Рекорд гиперобъемных DDoS был обновлен: Cloudflare сообщила о нейтрализации крупнейшего на сегодняшний день штурма с пиковой полосой пропускания 11,5 Тбит/с и интенсивностью до 5,1 млрд пакетов в секунду (pps). По данным компании, атака представляла собой UDP‑флуд и длилась около 35 секунд.
Ключевые детали инцидента: масштаб, тип и источники трафика
По заявлению Cloudflare, за последние недели их инфраструктура отразила сотни гиперобъемных атак, самая мощная из которых достигла отметки 11,5 Тбит/с. Вектор — UDP‑флуд, когда злоумышленники генерируют огромные объемы без установления состояния соединения, что усложняет фильтрацию и перегружает как каналы связи, так и сетевое оборудование.
Трафик поступал из подсетей ряда облачных и IoT‑провайдеров; среди упомянутых источников фигурировал Google Cloud. Cloudflare пообещала опубликовать развернутый отчёт по инциденту, где будут раскрыты дополнительные технические детали.
Что означают цифры: Тбит/с против пакетов в секунду
Метрика «бит в секунду» (bps) отражает полосу и показывает способность атаки насытить канал. Параметр «пакеты в секунду» (pps) важен для оценки нагрузки на плоскость обработки (CPU, таблицы состояний, очереди) сетевых устройств и серверов. Комбинация высоких bps и pps указывает на попытку одновременно «забить» и канал, и вычислительные ресурсы на пути следования трафика.
UDP‑флуды часто используют распределенные источники и могут быть усилены за счет «бесподтвержденной» природы протокола. Хотя конкретные техники этого инцидента ещё не раскрыты, в отрасли распространены связки прямого генеративного трафика из облаков и IoT‑ботнетов, а также рефлективно‑амплификационные схемы через уязвимые UDP‑сервисы.
Контекст 2025: ускорение рекордов и нагрузка на оборону
Ранее, в июне 2025 года, Cloudflare уже фиксировала пик в 7,3 Тбит/с против неназванного хостинг‑провайдера — это на 12% больше январского рекорда 5,6 Тбит/с. Тогда за 45 секунд злоумышленники передали около 37,4 ТБ данных (эквивалент тысяч часов HD‑вещания).
Согласно отчету Cloudflare за первый квартал 2025 года, за предыдущий год компания отразила 21,3 млн DDoS‑атак, нацеленных на клиентов, и свыше 6,6 млн атак на собственную инфраструктуру. Эти цифры подтверждают стабильный рост частоты и мощности кампаний, а также возрастающую роль автоматизации и масштабируемых облачных ресурсов в арсенале атакующих.
Откуда берется такой трафик: роль облаков и IoT
Облачные мощности как рычаг усиления
Злоумышленники используют неправильно сконфигурированные аккаунты и уязвимые сервисы в публичных облаках для генерации чрезвычайно больших объемов трафика. Высокая пропускная способность и глобальная сеть дата‑центров позволяют формировать «короткие, но разрушительные» всплески, затрудняя географическую корреляцию и блокировку.
IoT‑ботнеты и поверхностные защиты
Недорогие IoT‑устройства с устаревшей прошивкой и слабой аутентификацией образуют ботнеты, быстро масштабируемые и трудные для полной деактивации. Они легко комбинируются с облачными источниками, повышая и pps, и bps компонент атаки.
Практики снижения DDoS‑рисков: от архитектуры до процедур
Организациям стоит сочетать сетевую архитектуру и процедуры реагирования:
— Распределенная периметровая фильтрация и Anycast для рассеивания пиков; использование провайдеров со скруббинг‑центрами.
— Аутоматическое rate limiting, фильтрация аномалий по сигнатурам и поведенческим профилям, разграничение по протоколам/портам.
— Готовность к BGP blackholing/RTBH и переносу трафика через отработанные маршруты митигирования.
— Укрепление UDP‑сервисов: закрытие неиспользуемых портов, ограничение ответов, правильная конфигурация серверов; реализация фильтрации исходящего трафика провайдерами (BCP 38/84).
— Инвентаризация активов, стресс‑тесты, плейбуки инцидент‑респонса, регулярные учения и мониторинг метрик pps/bps в реальном времени.
Новый рекорд в 11,5 Тбит/с подтверждает тренд на кратковременные, но крайне мощные DDoS‑импульсы. Компании, зависящие от онлайн‑сервисов, должны пересмотреть профили угроз, проверить планы эскалации с провайдерами и подготовить инфраструктуру к гиперобъемным всплескам. Следите за обещанным техническим отчетом Cloudflare и используйте его выводы для актуализации собственных стратегий защиты.
