Неназванный европейский провайдер DDoS‑фильтрации столкнулся с одной из самых интенсивных атак по числу пакетов: пиковая нагрузка достигла 1,5 млрд пакетов в секунду (PPS). По данным FastNetMon, трафик формировался распределённым ботнетом из тысяч скомпрометированных пользовательских устройств, включая IoT‑оборудование и роутеры MikroTik, и поступал из более чем 11 000 уникальных сетей по всему миру.
Что известно об атаке: вектор, масштаб и источники
Основной вектор — UDP‑флуд, нацеленный на исчерпание ресурсов сетевой инфраструктуры и систем фильтрации за счёт лавины мелких пакетов. В отличие от атак, измеряемых в гигабитах/терабитах в секунду, метрика PPS напрямую бьёт по производительности систем обработки пакетов: маршрутизаторы, фаерволы и прокси быстрее достигают пределов таблиц и очередей, что вызывает деградацию сервиса даже при сравнительно умеренной полосе пропускания.
Почему PPS критичнее «битрейта»
Высокий PPS перегружает плоскость передачи и управления сетевых устройств: растут затраты на lookup, растёт нагрузка на CPU/ASIC, активируются механизмы защиты от перегрузки. Для операторов и облачных провайдеров это означает риск отказа inline‑инспекции и сниженной эффективности политик QoS, даже если uplink не насыщен по битам.
Как отражали атаку: фильтрация, ACL и разгрузка трафика
FastNetMon задействовал мощности DDoS‑фильтрации самого клиента и оперативные меры на периметре. Среди них — развёртывание списков контроля доступа (ACL) на пограничных маршрутизаторах, прицельные блоки по признакам злоупотребления и отсечение трафика с известных источников амплификации. Подход позволил локализовать вектор без избыточного «чёрного дыра» для легитимных пользователей.
Тенденции: роль провайдеров и необходимость фильтрации на уровне сети
По оценке экспертов, устойчивость к подобным атакам требует не только периметральных средств заказчика, но и проактивной фильтрации на стороне интернет‑провайдеров (ISP). Ключевые практики — внедрение IETF BCP 38/84 (ingress/egress filtering), упреждающее применение uRPF, а также механизмы RTBH и Flowspec для быстрого «рассечения» вредоносных потоков. Исторически крупные ботнеты на базе потребительских устройств (вспомним Mirai) демонстрируют, что без сетевой гигиены на уровне операторов домашние роутеры и IoT‑платформы легко превращаются в «пушку» массового поражения.
Второй эпизод: почти идентичный масштаб и признаки вымогательства
FastNetMon отметил близкий по параметрам инцидент — около 1,49 млрд PPS против другого поставщика DDoS‑услуг в Восточной Европе. По совокупности индикаторов специалисты допускают, что речь шла о том же ботнете; пострадавшая сторона получила письмо с вымогательскими требованиями. Это укладывается в текущий тренд, когда DDoS сопровождается шантажом (RDDoS), а мотивация смещается от «шумовых» атак к экономическому давлению.
Что делать операторам и предприятиям
Операторам связи: обеспечить повсеместное включение BCP 38/uRPF, использовать RTBH и Flowspec для оркестрации сетевой митиграции, поддерживать профили экономии CPU на граничных ASIC (ACL с ранним дропом, полисинг на входе), автоматизировать обмен индикаторами с партнёрами (команды CSIRT/ISAC).
Провайдерам DDoS‑защиты: готовить профили на высокие PPS, оптимизировать таблицы состояний, доводить фильтры до нулевых копий (zero‑copy/DPDK), выносить инспекцию на специализированные узлы и выполнять стресс‑тесты по реальным шаблонам UDP‑флудов.
Корпоративным ИТ‑командам: обновлять прошивки роутеров и IoT‑устройств (включая MikroTik), закрывать ненужные UDP‑сервисы и UPnP, применять rate‑limit и списки разрешённых источников, использовать облачные scrubbing‑центры и заранее отработанные runbook’и эскалации.
Масштаб в 1,5 млрд PPS подчёркивает сдвиг в тактиках злоумышленников: ставка делается на истощение систем обработки пакетов и распределённость источников. Чем раньше провайдеры внедрят обязательную фильтрацию исходящего трафика и механизмы быстрой изоляции аномалий, тем меньше шансов у ботнетов, собранных из бытовых устройств. Организациям стоит пересмотреть готовность к PPS‑ориентированным сценариям и укрепить совместные каналы взаимодействия с операторами и поставщиками DDoS‑защиты.
