующей стороны атаковать. Это обычно определяется результатами «пробной» атаки. Если защита работает «достойно», следующей атаки в ближайшее время можно не ожидать. И это также проверено практикой.

В последнее время особенно заметным стало влияние геополитической составляющей на проведение DDoS-штурмов. Так, по данным отчёта облачного провайдера Cloudflare за III квартал 2025 года, в пятёрку «лидеров» среди стран, подвергшимся атакам вошли: Китай, Турция, Германия, Бразилия и США. Причём, США поднялось на целых 11 позиций по сравнению с предыдущим периодом (см. Рисунок 2). 

Рисунок 2. Распределение количества атак по странам за 3 квартал 2025 года.

Масштаб атак vs масштаб инфраструктуры

Сегодня масштабы проводимых в мире атак пропорциональны масштабам инфраструктуры, на которую они опираются. Эту инфраструктуру составляют ботнеты и канал для их управления и контроля. Чем она больше, тем масштабнее DDoS-штурм. Это подтверждается тем, что самая масштабная атака мощностью 31,4 Тбит/с, проведённая в третьем квартале 2025 года, опиралась на ботнет Aisuru, по приблизительным подсчётам включающий от 1-го до 4-х миллионов ботов. Хотя атака длилась всего 35 секунд, этого оказалось достаточно, чтобы понять возможности инфраструктуры и возможные последствия.

На протяжении всего 2025 года ботнет Aisuru более тысячи раз использовался для проведения разного рода «штурмов». И всякий раз из-за огромного объёма трафика фиксировались сопутствующие перебои в работе Интернета и других сервисов на территории одной или нескольких стран. Причём, «естественный» рост ботнета продолжается. И, поэтому можно только предполагать, что может произойти в случае, когда количество ботов Aisuru достигнет цифры, например, в 10-15 миллионов единиц.

Что такое hyperscale и почему это не «иммунитет»

Одно из известных решений по защите от DDoS – использование возможностей распределённой сетевой инфраструктуры «облака» для «распыления» огромных массивов вредоносного трафика.

Решения на базе этого подхода активно используют некоторые из облачных провайдеров. В этом случае масштабу атаки противопоставляется гипермасштаб (hyperscale) сетевой архитектуры провайдера.

Перечислим несомненные достоинства этого подхода:  

• Устойчивость за счёт распределённости сетевой архитектуры «облака»;
• Широкая масштабируемость вниз или вверх, что позволяет легко «гасить» всплески трафика;
• Высокая степень интеграции с ИИ;
• Гибкость и адаптируемость к новым типам угроз;
• Глобальный охват «облака» снижает влияние DDoS на любую «единую точку отказа» в сети.

Перечисленные условия делают весьма благоприятным использование возможностей «облака» для противодействия DDoS.   

Однако, вместе с тем, существует немало проблем, которые препятствуют организации облачными провайдерами эффективной защиты от DDoS. Приведём некоторые из них:

• Широкий спектр услуг и огромные масштабы облачных сервисов «расширяют» диапазон возможных атак и создают ситуацию, когда одна ошибка в защите может привести к каскаду сбоев на сайтах миллионов пользователей;
• Трафик на «облако» поступает с дата-центров, нередко размещённых в разных концах Земного шара, создавая множество «точек входа» для DDoS, что усложняет своевременное обнаружение «штурма» и увеличивает затраты на построение эффективной системы защиты;  
• Огромный поток «законного» трафика затрудняет обнаружение DDoS и увеличивает количество ложных срабатываний (параметр false positives), что может стать причиной финансовых потерь многих клиентов облачных сервисов.

Для решения указанных проблем некоторые из облачных провайдеров используют, так называемые, Центры очистки трафика или скрабы (scrub). Ниже приведён пример организации такого скраба на базе мощностей Oracle Cloud Infrastructure (OCI) (см. Рисунок 3).  

На схеме хорошо видно движение «смешанного» трафика из Интернет в очистительный DDoS Scrubbing Center и далее по разным каналам для «загрязнённой» и «очищенной» составляющих трафика. В результате, «лишний» трафик блокируется, а полезный отправляется по назначению.

Рисунок 3. Схема организации Центра очистки трафика компании Oracle Cloud Infrastructure.

Но и этот вариант не лишён недостатков, поскольку возникают сложности в доставке трафика из-за очень больших расстояний, что проявляется наличием задержки в передаче данных. Как вариант, может быть создано множество мелких скрабов по всему миру, однако это многократно увеличивает затраты на их создание и обслуживание. Кроме того, возникают сложности в согласовании их работы и решении текущих задач.   

Реальные примеры крупных атак (уровень Tbps )

Ниже приведён график проведения рекордных DDoS-атак по всему миру (см. Рисунок 4).

Выделим наиболее значимые из них:

• Ботнет Aisuru – декабрь 2025 г. (31,4 Тбит/с);
• Атака без названия – 2025 г. (22, 2 Тбит/с);
• Azure – октябрь 2025 г. (15,7 Тбит/с);
• Cloudflare – май 2025 г. (7,3 Тбит/с);
• Ботнет Mirai – IV квартал 2025 г. (5,6 Тбит/с).

Рисунок 4. График проведения рекордных DDoS-атак.

Что на самом деле означает «отбили атаку»

Возникает резонный вопрос – где та грань, за которой можно с уверенностью сказать, что «DDoS-штурм отражён». Согласно отчёта Cloudflare за III квартал 2025 года, 89 % DDoS-атак уровней L3/L4 и 71 % атак уровня L7 длятся не более 10 минут (!). Это новая тактика, получившая название – «ударил – убегай». Это большая экономия со стороны нападающего, но немалые потери со стороны защиты, поскольку даже секундные штурмы приводят к перебоям в работе Интернет-сети, о чём уже говорилось выше.

Поскольку в большинстве случаев DDoS-штурм прекращается сам, можно говорить лишь о степени причинённого вреда, который в той или иной мере всегда присутствует. И его величина тесно связана с набором превентивных и других мер, применяемых конкретным провайдером для обнаружения и отражения атаки.

Поэтому по отношению к DDoS корректнее будет сказать: «насколько быстро были устранены последствия атаки». И чем в большей степени эта величина стремится к нулю, тем быстрее завершается отражение атаки. Это и есть, на наш взгляд, главный индикатор «победы над DDoS», а за одно, и эффективности защиты.

Ухудшение качества услуг и побочные эффекты

Широчайший набор сервисов облачных провайдеров и громадные масштабы прогоняемого трафика создают множество «точек входа» для DDoS, ставя под угрозу десятки и сотни тысяч ресурсов своих клиентов. Хотя часть атак успешно отбивается, потери для клиентов в той или иной степени всё равно присутствуют.

Для оценки убытков от DDoS во всём мире используется следующая величина: одна минута неработоспособности сервиса в среднем обходится в $22000. По результатам 2025 года в мире было зафиксировано около 47,1 миллиона атак, а, значит, общая сумма потерь будет весьма значительной.

Вывод: даже топ-игроки не «неуязвимы»

Из рассмотрения статистики DDoS и существующих решений по отражению атак становится очевидным тот факт, что абсолютной защиты не существует, а есть лишь некоторые возможности по «смягчению» последствий штурмов, например, с помощью специальных скрабов или других средств. И уровень провайдера тут не поможет. Более того, статистика показывает, что более 70 % атак приходится как раз на крупные облачные сервисы.