Атака DDoS на 7.3 Тбіт/с: понад 37 ТБ шкідливого трафіку

Масштабні атаки типу «відмова в обслуговуванні» (DDoS) продовжують зростати. 20 червня 2025 року постачальник інтернет-безпеки та продуктивності Cloudflare повідомив про безпрецедентну атаку, що досягла піку в 7,3 терабіта на секунду (Tbps). За лічені 45 секунд обсяг шкідливого трафіку перевищив 37,4 терабайта, що еквівалентно понад 7 500 годин потокового HD-видео або завантаженню більше 9 300 повнометражних HD-фільмів.

Рекордні обсяги та складові векторів

Дані телеметрії Cloudflare показали, що зловмисники націлилися на одну IP-адресу, що належить клієнту, без розбору заполоняючи 34 500 портів призначення. В середньому, майже 22 000 портів за секунду піддавалися атакам, що підкреслює методичний підхід до організації цього нападу.

Механізм UDP-флуду

Більшість трафіку, понад 99,9 відсотків, складалася з необроблених пакетів протоколу User Datagram Protocol (UDP). Безпідключна природа UDP, яка не передбачає тривалої ручної аутентифікації та перевірок надійності, робить його ідеальним для атак з високою пропускною здатністю. Надсилаючи величезні обсяги UDP-датаграм на випадкові або специфічні порти, зловмисники змушували сервер відповідати повідомленнями про недоступність портів, заповнюючи як мережеві канали, так і ресурси процесора сервера.

• Протокол синхронізації часу в мережі (NTP): Використовується через високий коефіцієнт посилення до 556×.
• Протокол «Цитата дня» (UDP порт 17): Повертає короткі текстові відповіді, що використовується для низьколатентного посилення.
• Протокол еха (UDP порт 7): Відображає отримані дані, подвоюючи обсяг трафіку.
• Служби Portmapper (RPC): Виявляє мережеві ресурси, що дозволяє подальше посилення.

Техніки відображення та посилення

Лише незначна частина (0,004 відсотка) нападу використовувала рефлексивні атаки. Підробляючи IP-адресу жертви, зловмисники спрямовували сторонні сервери на надсилання посилених відповідей на ціль. Такі методи множать обсяг трафіку, приховуючи справжнє джерело, ускладнюючи його нейтралізацію.

“Ця атака підкреслює критичну необхідність для операторів мережі вимкнути невикористовувані UDP-сервіси та впровадити фільтрацію вхідного трафіку (BCP 38),” зазначила Саллі Рівера, провідний інженер з безпеки в Arbor Networks.

Еволюція ботнетів і безпека IoT

Cloudflare пов’язує цю атаку з ботнетами на основі Mirai — мережами скомпрометованих IoT-пристроїв, таких як домашні маршрутизатори, IP-камери та DVR. Від моменту появи Mirai у 2016 році, наступні варіанти розширили списки цілей і поліпшили поширення, часто експлуатуючи стандартні облікові дані. За останніми дослідженнями Центру стратегічного кіберпростору, понад 80 мільйонів IoT-пристроїв залишаються вразливими через неоновлене програмне забезпечення та неналежну гігієну облікових даних.

Вплив на індустрію та стратегії нейтралізації

Недавні резонансні інциденти DDoS, такі як атака Eleven11bot від Nokia, що досягла 6,5 Tbps у березні, та атака на KrebsOnSecurity в травні, що становила 6,3 Tbps, спонукали постачальників послуг посилити свої захисти. Основні заходи для протидії включають:

1. Архітектура Anycast: Розподіляє трафік між глобальними дата-центрами, зменшуючи обсяги атак.
2. Центри очищення трафіку: Перенаправляють підозрілий трафік через спеціалізовані пристрої для реального часу перевірки та фільтрації.
3. Виявлення аномалій на основі машинного навчання: Визначає патерни атак, аналізуючи базові показники трафіку та підписи навантаження.
4. Обмеження швидкості та сірий список: Тимчасово зменшує або затримує трафік з невідомих джерел.

Перспективи та колективна оборона

Зі зростанням обсягів трафіку до порогу 10 Tbps, ініціативи колективної оборони стають необхідними. Постачальники безпеки досліджують можливості обміну інформацією про загрози на основі штучного інтелекту через протоколи, такі як TAXII та MISP. Регуляторні органи, включаючи FCC та ENISA, виступають за обов’язкове розкриття вразливостей і підвищення стандартів сертифікації IoT.

Оскільки глобальна пропускна здатність Інтернету та потужності бекенду постійно покращуються, захисники повинні випереджати події, автоматизуючи процеси нейтралізації та зміцнюючи міжсекторальні партнерства.