Глобальна інфраструктура мереж знову випробувана на міцність: за даними Cloudflare, компанія відбила найпотужнішу на сьогодні DDoS‑атаку з піковою смугою 22,2 Тбіт/с та інтенсивністю 10,6 млрд пакетів/с. Лише три тижні тому фіксувався попередній максимум у 11,5 Тбіт/с — показник ескалації загрози.
22,2 Тбіт/с і 10,6 млрд pps: масштаб у цифрах і наслідках
Тривалість інциденту склала близько 40 секунд, але короткочасність компенсувалася екстремальними піками. Для розуміння масштабу: такий трафік співмірний із одночасною передачею приблизно мільйона 4K‑стримів, тоді як 10,6 млрд pps — це ніби кожен мешканець планети оновлював веб‑сторінку більш ніж раз на секунду. Для операторів це означає негайне перевантаження каналів і пограничних маршрутизаторів, особливо там, де застосовуються stateful‑фільтри.
Ймовірне походження: ботнет AISURU і масові IoT‑компрометації
Cloudflare не розкриває деталей останніх інцидентів. Водночас дослідники Qianxin Xlabs раніше пов’язували атаку на 11,5 Тбіт/с із ботнетом AISURU. За їхніми оцінками, AISURU контролює понад 300 000 пристроїв у світі, а різкий приріст вузлів стався у квітні 2025 року після компрометації сервера оновлень маршрутизаторів Totolink.
Інфраструктура AISURU експлуатує вразливості в IP‑камерах, DVR/NVR, обладнанні на чипах Realtek, а також у маршрутизаторах різних брендів, зокрема T‑Mobile, Zyxel, D‑Link і Linksys. Це класична модель IoT‑ботнетів: широка площа атаки, застарілі прошивки та слабка дисципліна оновлень.
Чому сучасні DDoS коротші, але жорсткіші
Тактика коротких burst‑ударів підвищує шанс вивести сервіс із ладу до того, як автоматичні засоби захисту встигнуть відрегулювати фільтри. Ключовий параметр тут — pps (пакети за секунду). Для L3/L4‑флудів (UDP/TCP‑flood) мета — виснаження ресурсів мережевого стеку та пристроїв обробки пакетів, а не лише пропускної здатності каналу.
Burst‑тактика та вікно реагування
Коли pps зростає на порядки, навантаження на таблиці станів, CPU маршрутизаторів і міжмережевих екранів стрімко підскакує. Навіть великі мережі отримують пікові «шипи» на пограничних вузлах, і будь‑яка затримка в активації scrubbing або маршрутної фільтрації збільшує ризик відмови сервісів.
Практичні кроки захисту від DDoS для бізнесу
Підключайте хмарну анти‑DDoS‑фільтрацію з Anycast. Глобальний розподіл трафіку та динамічні сигнатури дають змогу згладжувати короткі піки. Важливо забезпечити автоматичне вмикання scrubbing‑центру без участі оператора.
Координуйтеся з аплінком і провайдером зв’язку. Застосовуйте ACL/flowspec на аплінку, RTBH/blackhole для явно шкідливих напрямів і BGP‑анонси до центрів очистки, щоб розвантажити «останню милю» та пограничні маршрутизатори.
Зменшуйте площу атаки на периметрі та в IoT. Своєчасно оновлюйте прошивки, вимикайте зайві сервіси (наприклад, UPnP), застосовуйте сильні паролі й MFA, сегментуйте IoT‑мережі та ізолюйте керовані пристрої.
Будьте готові: тренування та телеметрія. Регулярні навчання, актуальні runbook’и, визначені SLO/SLI, а також повна видимість через NetFlow/sFlow прискорюють ідентифікацію векторів і корекцію фільтрів.
Захист рівня L7. Додавайте WAF, rate limiting і контроль ресурсів застосунка, щоб відбивати HTTP‑флуди та атаки на виснаження на рівні бізнес‑логіки.
Рекордні 22,2 Тбіт/с і 10,6 млрд pps підтверджують: можливості зловмисників зростають завдяки масовим IoT‑ботнетам і автоматизованим інструментам. Організаціям варто проактивно оцінити власні ризики, провести навантажувальні тести та оновити плани реагування на DDoS. Чим швидше вмикаються механізми фільтрації та координації з провайдерами, тим нижчі шанси на простій і фінансові втрати.
