В мае 2025 года мир интернет-безопасности столкнулся с новым рекордом — компания Cloudflare успешно заблокировала крупнейшую за всю историю распределённую DDoS-атаку с мощностью 7.3 терабит в секунду. Этот инцидент подтвердил значимость современных технологий защиты и новаторских подходов к безопасности сетевой инфраструктуры. Самая большая DDoS-атака превзошла предыдущие рекорды, а её масштабы и сложность демонстрируют, насколько важно продолжать совершенствовать методы предотвращения подобных угроз для устойчивости и безопасности глобального интернета. DDoS-атаки (Distributed Denial of Service) направлены на перегрузку серверов, сетей или сервисов огромным объёмом трафика, что приводит к отказу в обслуживании для настоящих пользователей.
Такая атака мощностью 7.3 Тб/с означает, что в секунду на целевой объект направляется гигантское количество данных, превышающее возможности многих инфраструктурных площадок и провайдеров услуг. При этом за 45 секунд атаки объем данных достиг 37.4 терабайта, что может быть сравнено с 9350 полными фильмами в формате HD, загружаемыми почти мгновенно. Основной целью атаки стал хостинг-провайдер, который пользуется сервисом Magic Transit от Cloudflare для защиты своего IP-сети.
Magic Transit позволяет ускоренно и эффективно предотвращать DDoS-атаки на сетевом уровне, используя глобальную инфраструктуру Cloudflare и современные алгоритмы фильтрации. Атака была мультивекторной, большинство трафика (около 99.996%) приходилось на UDP-флуд — разновидность направленной атаки с использованием пакетов протокола UDP для перегрузки ресурсов. При этом оставшаяся часть атаки состояла из отражательных и амплификационных векторов, таких как QOTD, Echo, NTP, Portmap, Mirai UDP-флуды и атаки по протоколу RIPv1. Для понимания природы атаки важно разобраться, что такое отражательные и амплификационные DDoS векторы.
Отражательные атаки используют уязвимости старых или неправильно настроенных серверов, которые реагируют на запросы, отправленные с поддельного IP-адреса жертвы. Таким образом злоумышленники используют мощности большого количества таких серверов для усиления трафика атаки. Амплификация заключается в том, что ответ сервера значительно превышает размер отправленного запроса, что критически увеличивает общий объем вредоносного трафика. Протоколы, задействованные в таких атаках, включают устаревшие или плохо защищённые сервисы, которые можно отключить или ограничить в современных сетевых конфигурациях. Ключевой особенностью борьбы с данной атакой стала глобальная архитектура сети Cloudflare, основанная на технологии anycast.
Принцип anycast заключается в том, что IP-адрес объявляется сразу из сотен дата-центров по всему миру. Это позволяет распределять нагрузку и одновременно направлять трафик к ближайшему географически для пользователя дата-центру. При атаке такой подход превращает слабое место сети в сильную сторону — атака распределяется и локально отражается в каждом из узлов. В данном случае событие обрабатывалось одновременно в 477 дата-центрах, расположенных в 293 локациях, что обеспечило высокую надежность и скорость реакции. Для обнаружения и фильтрации вредоносного трафика Cloudflare использует автономные системы, работающие на каждом сервере их сети.
Этот подход позволяет мгновенно выявлять аномалии без необходимости участия человека. В основе анализа лежит уникальный эвристический движок dosd (denial of service daemon), работающий с пакетами непосредственно на уровне ядра Linux с помощью eBPF (extended Berkeley Packet Filter) — современного механизма для высокопроизводительной обработки сетевых данных. Dosd анализирует образцы пакетов, находя повторяющиеся паттерны и аномалии, которые характерны для атаки. Когда зафиксировано достаточно «подозрительных» пакетов, система формирует множество вариантов отпечатков трафика (fingerprints) для самой точной идентификации вредоносного потока. На основе этих отпечатков создаются правила блокировки, которые внедряются в eBPF-программы.
Они именно и удаляют атакующий трафик в режиме реального времени, не затрагивая легитимных пользователей. Кроме локального анализа, серверы внутри дата-центров обмениваются информацией о лучших обнаруженных отпечатках. Такая внутренняя «пересылка» разведданных (gossip protocol) позволяет быстро и эффективно распространить знания об атаке по всей сети Cloudflare, улучшая скорость и качество блокировок повсеместно. Сеть становится не просто набором отдельных серверов, а единой устойчивой системой для защиты конечных клиентов. Интересно отметить, что атака была инициирована из более чем 122 тысяч уникальных IP-адресов, распределенных по 161 стране и 5,433 автономным системам (AS).
Основные регионы происхождения трафика — Бразилия и Вьетнам, которые обеспечивали вместе почти половину всего вредоносного трафика. Среди лидеров по объему были также Тайвань, Китай, Индонезия, Украина и США. Такие географические данные помогают анализировать новые тенденции в киберугрозах и строить глобальные стратегии защиты. Cloudflare не только эффективно остановил атаку, но и поделился знаниями с сообществом через бесплатный ботнет-фид — инструмент, позволяющий интернет-провайдерам и хостинг-компаниям получать обновлённые списки IP-адресов, задействованных в DDoS-атакующих кампаниях. Это важный шаг в коллективной борьбе за безопасность, он помогает вовремя обнаруживать и блокировать источники угроз, минимизируя ущерб и распространяемость вредоносных действий.
Для организаций и провайдеров происходит настоящая эволюция подходов к безопасности: наряду с традиционными защитными механизмами утвердились облачные сервисы, распределённые архитектуры и искусственный интеллект. Cloudflare в этом плане задаёт тренд, предлагая интегрированные решения, которые одновременно обеспечивают быструю доставку контента и надежную защиту от сложных и масштабных угроз. Успешная остановка DDoS-атаки размером в 7.3 Тб/с стала наглядным доказательством эффективности такого подхода. Чтобы избежать участия в отражательных и амплификационных атаках, администраторам рекомендуют отключать устаревшие протоколы и сервисы, такие как QOTD, Echo, Portmap и RIPv1, либо ограничивать доступ к ним через брандмауэры и списки контроля доступа.
Кроме того, важно регулярно обновлять программное обеспечение серверов и устройств, защищать IoT-устройства от проникновения в ботнеты, а также внимательно следить за поведением сети и признаками аномалий. Сфера интернет-безопасности постоянно развивается, поскольку злоумышленники придумывают новые способы атак, а инфраструктуры становятся всё масштабнее и сложнее. Однако именно развитие инновационных систем защиты и применение передовых технологий удерживают баланс между ростом угроз и защитными возможностями. Опыт Cloudflare и их впечатляющие достижения в блокировке рекордной DDoS-атаки служат примером успешной борьбы за доступность, безопасность и стабильность глобальной сети. Помимо технических аспектов, это событие подчёркивает критическую важность коллективных усилий в обеспечении кибербезопасности.
Блокировка таких атак требует не только передовых технологий, но и сотрудничества провайдеров, исследователей, государственных структур и пользовательского сообщества. Только синергия всех заинтересованных сторон способна эффективно противостоять растущим и все более изощренным угрозам в цифровом мире. Cloudflare продолжает активно развивать и совершенствовать свою платформу Connectivity Cloud, предлагая услуги, которые включают DDoS-защиту, ускорение доставки контента, а также поддержку моделей Zero Trust. Эти решения помогают бизнесам любых размеров чувствовать себя защищёнными в меняющемся киберландшафте, укрепляя доверие пользователей и гарантируя бесперебойную работу интернет-ресурсов. Подводя итог, можно сказать, что защита от крупных DDoS-атак, подобных описанной, стала новой нормой для современных интернет-компаний.
Благодаря их успешной нейтрализации с использованием распределённых сетей, AI-аналитики и адаптивных фильтров становится возможным сохранить доступность сервисов даже в условиях бурного объема вредоносного трафика. Это фундаментальный шаг вперёд в обеспечении обеспечения устойчивости и безопасности интернета в целом.
![Trump: Don't Drag the US into Netanyahu's War with Iran[video]](/images/2B77E3CB-C14D-4F2D-A101-C40DB2029E93)
