Cloudflare заблокувала DDoS-атаку потужністю 7,3 Тбіт/с

За повідомленням Cloudflare, компанія в середині травня 2025 року заблокувала найбільшу коли-небудь зареєстровану DDoS-атаку: її потужність склала 7,3 Тбіт/с. Це сталося незабаром після публікації звіту Cloudflare про загрози DDoS за перший квартал 2025 року 27 квітня 2025 року, в якому були відзначені атаки, що досягають 6,5 Тбіт/с і 4,8 млрд пакетів в секунду. Атака потужністю 7,3 Тбіт/с на 12% перевищує попередній рекорд і на 1 Тбіт/с перевищує недавню атаку, про яку повідомив репортер з кібербезпеки Браян Кребс (Brian Krebs) на сайті KrebsOnSecurity.

Атака була спрямована на клієнта Cloudflare, хостинг-провайдера, який використовує Magic Transit для захисту своєї IP-мережі. Хостинг-провайдери та критично важлива інтернет-інфраструктура все частіше стають мішенями DDoS-атак, як повідомлялося в останньому звіті Cloudflare про загрози DDoS.

37,4 терабайта — це не дивовижна цифра за сьогоднішніми мірками, але нанесення 37,4 терабайта всього за 45 секунд — це вже навдивовижу. Це еквівалентно затопленню мережі більш ніж 9350 повнометражними фільмами у форматі HD або безперервній трансляції 7480 годин відео високої чіткості (це майже рік безперервного перегляду) всього за 45 секунд. Якби це була музика, ви б завантажили близько 9,35 млн пісень менш ніж за хвилину, чого вистачило б, щоб слухач був зайнятий 57 років поспіль. Уявіть, що ви знімаєте 12,5 млн фотографій у високій роздільній здатності на свій смартфон і у вас ніколи не закінчується місце для зберігання — навіть якби ви робили по одному знімку щодня, ви б знімали 4000 років, але за 45 секунд.

Атака завдала масованого удару по 21925 портах призначення однієї IP-адреси, що належить і використовується клієнтом Cloudflare, з піковим значенням 34517 портів призначення в секунду. Атака також виходила з аналогічного розподілу портів джерела.

Атака 7,3 Тбіт/с була багатовекторною DDoS-атакою. Близько 99,996% трафіку атаки було класифіковано як UDP-флуд. Однак решта 0,004%, які становили 1,3 ГБ трафіку атаки, були ідентифіковані як відбиті атаки QOTD, відбиті атаки Echo, відбиті атаки NTP, UDP-флуд-атаки Mirai, Portmap-флуд і атаки RIPv1 з посиленням.

Атака походила від більш ніж 122145 вихідних IP-адрес, що охоплюють 5433 автономних системи (AS) в 161 країні.

Майже половина трафіку атаки походила з Бразилії та В'єтнаму, на кожну з яких припадало приблизно по чверті. Ще одна третина в сукупності походила з Тайваню, Китаю, Індонезії, України, Еквадору, Таїланду, США та Саудівської Аравії.

Середня кількість унікальних IP-адрес джерела в секунду становила 26855, а пікова — 45097.

Атака походила з 5433 різних мереж (AS). На частку Telefonica Brazil (AS27699) припала найбільша частина трафіку DDoS-атаки, що становить 10,5% від загального обсягу. Viettel Group (AS7552) слідує за нею з 9,8%, а China Unicom (AS4837) і Chunghwa Telecom (AS3462) забезпечили 3,9% і 2,9% відповідно. China Telecom (AS4134) забезпечила 2,8% трафіку. Решта ASN в топ-10, включаючи Claro NXT (AS28573), VNPT Corp (AS45899), UFINET Panama (AS52468), STC (AS25019) і FPT Telecom Company (AS18403), складають від 1,3% до 1,8% від загального трафіку DDoS-атак.

Щоб допомогти хостинг-провайдерам, постачальникам хмарних обчислень і будь-яким інтернет-провайдерам виявляти та блокувати зловмисні облікові записи, з яких запускаються ці атаки, Cloudflare використовує свої унікальні можливості, щоб надати безоплатний канал DDoS Botnet Threat Feed для постачальників послуг. Понад 600 організацій по всьому світу вже підписалися на цей канал. Він надає постачальникам послуг список IP-адрес з їх ASN, з яких, за даними Cloudflare, запускаються HTTP-DDoS-атаки. Це безоплатно, і все, що потрібно, — це відкрити безплатний обліковий запис Cloudflare, аутентифікувати ASN через PeeringDB, а потім отримати канал через API.

Атакована IP-адреса була оголошена з мережі Cloudflare з використанням глобального анікасту. Це означає, що пакети атаки, націлені на IP, були направлені в найближчий дата-центр Cloudflare. Використання глобального анікасту дозволяє розподілити трафік атаки та використовувати його розподілений характер проти нього, що дає можливість нейтралізувати атаку поблизу вузлів ботнету і продовжувати обслуговувати користувачів з найближчих до них дата-центрів. У випадку цієї атаки вона була виявлена і нейтралізована в 477 центрах обробки даних у 293 місцях по всьому світу. У місцях з високим трафіком Cloudflare присутній в декількох центрах обробки даних.

Глобальна мережа Cloudflare запускає всі служби в кожному центрі обробки даних. Сюди входять її системи виявлення та пом'якшення наслідків DDoS-атак. Це означає, що атаки можуть бути виявлені та пом'якшені повністю автономно, незалежно від того, звідки вони походять.

Коли пакет надходить до центру обробки даних Cloudflare, він інтелектуально розподіляється по доступних серверах. Потім відбираються пакети безпосередньо з глибин ядра Linux, з eXpress Data Path (XDP), використовуючи програму extended Berkley Packer Filter (eBPF) для маршрутизації вибірок пакетів в користувацький простір, де проводиться аналіз.

Система Cloudflare аналізує вибірки пакетів, щоб виявити підозрілі патерни на основі її унікального евристичного движка під назвою dosd (denial of service daemon). Dosd шукає патерни в зразках пакетів, наприклад, знаходить спільні риси в полях заголовків пакетів і шукає аномалії в пакетах, а також застосовує інші запатентовані технології.
Cloudflare заблокувала DDoS-атаку потужністю 7,3 Тбіт/с
Для клієнтів компанії ця складна система ідентифікації інкапсульована у вигляді зручної групи керованих правил, DDoS Protection Managed Rulesets.

Коли dosd виявляє шаблони, він генерує кілька перестановок цих відбитків, щоб знайти найбільш точний відбиток, який буде мати найбільшу ефективність і точність пом'якшення наслідків, тобто спробувати точно зіставити його з трафіком атаки, не впливаючи на легітимний трафік.

При цьому підраховуються різні зразки пакетів, які відповідають кожній пермутації відбитка, і за допомогою алгоритму потокової передачі даних виділяється відбиток з найбільшою кількістю збігів. Коли перевищуються пороги активації, щоб уникнути помилкових спрацьовувань, правило пом'якшення наслідків з використанням синтаксису відбитка компілюється у вигляді програми eBPF для відкидання пакетів, які відповідають шаблону атаки. Після закінчення атаки правило закінчується та автоматично видаляється.

Кожен сервер Cloudflare повністю автономно виявляє і пом'якшує атаки, що робить мережу високоефективною, стійкою і швидкою в блокуванні атак. Крім того, кожен сервер передає (мультикаст) найпопулярніші пермутації відбитків в межах дата-центру і по всьому світу. Цей обмін інформацією про загрози в режимі реального часу допомагає підвищити ефективність пом'якшення наслідків в межах дата-центру і по всьому світу.

Повідомляється, що системи Cloudflare успішно заблокували рекордну DDoS-атаку потужністю 7,3 Тбіт/с повністю автономно, без втручання людини, без спрацьовування будь-яких попереджень і без будь-яких інцидентів. Це демонструє ефективність провідних у світі систем захисту від DDoS-атак від Cloudflare.