Кіберзлочинці продовжують підвищувати ставки: Cloudflare повідомила про нейтралізацію найпотужнішої на сьогодні гіпероб’ємної DDoS‑атаки з піковою пропускною здатністю 11,5 Тбіт/с та інтенсивністю до 5,1 млрд пакетів за секунду (pps). Інцидент був коротким, але надзвичайно концентрованим — близько 35 секунд — і використовував UDP‑флуд як основний вектор впливу.
Рекордний обсяг і тактика: UDP‑флуд, коротка тривалість, розподілені джерела
За останні тижні інфраструктура Cloudflare відбила сотні надпотужних сплесків трафіку, серед яких зафіксовано пік у 11,5 Тбіт/с. UDP‑флуд не потребує встановлення стану з’єднання, тому пакети простіше генерувати і важче фільтрувати на лінії. Це одночасно перевантажує канали зв’язку та плоскость обробки мережевого обладнання.
Трафік надходив із підмереж низки хмарних та IoT‑провайдерів; серед виявлених джерел згадується й Google Cloud. Компанія анонсувала розгорнутий технічний звіт із додатковими деталями інциденту.
bps проти pps: різні метрики — різні ризики
Показник bps (біти за секунду) відображає здатність атаки забити канал — тобто наситити пропускну спроможність провайдера або дата‑центру. Натомість pps (пакети за секунду) характеризує навантаження на площину обробки: CPU, таблиці станів, черги та ACL/фільтри на маршрутизаторах і серверах.
Поєднання високих bps і pps означає спробу одночасно вичерпати ресурс каналу і перевантажити мережеву логіку. Саме такий профіль спостерігався під час атак на Cloudflare, що ускладнює класичні схеми фільтрації та вимагає багаторівневого захисту.
Звідки береться трафік: роль хмар і IoT‑екосистем
Хмарні ресурси як мультиплікатор потужності
Компрометовані або неправильно сконфігуровані облікові записи у публічних хмарах дають зловмисникам доступ до значних обчислювальних і мережевих ресурсів. Глобальна присутність дата‑центрів дозволяє формувати короткі, але руйнівні піки з різних регіонів, ускладнюючи географічну кореляцію і блокування.
IoT‑ботнети та рефлективно‑ампліфікаційні зв’язки
Масові IoT‑ботнети зі слабкою аутентифікацією та застарілими прошивками забезпечують високу pps‑компоненту. У поєднанні з рефлективно‑ампліфікаційними схемами через уразливі UDP‑сервіси (DNS, NTP тощо) це дає як високі pps, так і bps, підвищуючи загальну руйнівність атаки.
Динаміка 2025: прискорення рекордів і навантаження на оборону
У червні 2025 року Cloudflare вже фіксувала пік у 7,3 Тбіт/с проти неназваного хостинг‑провайдера — це на 12% більше попереднього січневого максимуму 5,6 Тбіт/с. Тоді за 45 секунд було передано близько 37,4 ТБ даних — обсяг, співмірний із тисячами годин HD‑відео.
За даними звітності Cloudflare за перший квартал 2025 року, за попередній рік компанія відбила близько 21,3 млн DDoS‑атак проти клієнтів і понад 6,6 млн атак на власну інфраструктуру. Це свідчить про зростання частоти, автоматизації та використання масштабованих хмарних потужностей в арсеналі атакувальників.
Практики протидії: архітектура, процеси, телеметрія
Розподілена мережна архітектура: застосовуйте Anycast для розсіювання пікових навантажень, використовуйте провайдерів зі скруббінг‑центрами та глобальну кореневу фільтрацію трафіку.
Автоматична фільтрація: впроваджуйте rate limiting, виявлення аномалій за сигнатурами й поведінковими профілями, жорстко обмежуйте доступ за протоколами та портами, пріоритезуйте критичні сервіси.
Маршрути митигування: готуйтеся до BGP blackholing/RTBH, узгодьте сценарії перенаправлення трафіку з провайдерами та протестуйте процедури ескалації.
Гігієна UDP‑сервісів: закрийте невикористовувані порти, обмежте відповіді, скоригуйте конфігурації серверів; вимагайте від провайдерів фільтрації вихідного трафіку за BCP 38/84, щоб зменшити спуфінг.
Підготовка і контроль: ведіть інвентаризацію активів, регулярно проводьте стрес‑тести і навчання за плейбуками інцидент‑респонсу, моніторте pps/bps у реальному часі з автоматичними тригерами.
Нова позначка у 11,5 Тбіт/с підтверджує тренд на короткі, але екстремально потужні DDoS‑імпульси. Компаніям варто переглянути моделі загроз, перевірити SLA та плани взаємодії з провайдерами, а також завчасно відпрацювати митигуючі маршрути. Слідкуйте за анонсованим технічним звітом Cloudflare і використайте його висновки, щоб актуалізувати власну стратегію стійкості до гіпероб’ємних атак.
