Почему DDoS-атаки становятся всё сложнее и как с ними бороться
DDoS-атаки вошли в топ-5 самых распространённых инструментов цифрового давления — простых по замыслу, но всё более сложных по исполнению.
Если раньше это были хаотичные всплески, то теперь это выверенные, высокоточные операции. Команда ОТП Банка отмечает, что сегодня злоумышленники подбирают момент пиковых нагрузок, изучают инфраструктуру компании и комбинируют техники, чтобы обойти защиту и максимизировать ущерб.
Сами DDoS-атаки, или Distributed Denial of Service, представляют собой тип кибератаки, при которой на сайт или сервер обрушивается лавина запросов, из-за чего ресурс становится недоступным для пользователей. Чаще всего используется ботнет — сеть заражённых устройств, имитирующих действия реальных людей. Поток трафика превышает пропускную способность каналов и лимиты серверов, в результате чего система перестаёт отвечать.
Больше, сложнее, умнее
По данным StormWall, втором квартале 2025 года количество DDoS-атак в России выросло на 42% по сравнению с аналогичным периодом прошлого года. Лидерами по числу атак стали банки и платёжные сервисы, на них пришлось 28% всех инцидентов. Далее следую государственные структуры (21%) и телекоммуникационные компании (16%). Годом ранее структура была похожей: финансовый сектор также находился на первом месте с показателем 22%.
Рост числа атак фиксируется и на глобальном уровне. Согласно отчёту FS-ISAC, злоумышленники всё чаще выбирают целью финансовые организации, а сами DDoS-кампании усложняются, вместо прямолинейных перегрузок трафиком появляются многоуровневые схемы, направленные на слабые места в инфраструктуре и цепочках поставок.
Идеология, конкуренция и доступ к данным
Согласно данным Банка России, в 2024 году злоумышленники преследовали две основные цели. Первая — выведение из строя информационной инфраструктуры компании, при котором её сервисы становятся недоступны. Вторая — получение доступа к ИТ-системам финансовых организаций через атаки на их технологических партнёров и поставщиков.
По данным Positive Technologies, число DDoS-атак на уровне приложений в финансовом секторе выросло на 23% в период с 2023 по 2024 год. Рост связан с активным внедрением API в банковских и платёжных сервисах, что, в свою очередь, расширило поверхность угроз и заставило злоумышленников адаптировать тактику, усилив атаки именно на этот уровень.
В ОТП Банке обращают внимание, что всё больше атак носят не коммерческий, а идеологический характер. Финансовые структуры становятся мишенью не столько ради выгоды, сколько из-за своей уязвимости и влияния на пользователей.
Однако идеологией дело не ограничивается. В 2025 году быстро набирают популярность заказные атаки со стороны конкурентов. По данным компании «Нейроинформ», во втором квартале 2025 года число целенаправленных атак на ИТ-системы с целью промышленного шпионажа выросло на 26%. Злоумышленников интересует прежде всего доступ к клиентским базам, технологической информации и возможность парализовать операционные процессы, чтобы переманить аудиторию конкурента. Чаще всего такие атаки направлены на промышленные предприятия (34%), финансовые организации (28%) и ИТ-компании (16%).
Как атакуют: сценарии и уязвимости
Сегодня DDoS-атаки всё чаще становятся частью сложного сценария, в котором задействованы сразу несколько векторов. По данным Банка России, злоумышленники нередко начинают с подбора логинов и паролей, компрометации учётных записей подрядчиков или эксплуатации уязвимостей в программном обеспечении. Эти действия позволяют получить первичный доступ к инфраструктуре и подготовить почву для последующих шагов.
После проникновения атакующие не спешат с активной фазой. Их задача — закрепиться в системе, собрать максимум информации и незаметно подготовить следующий этап. В ход идут инструменты для создания устойчивого присутствия, включая внедрение вредоносных программ, кражу данных и дальнейшее использование полученной информации для точечных атак на клиентов. Иногда скомпрометированные системы используются повторно, доступ может перепродаваться другим участникам, что усложняет анализ инцидентов и повышает риск повторных вторжений.
По мере усложнения инфраструктуры растёт и разнообразие используемых техник. Помимо классических объёмных атак, перегружающих каналы связи, всё чаще применяются протокольные и прикладные сценарии с прицельной атакой на конкретные сервисы или приложения.
Ущерб и защита
Последствия DDoS-атак выходят далеко за рамки временных перебоев. Для компаний это не только прямые финансовые потери, но и падение доверия пользователей, рост рекламаций и репутационные риски. Даже кратковременная остановка онлайн-сервисов может привести к разрыву контрактов и потере клиентов. В ОТП Банке подчёркивают, что подобные инциденты нередко используются как прикрытие для более серьёзных вторжений, когда внимание специалистов сосредоточено на восстановлении системы, а параллельно запускаются целевые операции по краже данных.
Базовая защита больше не ограничивается простыми фильтрами. Эффективная система противодействия строится на комбинации мер, от фильтрации сетевого уровня до анализа прикладного трафика. Компании всё чаще используют аппаратно-программные комплексы, которые в автоматическом режиме выявляют атаки, а также подключают WAF-системы (Web Application Firewall), блокирующие вредоносные запросы на уровне веб-приложений. Важную роль играет и мониторинг, так как непрерывный анализ активности позволяет заранее выявлять аномалии и минимизировать риск масштабных сбоев.
Сегодня решения строятся на многоуровневой архитектуре, охватывающей как сетевой (L3, L4), так и прикладной (L7) уровни. Базовая фильтрация позволяет отсекать классические атаки типа UDP или SYN-флуд, но против "умных" ботов этого недостаточно. Именно поэтому растёт спрос на решения с Web Application Firewall (WAF), которые анализируют поведение трафика и блокируют наиболее ресурсоёмкие запросы на уровне веб-приложений.
Функциональность систем зависит от задач бизнеса:
- L3–L4 защита применяется для фильтрации на уровне IP и TCP-пакетов, и чаще всего используется на границе сети;
- L3–L7 защита добавляет фильтрацию HTTP-запросов и подходит для сайтов и сервисов;
- L3–L7 + WAF — наиболее продвинутая модель, позволяющая отражать “интеллектуальные” атаки и защищать критичные цифровые каналы компаний.
Кроме того, различают симметричную и асимметричную архитектуру подключения: в первом случае фильтрации подвергается весь входящий и исходящий трафик, что даёт максимум контроля, но требует больше ресурсов. Асимметричный подход легче интегрировать, но он не всегда обеспечивает полную фильтрацию сложных сценариев, особенно в условиях многоуровневых атак.
On-premise, облако или гибрид?
Выбор архитектуры anti-DDoS зависит не только от уровня угроз, но и от масштабов бизнеса.
- On-premise-решения — это программные или аппаратные комплексы, которые размещаются на стороне клиента или провайдера. Чаще всего их используют операторы связи, облачные хостинги и дата-центры. Такие системы обеспечивают максимальную кастомизацию и контроль, выдерживают атаки в сотни гигабит, но требуют собственной команды реагирования и инвестиций в инфраструктуру.
- Облачные сервисы предлагают аналогичную глубину защиты, но работают по модели подписки. Они автоматически масштабируются, обеспечивают защиту сайтов от HTTP-базированных атак и предоставляют сопровождение во время инцидентов. Это оптимальное решение для большинства компаний, особенно без собственного IT-отдела.
- Гибридные системы сочетают оба подхода: локальное решение фильтрует стандартный трафик, а облачный сервис подключается при масштабных атаках. Такая модель набирает популярность среди банков, ритейла и сервис-провайдеров, для которых важна бесперебойная работа и SLA перед клиентами.
Так или иначе, каждая модель — это компромисс между контролем, масштабируемостью и стоимостью. Какой бы путь вы ни выбрали, полностью избежать DDoS-атак невозможно, поэтому важно действовать на опережение. Надеяться, что атака не случится, это не стратегия, а откладывать защиту значит рисковать работой всего бизнеса.