У новому звіті Cloudflare зафіксовано одну з найпотужніших DDoS-атак в історії: ботнет Aisuru досяг пікової інтенсивності 29,7 Тбіт/с. Ця подія демонструє, що гіпероб’ємні DDoS-атаки перестали бути поодинокими інцидентами та перетворюються на системний ризик для глобальної мережевої інфраструктури.
Масштаби ботнета Aisuru та новий рекорд DDoS-атаки
За даними Cloudflare, лише за три місяці Aisuru здійснив понад 1300 DDoS-атак, а з початку року було ідентифіковано 2867 атак, пов’язаних із цим ботнетом. Майже 45% інцидентів потрапили в категорію «гіпероб’ємних» — тобто таких, де трафік перевищує 1 Тбіт/с або 1 млрд пакетів за секунду.
Рекордний епізод припав на III квартал 2025 року, коли потік шкідливого трафіку досяг позначки 29,7 Тбіт/с. Інфраструктурі Cloudflare вдалося успішно фільтрувати та поглинути цей обсяг, однак сам факт такої потужності свідчить про якісне зростання можливостей сучасних ботнетів.
Для Aisuru це не перший рекорд. Раніше Cloudflare вже фіксувала атаку потужністю 22,2 Тбіт/с, а Microsoft повідомляла про DDoS-атаку на Azure із піком до 15,72 Тбіт/с, що генерувався приблизно з 500 000 IP-адрес. Одна з рекордних атак тривала лише 69 секунд, але за цей час зловмисники здійснювали масований UDP flood, створюючи шумовий трафік у середньому на 15 000 портів щосекунди. UDP flood — це метод, коли величезна кількість UDP-пакетів надсилається на різні порти, змушуючи мережеві й серверні ресурси витрачати потужності на обробку непотрібних запитів.
IoT-ботнет Aisuru: як побутові пристрої перетворюються на зброю
Aisuru є показовим прикладом сучасного IoT-ботнета. За оцінками фахівців, його інфраструктура налічує від 1 до 4 мільйонів заражених пристроїв. Переважна частина — це домашні та корпоративні маршрутизатори, а також різноманітні IoT-пристрої: камери відеоспостереження, «розумні» датчики, мережеві сховища та інше обладнання.
Компрометація відбувається здебільшого через відомі вразливості прошивок та слабкі або стандартні паролі, які зловмисники підбирають за допомогою брутфорсу. Багато IoT-пристроїв мають відкритий доступ з інтернету, рідко отримують оновлення безпеки, а виробники нерідко залишають заводські облікові записи. У результаті ці пристрої стають легкою здобиччю для формування масштабних ботнетів.
Botnet-as-a-service: DDoS-атаки «напрокат»
Cloudflare класифікує Aisuru як «ботнет-на-прокат» (botnet-as-a-service). Оператори не обмежуються власними кампаніями: вони здають потужності ботнета іншим злочинним групам. Це істотно знижує поріг входу на ринок DDoS-атак — тепер для запуску гіпероб’ємної атаки не обов’язково будувати власну інфраструктуру.
Через це коло потенційних цілей суттєво розширюється. Під ударом опиняються онлайн-ігрові платформи, хостинг-провайдери, телеком-оператори, фінансові установи, веб-платформи та API-сервіси. Навіть якщо атакують конкретний ресурс, супутнє навантаження часто виводить із ладу суміжну інфраструктуру та канали зв’язку інших учасників екосистеми, провокуючи ланцюгові перебої.
Глобальна статистика гіпероб’ємних DDoS-атак у III кварталі 2025 року
У III кварталі 2025 року Cloudflare зафіксувала 1304 гіпероб’ємні DDoS-атаки. Кількість інцидентів потужністю понад 100 млн пакетів за секунду зросла на 189% порівняно з попереднім кварталом, а число атак, що перевищили 1 Тбіт/с, збільшилося на 227%. Більшість таких атак тривають менше 10 хвилин, проте їхня пікова інтенсивність достатня, щоб спричинити серйозні збої.
У середньому протягом кварталу компанія відбивала близько 3780 DDoS-атак на годину. Основними джерелами шкідливого трафіку стали Індонезія, Таїланд, Бангладеш та Еквадор, тоді як найчастіше атакованими країнами були Китай, Туреччина, Німеччина, Бразилія та США. Масштаб Aisuru настільки значний, що перевантаження магістральних каналів здатне викликати перебої навіть у тих інтернет-провайдерів, які не були прямою ціллю атаки.
Критичність секундних атак: чому тривалість не головне
Експерти Cloudflare підкреслюють, що тривалість DDoS-атаки не завжди відповідає масштабам збитків. Навіть кілька секунд гіпероб’ємного навантаження можуть призвести до падіння критично важливих сервісів. При цьому відновлення інфраструктури часто займає значно більше часу: інженерні команди поетапно повертають сервіси онлайн, перевіряють цілісність даних у розподілених системах, аналізують можливі побічні збої та лише потім відновлюють повноцінне обслуговування клієнтів.
Як захиститися від гіпероб’ємних DDoS-атак: практичні кроки
На тлі зростання потужності ботнетів, подібних до Aisuru, організаціям рекомендується переглянути свої стратегії захисту від DDoS. До ключових заходів належать:
- Використання спеціалізованих DDoS-сервісів з фільтрацією трафіку на стороні провайдера (Cloudflare, аналогічні рішення).
- План реагування на інциденти: регламенти ескалації, контактні особи, сценарії перемикання трафіку та деградації функціоналу.
- Захист IoT та мережевої інфраструктури: відключення віддаленого доступу за замовчуванням, зміна стандартних паролів, регулярне оновлення прошивок, обмеження доступності пристроїв з інтернету.
- Тестування стійкості до перевантаження через стрес-тести та моделювання DDoS-сценаріїв.
Зростання потужності та частоти гіпероб’ємних DDoS-атак, продемонстроване ботнетом Aisuru, показує, що організації більше не можуть покладатися на застарілі моделі периметрового захисту. Інфраструктура, орієнтована на «нормальне» навантаження, вже не відповідає реальному рівню загроз. Компанії, постачальники цифрових послуг і власники критично важливої інфраструктури повинні заздалегідь інвестувати в DDoS-захист, підвищення стійкості мереж і базову гігієну IoT-безпеки, щоб не стати наступною мішенню рекордної атаки.
