Cloudflare сообщила о нейтрализации самой мощной на сегодня DDoS-атаки: пиковая полоса достигла 22,2 Тбит/с, а интенсивность — 10,6 млрд пакетов в секунду (pps). Всего три недели назад компания фиксировала предыдущий антирекорд 11,5 Тбит/с, что указывает на ускоряющуюся эскалацию DDoS-угроз в глобальном масштабе.
Рекордные показатели трафика: что означают 22,2 Тбит/с и 10,6 млрд pps
Атака продолжалась около 40 секунд, однако кратковременность компенсировалась экстремальными пиковыми значениями. По оценкам, такой объем трафика сопоставим с одновременной трансляцией порядка миллиона 4K‑видео, а 10,6 млрд pps — словно каждый житель планеты обновлял веб‑страницу более одного раза в секунду. Для операторов сетей это означает мгновенную перегрузку канала и сетевого оборудования, особенно на пограничных маршрутизаторах и системах stateful‑фильтрации.
Что известно об источнике атак: роль ботнета AISURU
Cloudflare воздерживается от раскрытия деталей о последних двух инцидентах. Вместе с тем исследователи Qianxin Xlabs связывали атаку мощностью 11,5 Тбит/с с ботнетом AISURU. По их данным, AISURU скомпрометировал свыше 300 000 устройств по всему миру, а резкий прирост ботнет‑узлов пришёлся на апрель 2025 года после компрометации сервера обновлений маршрутизаторов Totolink.
Исследования указывают, что AISURU эксплуатирует уязвимости в IP‑камерах, DVR/NVR, компонентах на базе чипов Realtek, а также в маршрутизаторах ряда брендов, включая T‑Mobile, Zyxel, D‑Link и Linksys. Подобный профиль соответствует типичной модели IoT‑ботнетов: широкая поверхность атаки, массовые компрометации через устаревшие прошивки и слабые политики обновлений.
Почему DDoS становится короче, но мощнее
Смещение тактики в сторону коротких «взрывных» (burst) атак повышает вероятность выведения сервисов из строя до того, как автоматические контрмеры успеют скорректировать фильтры. Показатель pps особенно критичен для L3/L4‑флудов (UDP/TCP‑flood), где цель — истощение ресурсов сетевого стека и устройств, а не только пропускной способности канала. В результате даже крупные сети испытывают пиковую нагрузку на маршрутизаторы, таблицы состояния и межсетевые экраны.
Практические меры защиты для организаций
Подключить облачную анти‑DDoS‑фильтрацию с anycast. Распределение трафика по глобальной сети очистки и динамические сигнатуры позволяют удерживать даже кратковременные пики. Критично обеспечить автоматическое включение «scrubbing» без участия оператора.
Скоординировать фильтрацию с провайдером связи. ACL/flowspec на аплинке, «blackhole» для явно вредоносных направлений и BGP‑анонсы к центрам очистки снижают риск перегрузки последней мили.
Минимизировать уязвимость периметра. Актуализировать прошивки сетевого и IoT‑оборудования, отключать неиспользуемые сервисы (например, UPnP), применять строгие политики паролей. IoT‑сегментация и изоляция управляемых устройств сокращают поверхность атаки.
Готовность и тесты. Регулярные учения, проверка runbook’ов и SLO/SLI для инцидентов DDoS ускоряют реакцию. Логи и телеметрия (NetFlow/sFlow) необходимы для быстрой атрибуции вектора и корректировки фильтров.
Защита L7. Хотя описанный инцидент носил преимущественно сетевой характер, стоит дополнить периметр WAF и ресурсными лимитами на уровне приложений для отражения HTTP‑флудов и атак на истощение.
Рекорд 22,2 Тбит/с подтверждает: арсенал злоумышленников расширяется за счёт массово скомпрометированных IoT‑устройств и автоматизированных ботнетов. Усиление пиковых мощностей и рост pps требуют от бизнеса упреждающих мер — от подключения облачных сервисов очистки до дисциплины обновлений и сегментации IoT. Стоит оценить собственные риски, провести нагрузочные тесты и убедиться, что планы реагирования на DDoS актуальны. Чем быстрее включаются механизмы фильтрации, тем ниже вероятность простоя и финансовых потерь.