Чому навіть гіганти стають жертвами DDoS-атак

Рекорд потужності DDoS-атак, здійснених у 2025 році, було побито п’ять разів (!) і склав 31,4 Тбіт/с, що у 8 разів більше порівняно з 2024 роком. Така статистика підкреслює, що DDoS вже давно вийшов із розряду незначних незручностей і став постійним та жорстким тиском для бізнесу й навіть окремих держав. Побороти цю «стихію» поки що не може ніхто, у тому числі й великі гравці на ринку хостинг-послуг, наприклад, такі, як Cloudflare або AWS. Її можна лише «пом’якшити», використовуючи різні механізми захисту, зокрема з застосуванням можливостей штучного інтелекту (ШІ). Розглянемо деякі з таких рішень і з’ясуємо, наскільки вони можуть бути ефективними. 

Купуй VPS/VDS сервер!

Швидкісні VPS сервера на технологіях VZ та KVM з Безкоштовним адмініструванням 24/7, тестовим періодом та щоденними бекапами

Чому великі цілі частіше стають об’єктами атак

Практика показує, що на вибір цілей для проведення масштабних атак можуть впливати різні фактори. Ось деякі з них:

За даними звіту StormWall, основними цілями у 2025 році були: фінансові організації (22%); телекомунікаційні сервіси (19%); ЗМІ та освіта (14%). Разом вони склали близько 55% атак (див. Малюнок 1).  

Малюнок 1. Діаграма розподілу DDoS-атак за 2025 рік. 

Рівень забезпечення захисту, наприклад, веб-сервісу або сайту комерційного підприємства, може значною мірою вплинути на рішення атакуючої сторони про здійснення атаки. Зазвичай це визначається результатами «пробної» атаки. Якщо захист працює «достойно», наступної атаки найближчим часом очікувати не варто. І це також підтверджено практикою.

Останнім часом особливо помітним став вплив геополітичного чинника на проведення DDoS-атак. Так, за даними звіту хмарного провайдера Cloudflare за III квартал 2025 року, до п’ятірки «лідерів» серед країн, що зазнали атак, увійшли: Китай, Туреччина, Німеччина, Бразилія та США. Причому США піднялися на цілих 11 позицій порівняно з попереднім періодом (див. Малюнок 2).

Малюнок 2. Розподіл кількості атак за країнами за 3 квартал 2025 року.

Масштаб атак проти масштабу інфраструктури

Сьогодні масштаби атак, що здійснюються у світі, пропорційні масштабам інфраструктури, на яку вони спираються. Цю інфраструктуру складають ботнети та канал для їхнього управління й контролю. Чим вона більша, тим масштабніший DDoS-штурм. Це підтверджується тим, що наймасштабніша атака потужністю 31,4 Тбіт/с, проведена у третьому кварталі 2025 року, спиралася на ботнет Aisuru, який, за приблизними підрахунками, налічує від 1 до 4 мільйонів ботів. Хоча атака тривала всього 35 секунд, цього виявилося достатньо, щоб оцінити можливості інфраструктури та можливі наслідки.

Протягом усього 2025 року ботнет Aisuru понад тисячу разів використовувався для проведення різноманітних «штурмів». І щоразу через величезний обсяг трафіку фіксувалися супутні перебої в роботі Інтернету та інших сервісів на території однієї або кількох країн. Причому «природне» зростання ботнету триває. Тому можна лише припускати, що може статися у випадку, коли кількість ботів Aisuru досягне, наприклад, 10–15 мільйонів одиниць.

Що таке hyperscale і чому це не «імунітет»

Одне з відомих рішень щодо захисту від DDoS — використання можливостей розподіленої мережевої інфраструктури «хмари» для «розсіювання» величезних масивів шкідливого трафіку.

Рішення на основі цього підходу активно використовують деякі хмарні провайдери. У цьому випадку масштабу атаки протиставляється гіпермасштаб (hyperscale) мережевої архітектури провайдера.

Перелічимо безперечні переваги цього підходу:  


Перераховані умови роблять використання можливостей «хмари» для протидії DDoS досить сприятливим.   

Однак, водночас, існує чимало проблем, які заважають хмарним провайдерам організувати ефективний захист від DDoS. Наведемо деякі з них:

Для вирішення зазначених проблем деякі хмарні провайдери використовують так звані центри очищення трафіку або скраби (scrub). Нижче наведено приклад організації такого скрабу на базі ресурсів Oracle Cloud Infrastructure (OCI) (див. малюнок 3).  

На схемі добре видно рух «змішаного» трафіку з Інтернету до очисного DDoS Scrubbing Center і далі різними каналами для «забрудненої» та «очищеної» складових трафіку. У результаті «зайвий» трафік блокується, а корисний надсилається за призначенням.

Малюнок 3. Схема організації Центру очищення трафіку компанії Oracle Cloud Infrastructure.

Однак і цей варіант має свої недоліки, оскільки виникають складнощі з доставкою трафіку через дуже великі відстані, що проявляється у затримці передачі даних. Як варіант, можна створити безліч невеликих скрабів по всьому світу, однак це багаторазово збільшує витрати на їх створення та обслуговування. Крім того, виникають складнощі з координацією їхньої роботи та вирішенням поточних завдань.  

Реальні приклади масштабних атак (рівень Tbps)

Нижче наведено графік рекордних DDoS-атак у всьому світі (див. малюнок 4).

Виокремимо найзначніші з них:

Малюнок 4. Графік проведення рекордних DDoS-атак.

Що насправді означає «відбили атаку»

Виникає слушне запитання — де та межа, за якою можна з упевненістю сказати, що «DDoS-штурм відбитий». Згідно зі звітом Cloudflare за III квартал 2025 року, 89 % DDoS-атак рівнів L3/L4 і 71 % атак рівня L7 тривають не більше 10 хвилин (!). Це нова тактика, яка отримала назву — «вдарив — тікай». Це значна економія з боку нападника, але чималі втрати з боку захисту, оскільки навіть секундні атаки призводять до перебоїв у роботі Інтернет-мережі, про що вже йшлося вище.

Оскільки в більшості випадків DDoS-атака припиняється сама, можна говорити лише про ступінь завданої шкоди, яка в тій чи іншій мірі завжди присутня. І її величина тісно пов’язана з комплексом превентивних та інших заходів, що застосовуються конкретним провайдером для виявлення та відбиття атаки.

Тому стосовно DDoS правильніше буде сказати: «наскільки швидко були усунені наслідки атаки». І чим більше ця величина наближається до нуля, тим швидше завершується відбиття атаки. Це і є, на наш погляд, головний індикатор «перемоги над DDoS», а заодно й ефективності захисту.

Погіршення якості послуг та побічні ефекти

Надзвичайно широкий спектр послуг хмарних провайдерів та величезні обсяги трафіку створюють безліч «точок входу» для DDoS-атак, ставлячи під загрозу десятки й сотні тисяч ресурсів своїх клієнтів. Хоча частину атак вдається успішно відбити, втрати для клієнтів у тій чи іншій мірі все одно мають місце.

Для оцінки збитків від DDoS у всьому світі використовується така цифра: одна хвилина непрацездатності сервісу в середньому обходиться в 22 000 доларів. За результатами 2025 року у світі було зафіксовано близько 47,1 мільйона атак, а отже, загальна сума збитків буде досить значною.

Висновок: навіть провідні гравці не є «невразливими»

З аналізу статистики DDoS-атак та існуючих рішень щодо їх відбиття стає очевидним, що абсолютного захисту не існує, а є лише певні можливості «пом’якшення» наслідків атак, наприклад, за допомогою спеціальних скрабів чи інших засобів. І рівень провайдера тут не допоможе. Більше того, статистика показує, що понад 70 % атак припадає саме на великі хмарні сервіси.