Європейський провайдер DDoS‑фільтрації зіткнувся з однією з найінтенсивніших атак за кількістю пакетів: пікове навантаження сягнуло 1,5 млрд пакетів на секунду (PPS). За спостереженнями FastNetMon, трафік генерувався розподіленим ботнетом із тисяч скомпрометованих споживчих пристроїв — від IoT‑обладнання до домашніх роутерів MikroTik — і надходив із понад 11 000 унікальних мереж по всьому світу.
Ключові параметри інциденту: UDP‑флуд та фокус на PPS
Основний вектор — UDP‑флуд, націлений на виснаження ресурсів мережевої інфраструктури за рахунок лавини дрібних пакетів. На відміну від «бітових» атак у Гбіт/Тбіт, метрика PPS визначає, скільки пакетів здатні обробити маршрутизатори, фаєрволи та проксі. Коли PPS злітає, заповнюються таблиці й черги, зростає затримка, а механізми інспекції та QoS деградують навіть за помірної пропускної здатності каналу.
Чому PPS критичніший за бітрейт
Високий PPS перевантажує і плоскость передачі, і плоскость керування: збільшуються витрати на пошук маршрутів, обробку станів і перевірки політик, посилюється навантаження на CPU/ASIC. Як наслідок — спрацьовують захисні обмеження на мережевих пристроях, а інлайн‑фільтрація стає менш ефективною. Для операторів це ризик часткового відмовлення сервісів, навіть якщо аплінк не «забитий» у бітах.
Джерела трафіку: глобальний ботнет IoT та споживчі роутери
Атака використовувала розподілену інфраструктуру з тисяч уражених пристроїв, зокрема MikroTik і різноманітні IoT‑платформи. Географічна розпорошеність (>11 тис. мереж) ускладнила традиційні методи блокування. Історичні прецеденти, як‑от Mirai, підтверджують: без «мережевої гігієни» на рівні провайдерів домашні роутери стають знаряддям масштабних DDoS‑кампаній.
Як відбивали атаку: ACL на периметрі, таргетована фільтрація, усунення ампліфікації
За даними FastNetMon, для пом’якшення наслідків задіяли можливості фільтрації клієнта та оперативні дії на периметрі. Ключові кроки: розгортання списків контролю доступу (ACL) на пограничних маршрутизаторах, прицільні блокування за ознаками зловживання й відсікання трафіку з відомих джерел ампліфікації. Такий підхід дозволив локалізувати вектор без надмірного «blackhole» щодо легітимних користувачів.
Роль провайдерів: BCP 38/84, uRPF, RTBH і Flowspec
Стійкість до PPS‑орієнтованих атак неможлива лише засобами замовника. Потрібна проактивна фільтрація на боці ISP: впровадження рекомендацій IETF BCP 38/84 (ingress/egress‑фільтрація), використання uRPF для перевірки джерела, а також механізмів RTBH і Flowspec для швидкого «розсікання» шкідливих потоків у мережевій магістралі.
Другий епізод і тренд на RDDoS‑вимагання
Зафіксовано подібну за масштабом атаку — близько 1,49 млрд PPS — щодо іншого постачальника DDoS‑послуг у Східній Європі. Сукупність індикаторів вказує на той самий ботнет; постраждала сторона отримала лист із вимогами викупу. Це відповідає тренду RDDoS, коли DDoS супроводжується шантажем і тиском на бізнес‑безперервність.
Практичні кроки для різних сторін
Операторам зв’язку: забезпечити повсюдне BCP 38/84 та uRPF, автоматизувати RTBH/Flowspec для оркестрації митигування, вмикати профілі економії CPU на граничних пристроях (ранній д
