Cloudflare Radar 2025: rekordowe DDoS, eksplozja botów AI i era postkwantowa

Cloudflare przetwarza średnio 81 milionów zapytań HTTP na sekundę w ponad 330 centrach danych w 125 krajach. Ta skala daje unikalny wgląd w stan globalnego internetu - i co roku Cloudflare dzieli się tymi obserwacjami w raporcie Radar Year in Review.

Tegoroczna edycja obejmuje dane od 1 stycznia do 2 grudnia 2025 i odsłania trendy, które bezpośrednio wpływają na bezpieczeństwo polskich firm. Jako partner Cloudflare w Polsce, ICWT analizuje najważniejsze wnioski z perspektywy lokalnego rynku.

Najważniejsze liczby raportu Cloudflare Radar 2025

Globalny ruch internetowy wzrósł o 19% rok do roku (vs 17% w 2024)
Rekordowy atak DDoS osiągnął 31,4 Tbps (dla porównania - 5,6Tbps w 2024)
Boty AI stanowią 4,2% całego ruchu HTML
Udział kryptografii postkwantowej skoczył z 29% do 52%
Udokumentowano 174 poważne awarie internetu na świecie
6,2% globalnego ruchu wymagało mitygacji bezpieczeństwa

Internet pod rosnącą presją zagrożeń

Dane z Cloudflare Radar 2025 jednoznacznie pokazują, że tempo wzrostu zagrożeń wyprzedza wzrost samego internetu. Poniżej trzy obszary, które powinny zapalić czerwoną lampkę w każdym polskim SOC.

Rekordowe ataki DDoS - nowa skala zagrożenia

Rok 2025 przyniósł bezprecedensową eskalację ataków wolumetrycznych. Ataki przekraczające 1 Tbps (tzw. hyper-volumetric) pojawiały się regularnie od lipca, gdy odnotowano ponad 500 takich incydentów w jednym miesiącu.

Eskalacja przebiegała lawinowo:

Koniec sierpnia - pierwszy atak przekraczający 10 Tbps
Wrzesień - seria ataków powyżej 20 Tbps
Październik - rekord 29,7 Tbps i 14 Bpps (pakietów na sekundę)
Początek listopada - nowy rekord: 31,4 Tbps

Eskalacja ataków DDoS w 2025 — rekord 31,4 Tbps — Źródło: Cloudflare Radar Year in Review 2025 — radar.cloudflare.com/year-in-review/2025

Globalnie 6,2% całego ruchu internetowego wymagało mitygacji, przy czym w 14 krajach odsetek ten przekraczał 10%. W Gwinei Równikowej aż 40% ruchu było blokowane lub podlegało weryfikacji.

Dla polskich organizacji objętych dyrektywą NIS2 to alarmujący sygnał - atak DDoS paraliżujący usługi jest incydentem wymagającym zgłoszenia, a brak odpowiednich zabezpieczeń może skutkować karami do 10 mln EUR lub 2% rocznego obrotu. Coraz częściej też rozwiązania lokalne nie mają wystarczającej skali aby powstrzymać ataki.

Eksplozja botów AI - niewidzialny ruch zmieniający reguły gry

Jednym z najbardziej przełomowych trendów 2025 roku jest eksplozja ruchu generowanego przez crawlery powiązane ze sztuczną inteligencja. Boty AI stanowiły średnio 4,2% całego ruchu HTML (zakres 2,4–6,4% w ciągu roku), a sam Googlebot - dodatkowe 4,5%.

Aktywność botów AI i crawlerów w 2025 roku — Źródło: Cloudflare Radar Year in Review 2025 — radar.cloudflare.com/year-in-review/2025

Aktywność poszczególnych crawlerów AI w 2025:

GPTBot (OpenAI) - szczytowa aktywność w czerwcu, spadek do poziomu wyjściowego w listopadzie
ClaudeBot (Anthropic) - podwojenie ruchu w H1, spadek w H2
PerplexityBot - wzrost 3,5x do końca roku
ChatGPT-User - wzrost 16-krotny, wyraźny wzorzec tygodniowy (praca/szkoła)
Crawlowanie na potrzeby akcji użytkownika (odpowiedzi chatbotów, agentowe przeglądanie) wzrosło 15-krotnie

Szczególnie wymowny jest stosunek crawl-to-refer, czyli ile razy bot odwiedza stronę vs ile ruchu odsyła z powrotem:

Anthropic: od 25 000:1 do 100 000:1 crawli na jedno odesłanie
OpenAI: do 3 700:1
Perplexity: 100:1 do 700:1
Google: 3:1 do 30:1

Firmy AI masowo konsumują treści, niemal nic nie oddając w postaci ruchu referencyjnego. Dla wydawców i firm z wartościowym contentem, w tym polskich - to realne straty biznesowe.

Chmura publiczna jako platforma startowa ataków

Stany Zjednoczone odpowiadają za 40% globalnego ruchu botów (wzrost o 5 pp. rok do roku). Główne platformy chmurowe są preferowanym źródłem złośliwego ruchu:

AWS: 14,4% ruchu botów (dwa ASN-y łącznie)
Google Cloud: 9,7%
Microsoft Azure: 5,5%

Wszystkie trzy platformy zanotowały wzrost udziału w porównaniu z 2024. Atakujący coraz częściej wynajmują zasoby chmurowe do generowania złośliwego ruchu - tanie, skalowalne i trudne do zablokowania bez analizy behawioralnej.

Pochodzenie ruchu botów według krajów w 2025 — Źródło: Cloudflare Radar Year in Review 2025 — radar.cloudflare.com/year-in-review/2025

Najczęściej atakowanym sektorem w 2025 nie były banki ani e-commerce, ale organizacje z kategorii „People and Society" - instytucje religijne, organizacje non-profit, biblioteki. W szczycie (lipiec) sektor ten stanowił 23,2% mitygowanego ruchu globalnie.

Jak Cloudflare odpowiada na te zagrożenia

Dane z raportu Radar nie są tylko statystyką - za każdą liczbą stoi konkretna technologia ochrony. Cloudflare operuje jedną z największych sieci edge na świecie i aktywnie rozwija narzędzia, które neutralizują opisane zagrożenia.

Globalna sieć edge jako autonomiczna tarcza

Sieć Cloudflare - 330+ miast, 125+ krajów - to nie CDN w tradycyjnym rozumieniu. Każdy punkt obecności (PoP) autonomicznie mityguje ataki w czasie poniżej 3 sekund, bez przesyłania ruchu do centralnego scrubbing center. W Polsce aktualnie znajduje się kilka datacenter Cloudflare, zlokalizowanych w Warszawie i Wrocławiu.

W lipcu 2025, gdy pojedyncza kampania DDoS wywołała globalny skok mitygowanego ruchu, sieć Cloudflare absorbowała atak bez wpływu na wydajność chronionych stron. To zasadnicza różnica w porównaniu z lokalnymi urządzeniami anty-DDoS, które przy atakach >1 Tbps są po prostu bezużyteczne - łącze zostaje nasycone, zanim sprzęt zdąży zareagować.

Kryptografia postkwantowa - przyszłość, która już działa

Jednym z najbardziej optymistycznych trendów roku jest adopcja kryptografii postkwantowej:

Globalny udział wzrósł z 29% (styczeń) do 52% (grudzień 2025)
28 krajów podwoiło swój udział w ruchu postkwantowym
Portoryko: skok z 20% do 49%; Kuwejt: z 13% do 37%

Adopcja kryptografii postkwantowej — wzrost z 29% do 52% — Źródło: Cloudflare Radar Year in Review 2025 — radar.cloudflare.com/year-in-review/2025

Kluczowym katalizatorem była premiera iOS 26 we wrześniu z automatyczną wymianą kluczy kwantowo-odpornych - udział iOS w ruchu postkwantowym skoczył z poniżej 2% do 25% w ciągu kilku tygodni.

Cloudflare był jednym z pierwszych dostawców, który wdrożył post-quantum TLS, umożliwiając klientom ochronę przed przyszłymi atakami komputerów kwantowych bez zmian w konfiguracji. Dla polskich firm to gotowe zabezpieczenie na lata - wystarczy być za Cloudflare.

RPKI - cicha rewolucja w bezpieczeństwie routingu

Bezpieczeństwo trasowania BGP (Resource Public Key Infrastructure) to często pomijany, ale krytyczny element ochrony. Bez RPKI atakujący może przejąć ruch, przekierowując go przez złośliwe sieci.

Udział poprawnie zwalidowanych tras IPv4 wzrósł z 50% do 53,9%
Walidowane trasy IPv6: 60,1% (+4,7 pp.)
W ciągu 5 lat (2020–2025) liczba tras chronionych RPKI wzrosła 3-krotnie

Cloudflare waliduje RPKI na swoich routerach brzegowych i odrzuca nieautoryzowane ogłoszenia tras, chroniąc ruch klientów przed hijackingiem BGP.

Bezpieczeństwo email - ponad 5% wiadomości to zagrożenia

Cloudflare Area 1 Email Security klasyfikuje ponad 5% analizowanych wiadomości email jako złośliwe. Dominujące techniki:

Linki phishingowe - najczęstszy wektor
Podszywanie się pod nadawcę (identity deception)
Imitacja znanych marek (brand impersonation)

Szczególnie niebezpieczne okazały się domeny TLD .christmas i .lol - niemal cały ruch z tych domen to spam lub malware. To ważna wskazówka dla administratorów konfigurujących filtry.

Rezultat: Kluczowe trendy 2025 i wnioski dla polskich firm

Internet rośnie szybciej niż kiedykolwiek

Globalny ruch internetowy wzrósł o 19%, przyspieszając względem ubiegłorocznych 17%. Wzrost akcelerował od sierpnia, napędzany m.in. ekspansją Starlink (ruch 2,3x, usługi w 20+ nowych krajach) i rosnącą cyfryzacją.

Wzrost globalnego ruchu internetowego w 2025 roku — wykres Cloudflare Radar — Źródło: Cloudflare Radar Year in Review 2025 — radar.cloudflare.com/year-in-review/2025

Botswana - rekordowy wzrost 298% ponad baseline
Starlink: Benin 51x wzrost, Timor Wschodni 19x, Botswana 16x
Googlebot generuje 28% całego ruchu zweryfikowanych botów; GPTBot OpenAI jest drugi z ~7,5%

Mobile dominuje, HTTP/3 rośnie wolno

Ruch mobilny: 43% globalnego ruchu (vs 41% w 2024), 117 krajów z dominacją mobile
HTTP/3: 21% ruchu globalnie - wolny ale stabilny wzrost; 15 krajów przekroczyło 33% (lider: Gruzja z 38%)
IPv6: 29% globalnie (+1 pp.); lider: Indie z 67%. Belize zaskoczył skokiem z 4,3% do 24%
iOS: 35% ruchu mobilnego (wzrost o 2 pp.); Android: 65%. Monaco z 70% udziałem iOS - najwyższym na świecie

174 poważne awarie - internet nie jest niezawodny

Awarie i przerwy w dostępie do internetu w 2025 roku — Źródło: Cloudflare Radar Year in Review 2025 - radar.cloudflare.com/year-in-review/2025

W 2025 Cloudflare udokumentowało 174 poważne awarie internetu. Niemal połowa była wynikiem celowych wyłączeń rządowych - Irak, Syria, Sudan (egzaminy), Tanzania (protesty), Afganistan (decyzja Talibów o odcięciu światłowodów).

Przyczyny infrastrukturalne to głównie uszkodzenia kabli podmorskich i lądowych (USA, RPA, Pakistan, Haiti, Hongkong) oraz pożary infrastruktury telekomunikacyjnej (Kair). Jamajka straciła łączność na ponad tydzień po Huraganie Melissa.

Lekcja dla polskich firm: planowanie disaster recovery musi uwzględniać scenariusze utraty łączności, nie tylko awarii serwera.

Technologie webowe i automatyzacja API

Raport ujawnia istotne zmiany w ekosystemie technologicznym:

WordPress: spadek do 47% wśród top 5 000 domen (trend spadkowy kontynuuje)
Go i Python zdominowały automatyczne klienty API (20% i 17%), wyprzedzając Node.js
Google: 89,5% udziału w rynku wyszukiwarek globalnie; w Rosji Yandex wciąż na 65%
Chrome: 66% globalnie; Safari dominuje na iOS (79%), Yandex Browser walczy z Chrome w Rosji

Rekomendacje ICWT dla polskich organizacji

Na podstawie danych Cloudflare Radar 2025, jako partner Cloudflare w Polsce formułujemy sześć priorytetowych rekomendacji:

Ochrona DDoS Always-On - przy 89% ataków trwających poniżej 10 minut, reakcja manualna jest nieskuteczna. Potrzebna jest autonomiczna mitygacja na edge, która reaguje w sekundach, nie minutach.
Zarządzanie ruchem botów AI - skonfigurowanie robots.txt, wdrożenie Cloudflare Bot Management i polityk rate-limitingu dla crawlerów AI to dziś konieczność, nie opcja. Niekontrolowane crawlowanie generuje koszty i kradnie treści.
Adopcja kryptografii postkwantowej - Cloudflare oferuje post-quantum TLS domyślnie. Warto upewnić się, że wewnętrzne systemy i aplikacje klienckie wspierają nowe algorytmy, zanim komputery kwantowe staną się realnym zagrożeniem.
Walidacja RPKI u operatora - weryfikacja, że dostawca łączności poprawnie waliduje trasy BGP. Cloudflare odrzuca nieautoryzowane ogłoszenia - ale tylko jeśli ruch dociera do sieci Cloudflare.
Wielowarstwowa ochrona email - wdrożenie DMARC, SPF, DKIM oraz rozwiązań filtrujących (Cloudflare Area 1). Przy 5%+ złośliwych wiadomości to kwestia czasu, nie prawdopodobieństwa.
Compliance NIS2 - dokumentacja zabezpieczeń anty-DDoS, procedury zgłaszania incydentów i plan ciągłości działania jako formalny element zgodności regulacyjnej.

Metodologia i pełny raport

Raport Cloudflare Radar Year in Review 2025 opiera się na danych z globalnej sieci Cloudflare za okres 1 stycznia – 2 grudnia 2025. Baseline do obliczania wzrostu to średni dzienny wolumen ruchu z tygodnia 12–18 stycznia 2025.

Pełna interaktywna wersja raportu z możliwością filtrowania po 200+ krajach i regionach dostępna jest na stronie Cloudflare Radar Year in Review 2025.

Oryginalny wpis na blogu Cloudflare z komentarzem autora (David Belson) dostępny jest jako The 2025 Cloudflare Radar Year in Review.

ICWT - Twój partner Cloudflare w Polsce

Dane z raportu Cloudflare Radar 2025 potwierdzają, że skuteczna ochrona wymaga nie tylko technologii, ale i poprawnego wdrożenia. Domyślna konfiguracja to za mało - przy atakach przekraczających 31 Tbps liczy się każdy detal architektury bezpieczeństwa.

Jako autoryzowany partner Cloudflare w Polsce, ICWT łączy globalną technologię z lokalnym doświadczeniem. Posiadamy dedykowany zespół inżynierów i doświadczenie przy największych wdrożeniach w Polsce. Skontaktuj się z nami, aby omówić bezpieczeństwo Twojej infrastruktury.