122 тысячи IP. 161 страна. 45 сек на выживание. Cloudflare отразила крупнейшую DDoS атаку в истории интернета

В мае 2025 года специалисты Cloudflare отразили крупнейшую в истории DDoS-атаку, пик которой достиг рекордных 7,3 терабита в секунду. Целью стал крупный хостинг-провайдер, защищённый с помощью Magic Transit — облачного сервиса фильтрации трафика, предоставляемого самой Cloudflare.

Атаки типа DDoS (распределённый отказ в обслуживании) устроены просто: система подвергается шквалу сетевых запросов, задача которых — перегрузить ресурсы и нарушить стабильную работу. В этом случае объём был беспрецедентным: за 45 секунд атакующие сгенерировали 37,4 терабайта данных. Это эквивалентно примерно 7 500 часам потокового HD-видео или 12,5 миллионам изображений в формате JPEG.

По информации компании, источники трафика — 122 145 уникальных IP-адресов из 161 страны. Особенно высокая активность наблюдалась из Бразилии, Вьетнама, Тайваня, Китая, Индонезии и Украины. Эти узлы и составляли распределённую бот-сеть , работающую синхронно.

Самое главное, что трафик был рассредоточенным: вредоносные пакеты направлялись на десятки тысяч портов одновременно. В среднем система получала 21 925 сетевых обращений в секунду, а в пиковые моменты — до 34 517. Такая схема создаёт перегрузку не только на сервер, но и на фильтрующие системы, усложняя распознавание и блокировку.

Несмотря на это, Cloudflare смогла нейтрализовать нападение полностью автоматически. Помогла архитектура Anycast — технология распределения нагрузки, позволившая направить запросы на 477 дата-центров в 293 точках по всему миру. Защиту обеспечивали алгоритмы мгновенного анализа трафика и обмена информацией между центрами обработки данных. Эти механизмы в реальном времени создавали сигнатуры угроз и внедряли правила фильтрации без вмешательства человека.

Основу нагрузки составили пакеты по протоколу UDP, обеспечившие 99,996% общего потока. Кроме того, использовались дополнительные схемы:

• отражение через QOTD (цитата дня)
• эхо-ответы
• усиление NTP
• флуд от ботнета Mirai
• атака через Portmap
• эксплойтирование протокола RIPv1

Хотя каждый из перечисленных методов дал мизерный вклад в общий поток, их задача — затруднить диагностику, обойти фильтры и выявить потенциальные слабые места в защите.

Cloudflare подчеркнула, что в ходе анализа были собраны актуальные индикаторы компрометации (IoC), которые тут же пополнили открытый сервис DDoS Botnet Threat Feed. Этот инструмент помогает блокировать подозрительные IP заранее и доступен бесплатно для организаций во множестве государств и регионов.

На момент публикации более 600 компаний уже подписались на эту платформу. Представители Cloudflare призывают остальные структуры, особенно связанные с инфраструктурой или предоставлением цифровых услуг, подключиться и использовать превентивную фильтрацию.

Хотя инцидент длился меньше минуты, его масштаб и архитектура говорят о качественно новом уровне угроз. Сегодня DDoS — это уже не примитивная перегрузка , а многоуровневые, технически сложные операции. И защищаться от них нужно не вручную, а на уровне всей глобальной сети.