През май 2025 г. Cloudflare – един от водещите световни доставчици на решения за уеб инфраструктура и киберсигурност – успешно блокира рекордна по обем и интензитет DDoS атака, насочена срещу хостинг доставчик. Пикът на злонамерения трафик е достигнал зашеметяващите 7.3 терабита в секунда (Tbps), което е с 12% повече от предишния рекорд.

DDoS (разпределена атака за отказ от услуга) представлява метод на кибернападение, при който атакуващите заливат дадена система с огромни обеми фалшив трафик с цел да претоварят сървърите и да предизвикат забавяния, сривове или пълно изваждане от строя на онлайн услугите.

В конкретния случай атаката е генерирала обем от 37.4 терабайта данни за едва 45 секунди – еквивалент на приблизително 7500 часа видео в HD качество или около 12.5 милиона JPEG изображения.

Масирана атака от глобален мащаб

Атаката е инициирана от 122 145 различни IP адреса, разпределени в 161 държави. Най-голям дял от трафика е произлязъл от Бразилия, Виетнам, Тайван, Китай, Индонезия и Украйна. Потокът от данни е насочен към множество портове на засегнатата инфраструктура – средно 21 925 порта в секунда, с пик до 34 517 порта/секунда. Подобен подход цели да заобиколи системите за защита чрез разпръскване на натоварването и объркване на защитните механизми.

Cloudflare обаче съобщава, че е успяла да неутрализира атаката напълно автоматизирано – без необходимост от човешка намеса. Благодарение на своята anycast мрежа, компанията е пренасочила трафика към 477 дейта центъра в 293 различни локации, използвайки технологии като реалновремеви „фингърпринтинг“ и вътрешноцентрова комуникация („gossiping“) за бърз обмен на сигнали и автоматично създаване на защитни правила.

Разнообразие от векторни атаки

Макар почти цялото количество злонамерен трафик (99.996%) да произлиза от UDP flood атаки, нападението включва и редица допълнителни техники:

• QOTD reflection

• Echo reflection

• NTP amplification

• UDP flood с Mirai ботнет

• Portmap flood

• RIPv1 amplification

Всички те експлоатират остарели или неправилно конфигурирани услуги с цел по-ефективна атака и откриване на слаби места в инфраструктурата на жертвата.

Реакция и превантивни мерки

Cloudflare е добавила събраните индикатори за компрометиране (IoCs) от атаката в своята услуга DDoS Botnet Threat Feed – безплатен инструмент, който позволява на организациите предварително да блокират злонамерени IP адреси. Над 600 организации вече са абонати на услугата, а компанията призовава и други потенциално уязвими субекти да се присъединят, за да повишат своята защита срещу масивни DDoS атаки.