Компания Cloudflare сообщила, что в мае 2025 года она ликвидировала рекордную распределенную атаку типа «отказ в обслуживании» (DDoS), которая достигла пика в 7,3 Тбит/с и была направлена на хостинг-провайдера.
DDoS-атаки наводняют цели огромным количеством трафика с единственной целью – перегрузить серверы и вызвать замедление, сбои или перебои в работе сервисов.
Новая атака, на 12% превышающая предыдущий рекорд, всего за 45 секунд передала огромный объем данных в 37,4 ТБ. Это эквивалентно примерно 7 500 часам потокового HD-вещания или 12 500 000 jpeg-фотографий.
Cloudflare, гигант в области веб-инфраструктуры и кибербезопасности, специализирующийся на борьбе с DDoS, предлагает услугу защиты на сетевом уровне под названием «Magic Transit», которой воспользовался целевой клиент.
Атака исходила с 122 145 IP-адресов, расположенных в 161 стране, большинство из которых находились в Бразилии, Вьетнаме, Тайване, Китае, Индонезии и Украине.
Пакеты «мусорных» данных доставлялись через множество портов назначения на системе жертвы, в среднем 21 925 портов в секунду, а пиковая скорость достигала 34 517 портов в секунду.
Такая тактика рассеивания трафика помогает перегрузить брандмауэры и системы обнаружения вторжений, но Cloudflare утверждает, что в конечном итоге смогла справиться с атакой без вмешательства человека.
Сеть anycast компании Cloudflare распределяет трафик атак по 477 дата-центрам в 293 местах, используя такие ключевые технологии, как отпечатки пальцев в реальном времени и сплетни внутри дата-центров для обмена информацией в реальном времени и автоматического составления правил.
Хотя почти весь объем атак был вызван UDP-флудом, составившим 99,996% от общего объема трафика, было задействовано множество других векторов, включая:
- отражение QOTD
- отражение эха
- Усиление NTP
- UDP-флуд ботнета Mirai
- Portmap flood
- Усиление RIPv1
Каждый вектор использовал устаревшие или плохо настроенные сервисы. Хотя это составляло лишь небольшой процент атак, они служили частью стратегии уклонения и эффективности злоумышленников, а также могли помочь обнаружить слабые места и неправильную конфигурацию.
По словам Cloudflare, ценные IoC из этой атаки были своевременно включены в ее DDoS Botnet Threat Feed, бесплатную службу, которая помогает организациям заблаговременно блокировать вредоносные IP-адреса.
Комментарии (0)