Атаки типу «відмова в обслуговуванні» — це навмисне перевантаження сайту, сервера чи онлайн-сервісу шквалом запитів, після якого ресурс стає недоступним для звичайних користувачів. У 2025 році глобальна мережа Cloudflare зафіксувала 47,1 мільйона таких атак — удвічі більше, ніж роком раніше, — а потужність найбільшої з них уперше в історії перевищила 30 терабіт за секунду.
Cybercalm пояснює, як працюють DoS і DDoS, чому вони стали повсякденним інструментом російської кібервійни проти України та як від них захищатися.
DoS і DDoS: у чому ключова відмінність
Абревіатура DoS розшифровується як Denial of Service — «відмова в обслуговуванні». Суть атаки проста: зловмисник надсилає на сервер набагато більше запитів, ніж той здатен обробити, через що сайт або сервіс перестає відповідати реальним відвідувачам. Класичний DoS — це одне джерело: один компʼютер або одна мережа, з якої йде шкідливий трафік. Саме тому такий варіант порівняно легко зупинити — достатньо заблокувати IP-адресу нападника.
Абревіатура DDoS — Distributed Denial of Service, «розподілена відмова в обслуговуванні». Принципова різниця в тому, що атака йде не з одного, а з тисяч або навіть мільйонів пристроїв одночасно. Заблокувати їх усі неможливо: для жертви це виглядає як раптовий наплив «реальних» користувачів з усього світу. Сьогодні майже всі помітні атаки в інтернеті — саме DDoS, тоді як «класичний» DoS-варіант практично зник із загрозового ландшафту.
Звідки беруться мільйони пристроїв-нападників
Армію заражених пристроїв, з яких зловмисники запускають DDoS, називають ботнетом (від англ. robot network — «мережа роботів»). Власники цих гаджетів зазвичай навіть не здогадуються, що їхній маршрутизатор, IP-камера, «розумний» телевізор чи смартфон віддалено керується кіберзлочинцями. Щоби потрапити в ботнет, пристрій має бути заражений шкідливим ПЗ — найчастіше через невстановлені оновлення, заводські паролі на кшталт admin/admin або відомі вразливості у прошивках.
Наймасовіший ботнет 2025 року — Aisuru-Kimwolf — нараховує, за оцінками Cloudflare, від одного до чотирьох мільйонів пристроїв. Його основу складають заражені телевізори на Android по всьому світу. Саме цей ботнет 19 грудня 2025 року провів кампанію, яку дослідники назвали «Ніч перед Різдвом»: атаки сягали 200 мільйонів запитів за секунду та 31,4 терабіта за секунду — це нові світові рекорди потужності.
Три типи атак, які потрібно розрізняти
Усю різноманітність DDoS-атак фахівці зазвичай зводять до трьох основних категорій, які відрізняються тим, який саме ресурс жертви вони виснажують.
Найвідоміший і найвидовищніший тип — обʼємні атаки (англ. volumetric). Їхня логіка проста, як удар тарана: «забити» канал звʼязку жертви максимальним обсягом сміттєвого трафіку, поки в ньому не лишиться місця для нормальних запитів. До цієї категорії належать UDP- та ICMP-флуди, а також атаки з підсиленням через DNS — коли невеликий запит зловмисника перетворюється на відповіді в десятки разів більші, що летять на жертву. Саме обʼємні атаки бʼють рекорди в терабітах за секунду, але водночас вони і найгучніші: сучасні системи захисту фіксують їх найшвидше.
Друга категорія — протокольні атаки. Вони працюють хитріше: замість грубої сили зловмисники експлуатують особливості мережевих протоколів. Класичний приклад — SYN-флуд: нападник ініціює тисячі «недозавершених» зʼєднань TCP, сервер тримає для кожного буфер памʼяті, і врешті в нього просто не лишається ресурсів обслуговувати справжніх клієнтів. Такі атаки виснажують не канал, а саме обладнання — фаєрволи, балансувальники навантаження, операційну систему сервера.
Третій і наразі найскладніший для виявлення тип — атаки прикладного рівня, або L7 (від англ. Layer 7 — «сьомий рівень» моделі OSI). Тут зловмисник імітує поведінку звичайних користувачів: масово запитує важкі сторінки, виконує пошукові запити, додає товари в кошик. Для обладнання це виглядає як цілком легітимний трафік, але саме такі запити змушують серверний застосунок або базу даних виконувати найдорожчі операції. У другому кварталі 2025 року Cloudflare зафіксував зростання L7-атак на 129% за рік — цей вектор стає основним інструментом професійних зловмисників, бо звичайними фільтрами не виявляється.
Сучасні великі кампанії майже завжди багатовекторні: на жертву одночасно летять обʼємний флуд, протокольні атаки та запити прикладного рівня. Захист, налаштований лише на один сценарій, у такій ситуації легко зламається.
Масштаби DDoS-загрози у 2025 році
Найповнішу картину дає квартальна звітність Cloudflare — компанії, що обслуговує понад 20% усього вебтрафіку у світі. За її даними, у 2025 році глобальна мережа автоматично заблокувала 47,1 мільйона DDoS-атак — удвічі більше, ніж у 2024-му, і на 236% більше, ніж у 2023-му. У середньому щогодини відбивалося понад 5 300 атак.
Найдинамічніше росте сегмент так званих гіперобʼємних (англ. hyper-volumetric) ударів — потужністю понад 1 терабіт або 1 мільярд пакетів за секунду. Якщо у 2024 році вони були рідкісними подіями, то в третьому кварталі 2025-го фіксувалися в середньому 14 разів на добу. У четвертому кварталі найбільший зафіксований удар сягнув 31,4 Тбіт/с — потужності, достатньої, щоби «покласти» інфраструктуру цілої країни.
Найчастіше у 2025 році під ударом опинялися телекомунікаційні компанії, постачальники інтернет-сервісів та критична інфраструктура. Окрема тенденція — різке зростання атак на компанії, повʼязані зі штучним інтелектом: у вересні 2025 року DDoS-активність проти ШІ-провайдерів зросла на 347% за місяць на тлі загострення публічних дискусій довкола регулювання ШІ.
DDoS як зброя гібридної війни проти України
Для України DDoS перестав бути абстрактною технічною загрозою задовго до 24 лютого 2022 року. Україна — одна з перших країн, де такі атаки систематично застосовувалися як елемент гібридної агресії: ще у 2014-му під ударом опинилася інформаційна система «Вибори» Центральної виборчої комісії.
За даними CERT-UA та Держспецзвʼязку, у 2024 році кількість зафіксованих кіберінцидентів проти українських організацій зросла майже на 70% — до 4 315 випадків. У 2025-му ця тенденція не лише зберіглася, а й посилилася: лише за перші два місяці року CERT-UA зареєструвала понад тисячу інцидентів. Більшість атак, за оцінкою фахівців, повʼязані з угрупованнями, які фінансуються або є частинами російських спецслужб.
Проросійські хактивістські угруповання — насамперед NoName057(16) — регулярно проводять DDoS-атаки на українські урядові ресурси, банки, ЗМІ та логістичні компанії, а також на сайти держав, що підтримують Україну. Часто такі атаки збігаються в часі з ракетними та дроновими ударами по критичній інфраструктурі — це класична тактика «кіберсупроводу» воєнних операцій, мета якої — додатково дезорієнтувати населення і ускладнити роботу служб реагування. Серед найгучніших українських кейсів — атаки на monobank: під час однієї з них необанк фіксував до 580 мільйонів запитів, проте сервіс встояв.
15 липня 2025 року Європол і Євроюст спільно з правоохоронцями 12 країн провели операцію «Іствуд» (Eastwood), спрямовану проти інфраструктури та учасників NoName057(16). Попри удар, активність угруповання повністю не припинилася, але це перший масштабний міжнародний контрнаступ проти проросійських DDoS-операторів.
Україна має і свою відповідь. ІТ-армія України та підрозділи ГУР Міноборони з 2022 року системно проводять DDoS-операції проти російської цифрової інфраструктури — від банків і логістичних сервісів до маркувальних систем і телеком-провайдерів.
Хто і навіщо запускає DDoS-атаки
Ініціатори загроз ставлять перед DDoS зовсім різні цілі. Для державних і проксіструктур у Росії, Білорусі, Ірані та КНДР це інструмент тиску на противника й гібридної війни. Для хактивістів — спосіб публічно покарати компанію чи владу за «неправильні», на їхню думку, рішення. Для кіберзлочинців — інструмент вимагання: так звані Ransom DDoS-атаки, коли зловмисники погрожують «покласти» сервіс жертви, якщо та не сплатить викуп у криптовалюті. Згідно з опитуванням Cloudflare, у червні 2025 року близько третини респондентів повідомили, що зазнавали таких погроз або реальних вимагань.
Окремий сценарій — DDoS як «димова завіса». Поки служба безпеки компанії гасить пожежу й намагається повернути сайт у мережу, зловмисники паралельно проводять справжню атаку: викрадають базу даних, упроваджують шкідливе ПЗ або компрометують облікові записи. Саме тому фахівці з кібербезпеки наголошують, що потужна DDoS-активність — завжди привід уважно перевірити інші сегменти інфраструктури.
Як захистити бізнес від DDoS
Універсального захисту, що «вмикається однією кнопкою», не існує — ефективна оборона будується шарами. Базовий рівень — наявність мережі доставки контенту (CDN) з вбудованим захистом від DDoS: такі сервіси, як Cloudflare, Akamai чи AWS Shield, мають достатньо ресурсів, щоб поглинути навіть терабітний удар. Для критично важливих застосунків додають вебфаєрвол (WAF), який фільтрує запити на прикладному рівні та зупиняє L7-атаки.
Не менш важливі організаційні заходи: заздалегідь розроблений план реагування, домовленості з інтернет-провайдером про можливість екстреного скрабінгу трафіку, налаштовані ліміти на кількість запитів від однієї IP-адреси, моніторинг аномалій у реальному часі. Для українських організацій, які перебувають у зоні підвищеного ризику, профільні рекомендації регулярно публікують CERT-UA та Держспецзвʼязок.
Що може зробити звичайний користувач
На перший погляд, звичайний користувач у DDoS-історії — лише пасивна жертва: сайт банку чи улюбленого ЗМІ просто не відкривається. Насправді кожен власник підключеного до інтернету пристрою може опинитися «по обидва боки барикад» — у будь-який момент роутер, камера спостереження чи смарт-телевізор перетворюються на бійця ворожого ботнету без відома господаря.
Щоби не стати частиною чужої атаки, варто дотримуватися кількох правил: вчасно встановлювати оновлення прошивки на роутер і всі «розумні» пристрої, замінювати заводські паролі на унікальні складні комбінації, вимикати з інтернету ті IoT-гаджети, віддалений доступ до яких не потрібен. На компʼютерах і смартфонах має бути актуальне антивірусне рішення — з очевидних причин cybercalm не рекомендує продукти, розроблені в Росії чи Білорусі. Двофакторна автентифікація на ключових облікових записах не зупинить DDoS, але унеможливить захоплення вашої техніки через злам пошти чи Telegram-акаунту.
Якщо ж атака сталася і потрібний сайт раптом «впав» — найкраща тактика терпіння. Не варто десятки разів оновлювати сторінку: кожен такий запит лише додає навантаження на сервер, який уже бореться за виживання, і фактично грає на користь нападників. Замість цього варто почекати кілька хвилин, перевірити офіційні соціальні мережі сервісу або скористатися альтернативним каналом — наприклад, мобільним застосунком.
