Cloudflare повідомила про нейтралізацію найпотужнішої на сьогоднішній день DDoS‑атаки. Зафіксовано пік у 11,5 Тбіт/с та до 5,1 млрд пакетів за секунду (pps). Інцидент тривав близько 35 секунд і мав характер «ударного» гіпероб’ємного сплеску, спрямованого на вичерпання пропускної здатності та ресурсів мережевої обробки рівнів L3/L4.
Рекордні метрики: 11,5 Тбіт/с та 5,1 млрд pps
Атака була побудована як UDP‑флуд — масований потік пакетів без встановлення з’єднання, який перевантажує канали та мережеве обладнання. Показник у 5,1 млрд pps свідчить про екстремальний тиск на стек протоколів і маршрутизатори, тоді як 11,5 Тбіт/с демонструє масштаб спроби забити аплінки та канали передачі даних.
Чому Tbps і pps критичні для DDoS‑захисту
У контексті DDoS, Tbps вимірює сукупний обсяг трафіку й вплив на пропускну здатність, тоді як pps визначає інтенсивність обробки пакетів мережевими пристроями та балансувальниками. Високе pps здатне швидко виснажити CPU, таблиці станів і фільтри навіть за відносно помірного бітрейту. У цьому інциденті обидві метрики одночасно досягли екстремальних значень, що робить атаку особливо небезпечною.
Джерела трафіку: хмарні середовища та IoT‑провайдери
За даними Cloudflare, значна частина трафіку надходила з інфраструктури хмарних та IoT‑провайдерів, серед яких згадано Google Cloud. Такий профіль підтверджує сталу тенденцію: зловмисники комбінують ресурси скомпрометованих «розумних» пристроїв і орендованих інстансів у публічних хмарах, швидко масштабуючи пропускну здатність і скорочуючи час підготовки атак.
Короткі «hit‑and‑run» сплески як тактика
Тривалість близько 35 секунд відповідає тактиці hit‑and‑run: короткі пікові хвилі складно детектувати та відсікати традиційними засобами без постійного периметрового екранування на базі Anycast і автоматичного скраббінгу. Окрім відмови в обслуговуванні, такі атаки часто перевіряють пороги SLA і швидкість реакції засобів захисту.
Еволюція масштабу DDoS: новий стрибок від попередніх рекордів
Це вже третє значне підвищення пікових значень за короткий період: у січні 2025 року фіксувалося 5,6 Тбіт/с, у червні 2025‑го — 7,3 Тбіт/с. Нинішній рубіж у 11,5 Тбіт/с демонструє прискорення зростання та зменшення інтервалів між новими рекордами. У подібних інцидентах протягом лічених десятків секунд передаються десятки терабайтів даних, що підкреслює потенціал сучасних ботнетів і зловживання хмарними ресурсами.
Практичні висновки та рекомендації з кіберзахисту
Ефективна протидія UDP‑флудам вимагає поєднання Anycast‑архітектури, автоматичного скраббінгу трафіку, адаптивних політик rate‑limit та глибокої телеметрії для раннього виявлення сплесків. За повідомленням Cloudflare, їхні системи щоденно поглинають сотні гіпероб’ємних атак, що підтверджує важливість масштабованої та розподіленої оборони. Галузеві звіти провідних організацій з кібербезпеки також наголошують: видимість на рівні pps і коректна маршрутизація до центрів очищення є визначальними.
Організаціям доцільно: 1) узгодити з провайдером маршрутизацію через scrubbing centers і готовність до BGP‑анонсів під час перевантажень; 2) впровадити BCP 38 / uRPF для протидії підміні джерельних IP; 3) за замовчуванням обмежити або фільтрувати нестратегічні UDP‑сервіси за портами та протоколами; 4) закласти резерв пропускної здатності та контрактні SLA на митигування; 5) налаштувати телеметрію pps/Tbps з порогами тривог для «ударних» сценаріїв тривалістю в десятки секунд.
Для багаторівневої оборони корисні ізоляція критичних сервісів за проксі з anycast‑рознесенням, сегментація за зонами відмовостійкості, регулярні «ігри хаосу» та навчальні DDoS‑drills із вимірюванням часу виявлення й перемикання маршрутів. Компаніям, що активно використовують хмару й IoT, варто проводити періодичні аудити облікових записів і політик egress‑фільтрації, аби власні ресурси не стали частиною ботнет‑інфраструктури.
Гіпероб’ємні DDoS‑атаки стискають «вікно реагування» до секунд. Інцидент із 11,5 Тбіт/с — сигнал для перегляду планів реагування, перевірки наявності маршрутів до скраббінг‑центрів і впровадження моніторингу pps/Tbps. Чим раніше зафіксовано сплеск і активовано фільтри, тим вища ймовірність зберегти доступність сервісів і виконати SLA — варто діяти проактивно вже сьогодні.
