500 терабит в секунду. Cloudflare нарастила мощность сети до исторического рекорда

Интернет давно привык воспринимать Cloudflare как фоновую инфраструктуру, которая просто «держит» сайты и гасит атаки. Теперь у компании появился новый ориентир масштаба. Сеть Cloudflare превысила 500 Тбит/с внешней пропускной способности, и речь не о пиковом трафике, а о суммарной емкости всех внешних подключений к провайдерам, партнерам по пирингу, точкам обмена трафиком и собственным каналам стыка по всей глобальной сети.

Для сравнения, в обычный день реальная пиковая загрузка занимает лишь часть такого объема. Остальной запас Cloudflare прямо называет резервом на случай DDoS-атак. За сухой цифрой скрывается путь длиной в шестнадцать лет. В 2010 году компания работала из маленького офиса над маникюрным салоном в Пало-Альто, пользовалась услугами одного транзитного оператора и предлагала простой обратный прокси, который можно было включить заменой двух DNS-серверов.

Дальше начался медленный, но упрямый рост по городам. Чикаго, Ашберн, Сан-Хосе, Амстердам, Токио. Каждый новый узел требовал переговоров с площадками, прокладки оптики, установки стоек с серверами и подключения к точкам обмена трафиком. За разговорами про «облако» скрывалась довольно приземленная работа в конкретных машинных залах, среди кабелей, портов и договоров. Иногда запуск шел не по плану. Cloudflare вспоминает нехватку оборудования, таможенные сбои и совсем экзотические ситуации вплоть до зубной нити, которая однажды пригодилась при развертывании. В 2018 году компания открыла присутствие сразу в 31 городе за 24 дня. Тогда сеть дошла до 127 дата-центров и защищала 7 миллионов интернет-ресурсов. Сейчас инфраструктура работает более чем в 330 городах и, по оценке компании, обслуживает свыше 20% всего интернета.

Рост географии постепенно превратил сеть из инструмента ускорения сайтов в полноценный уровень защиты и корпоративной связи. Клиенты просили уже не только кеширование, но и безопасный доступ сотрудников, замену старых MPLS-каналов и защиту внутренних сетей. Вместо классических аппаратных коробок Cloudflare начала строить систему, которая поднимает защищенные туннели к частным подсетям и напрямую анонсирует корпоративные IP-адреса через глобальную сеть компании по BGP.

Параллельно рос и масштаб атак. В 2025 году Cloudflare отразила DDoS-атаку мощностью 31,4 Тбит/с, которая длилась 35 секунд. Источником стал ботнет Aisuru-Kimwolf, куда входили в том числе зараженные Android-телевизоры. В тот день сеть компании заблокировала более пяти тысяч атак, и ни одному инженеру не пришлось вмешиваться вручную. Еще десять лет назад удар такой силы потребовал бы уровня государства, чтобы просто попытаться его выдержать. Теперь защитная логика работает прямо на каждом сервере и принимает решения без участия человека.

Схема защиты выглядит так. Пакеты приходят на сетевую карту и сразу попадают в цепочку программ XDP, работающих в режиме драйвера. Одной из первых срабатывает l4drop. Модуль проверяет пакеты по правилам фильтрации в eBPF. Правила создает служба dosd, которая работает на каждом сервере, отслеживает входящий трафик, собирает данные о самых «тяжелых» источниках и рассылает картину соседним серверам внутри площадки. В результате весь узел получает общее представление об атаке и принимает одинаковые решения о блокировке. Когда dosd распознает вредоносный шаблон, правило применяется локально и почти сразу разносится по всей сети через распределенное хранилище Quicksilver. Дальше, уже после первичной фильтрации, трафик доходит до балансировщика Unimog, а для клиентов Magic Transit дополнительную проверку состояния TCP-соединений выполняет flowtrackd. Главный смысл конструкции прост. Вредоносные пакеты выбрасываются еще до того, как начнут расходовать вычислительные ресурсы приложений.

Такая архитектура помогла Cloudflare построить не только защиту, но и платформу для запуска пользовательского кода на краю сети. Раз компания уже научилась исполнять программы на каждом сервере ради фильтрации атак, следующим шагом стали Workers, а затем KV и Durable Objects. В 2025 году к Workers добавили поддержку контейнеров, чтобы на периферии можно было запускать и более тяжелые нагрузки. Компания делает ставку на то, что приложения должны работать рядом с пользователем, на тех же машинах, которые в тот же момент умеют отбрасывать мусорный трафик на линейной скорости.

Отдельное направление связано с маршрутизацией. Cloudflare давно продвигает IPv6 и инфраструктуру открытых ключей для маршрутизации, известную как RPKI. Механизм позволяет отсеивать некорректные маршруты и снижать риск перехвата трафика через ошибочные или злонамеренные BGP-анонсы. Компания подписывает свои префиксы и проверяет входящие маршруты, отбрасывая записи с недействительными данными, даже если из-за чужой ошибки часть сетей временно теряет достижимость. Следующей крупной темой Cloudflare называет ASPA. Если RPKI подтверждает, кто владеет префиксом, то ASPA должна проверять, по какой цепочке автономных систем маршрут вообще пришел. Для борьбы с утечками маршрутов такой уровень проверки выглядит гораздо полезнее.

Меняется и сам характер интернет-трафика. По данным Cloudflare, более 4% всех HTML-запросов в сети компании уже создают ИИ-сканеры, системы обучения моделей и автономные агенты. Такой объем компания сравнивает с масштабом Googlebot. Особенно быстро растет сценарий, когда ИИ заходит на страницу в ответ на вопрос человека. За 2025 год число подобных обращений выросло более чем в 15 раз. Для инфраструктуры проблема здесь не только в объеме, но и в поведении. Обычный браузер загружает страницу и затихает, а сканер начинает быстро и без пауз вытягивать все связанные ресурсы. На уровне сети подобная активность порой выглядит почти как атака.

Поэтому Cloudflare все активнее различает легитимных роботов и вредоносный трафик по нескольким признакам сразу. В ход идут проверенные диапазоны IP-адресов, поведенческий анализ, соблюдение robots.txt и отпечатки TLS. Компания приводит простой пример. Настоящий браузер обычно отправляет предсказуемый набор параметров в ClientHello, который соответствует заявленному User-Agent. Если сканер подделывает User-Agent, но использует более примитивную библиотеку TLS, расхождение становится заметным еще до обращения к серверу-источнику.

Рубеж в 500 Тбит/с Cloudflare подает не как красивую круглую цифру, а как результат длинной инженерной стратегии, где каждая новая функция опиралась на уже построенную сеть. Сначала компания училась просто доставлять и фильтровать трафик, потом превратила сеть в уровень безопасности, затем в платформу для приложений, а теперь использует ту же инфраструктуру, чтобы разбираться с новой волной нагрузки от ИИ-агентов. Для интернета, где атаки становятся мощнее, маршрутизация сложнее, а автоматический трафик все агрессивнее, такой запас емкости выглядит уже не роскошью, а базовым условием выживания.