Nu „dacă”, ci „când”. Atacurile DDoS sunt o certitudine pentru majoritatea afacerilor cu prezență online, având potențialul de a bloca complet infrastructurile critice. În 2024, organizațiile au resimțit tot mai acut aceste „furtuni online”. Potrivit raportului recent „Corero Network Security 2025 Threat Intelligence anul trecut, clienții monitorizați de Corero (soluția anti DDoS oferită de M247 Global se bazează pe tehnologie Corero) au fost ținta a 11 atacuri DDoS pe zi (majoritatea sub 1Gbps), în medie. Vorbim despre o creștere de 5% față de anul precedent, iar această tendință nu doar că se menține, ci se intensifică în 2025.
Doar în primul trimestru al acestui an, Cloudflare a blocat 20,5 milioane de atacuri DDoS, înregistrând o creștere explozivă de 358%, comparativ cu aceeași perioadă din 2024, potrivit „Cloudflare DDoS Threat Report for Q1 2025”. Dintre acestea, aproape 700 au fost atacuri DDoS hipervolumetrice, de peste 1 Tbps sau 1 Bpps – adică aproximativ 8 pe zi. Cifrele vorbesc de la sine: atacurile devin tot mai frecvente, mai agresive și mai sofisticate – de la explozii masive care pot „pune la pământ” rețele întregi, până la atacuri discrete, greu de detectat, dar nu mai puțin periculoase.
Atacuri DDoS în 2024-2025: mai frecvente, mai inteligente, mai greu de detectat
Raportul Corero indică o schimbare importantă în strategia atacatorilor: aceștia au optat încă din 2024 pentru atacuri de mici dimensiuni, dar frecvente și bine coordonate, care reprezintă peste 82% din totalul incidentelor înregistrate. Aceste atacuri DDoS sub 1Gbps sunt concepute pentru a testa sistemele de apărare, a consuma resurse și a reduce vigilența echipelor de securitate. În paralel, frecvența atacurilor de dimensiuni medii (1-5 Gbps) a scăzut, ajungând să reprezinte doar 12,4% din total (comparativ cu 19,4% în 2019).
Între timp, atacurile de mari dimensiuni, de peste 10Gbps au crescut la 2,9%, care este și cel mai ridicat nivel înregistrat din 2018. Cauzele pentru această evoluție îngrijorătoare? Creșterea capacităților de tip botnet și a nivelului automatizării atacurilor DDoS, mai ales prin exploatarea unor echipamente vulnerabile, precum routerele MikroTik și dispozitive IoT infectate cu variante ale malware-ului Mirai. Crește și frecvența atacurilor la nivelul application-layer (Layer 7), care au volum redus de trafic și sunt mai greu de detectat din cauza criptării. Acestea vizează API-uri, portaluri de autentificare, coșuri de cumpărături și alte resurse critice.
Tendințele actuale indică deci o polarizare: fie vorbim despre atacuri foarte discrete, sub 1 Gbps, fie despre valuri uriașe de trafic, menite să blocheze infrastructurile. Și pentru că până și platformele avansate de securitate cibernetică pot avea nevoie de 10-30 secunde, sau chiar mai mult, pentru a analiza traficul și a începe mitigarea, o altă tendință observată de specialiștii Corero a fost creșterea frecvenței atacurilor multi-vectoriale, în care atacatorii schimbă protocolul la fiecare 30–60 de secunde pentru a evita detecția rapidă și a forța sistemele de apărare să reacționeze continuu și reactiv, slăbind astfel acțiunile proactive.
La acestea mai adăugăm și că majoritatea organizațiilor se confruntă deja cu dificultăți în coordonarea echipelor de securitate, potrivit unui sondaj realizat de Merrill Research, comandat de către Corero. 68% întâmpină provocări în justificarea investițiilor în protecția DDoS în fața conducerii, chiar și atunci când dispun de instrumente moderne de securitate.
Anatomia atacurilor DDoS în primul trimestru din 2025
„Cloudflare DDoS Threat Report for Q1 2025” confirmă tendințele semnalate de Corero, precum creșterea nivelului de sofisticare al atacurilor DDoS, preferința pentru atacuri multi-vector și de dimensiuni reduse. De exemplu, dintre cele 20,5 milioane de atacuri DDoS blocate de Cloudflare în primul trimestru din 2025, o treime au vizat direct infrastructura Cloudflare, ca parte a unei campanii multi-vector desfășurate pe parcursul a 18 zile. 16,8 milioane au fost atacuri DDoS la nivel de rețea (network-layer), în creștere cu 397% față de trimestrul anterior.
În plus, deși numărul atacurilor hipervolumetrice a crescut, majoritatea atacurilor sunt de dimensiuni reduse: 99% dintre atacurile Layer 3/4 au fost sub 1 Gbps și 1 Mpps, iar 94% dintre atacurile HTTP au avut un volum de până la 1 milion de cereri pe secundă (rps). În plus, cele mai multe au durat mai puțin de 10 minute – un interval insuficient pentru o reacție manuală eficientă.
Vectorii de atac frecvenți identificați de Cloudflare în T1 din 2025 au fost SYN flood, DNS flood, atacuri generate de botnetul Mirai, botneți cunoscuți (HTTP), atacuri cu atribute HTTP suspecte, botneți care imită browsere și atacuri de tip cache busting. În plus, există și o creștere a atacurilor de tipul:
- CLDAP (Connectionless Lightweight Directory Access Protocol) reflection/amplification: Atacatorii trimit interogări mici către servere CLDAP cu o adresă IP sursă spoofed (cea a organizației atacate), generând răspunsuri în volume mari de date, care copleșesc infrastructura organizației.
- ESP (Encapsulating Security Payload) reflection/amplification: Atacuri care abuzează de protocolul ESP din IPsec pentru a amplifica traficul DDoS prin sisteme greșit configurate/vulnerabile.
Protecție DDoS. Recomandările M247 și Corero pentru diminuarea riscurilor asociate
Atacurile sub 1 Gbps sunt mai greu de detectat, însă mai ușor de lansat și pot degrada mai eficient calitatea generală a serviciilor. Acestea pot afecta funcționarea aplicațiilor, pot suprasolicita firewall-urile sau pot declanșa scalări inutile în mediile cloud. De cele mai multe ori, sunt precursoarele unor atacuri DDoS de dimensiuni mult mai mari.
Pe de altă parte, creșterea frecvenței atacurilor cu trafic de peste 10 Gbps arată că atacatorii compromit tot mai multe dispozitive – routere, echipamente IoT, camere de supraveghere – pe care le încorporează în rețelele de tip botnet. În plus, folosesc mai eficient resursele deja compromise.
Totodată, campaniile DDoS multi-vector devin tot mai sofisticate: atacatorii pot schimba rapid vectorii de atac (de exemplu, alternând SYN floods, DNS amplification sau atacuri ce mimează traficul HTTP) sau pot lansa valuri scurte și intense de trafic de tip microbursts pentru a evita detectarea.
Îți recomandăm opt măsuri de protecție DDoS pe care le poți lua chiar acum:
- Automatizează procesele de detecție, răspuns și mitigare și îmbunătățește detecția astfel încât să poți identifica și anomaliile de scurtă durată și sub pragul de 1Gbps
- Optimizează infrastructura edge pentru a putea absorbi/devia atacuri cu frecvență ridicată și volum redus, fără a consuma resurse interne valoroase
- Reglează pragurile de alertă pentru a include și incidentele cu volum redus
- Înțelege limitele de capacitate ale organizației tale. Ce poate absorbi furnizorul de servicii de internet și ce poate suporta efectiv infrastructura internă sunt lucruri diferite
- Testează eficiența răspunsului la atacuri prin simularea de incidente volumetrice și multi-vector la scară mare
- Folosește telemetria pentru a identifica schimbări rapide (la fiecare 30-60 de secunde) în tipul protocolului, de packet size sau port targeting
- Etichetează și semnalează anomaliile în timp real
- Creează playbook-uri SOC adaptate în funcție de comportamentul atacatorului
Cum te ajută M247?
M247 Global, prin parteneriatul tehnologic cu Corero, oferă o soluție de protecție DDoS enterprise-grade, cu o capacitate de rețea ce depășește 1 Tbps. Soluția asigură protecție personalizată, continuă, cu detectare și răspuns în timp real la o gamă largă de vectori/tipuri de atacuri DDoS, inclusiv UDP flood, SYN flood, ICMP flood și application layer attacks, prevenind astfel întreruperile serviciilor critice și riscurile financiare asociate.
În plus, oferim filtrare inteligentă a traficului pentru a permite doar conexiunile legitime, dar și monitorizarea în timp real a atacurilor și scalabilitate pentru a face față atacurilor de până la 100 Gbps. Asigurând suport 24/7 și conformitate cu standarde internaționale precum GDPR și ISO 27001, M247 protejează continuu afacerile din sectoare precum e-commerce, instituții financiare, gaming, media, sănătate și telecomunicații, garantând continuitatea operațională și reputația brandului, chiar și în fața celor mai sofisticate amenințări DDoS.