Cloudflare отразила крупнейшую в истории DDoS-атаку — на пике мощность достигала 7,3 Тбит/с
Почему DDoS-атаки становятся мощнее: разбор рекорда в 7,3 Тбит/с и что с этим делать
На этой неделе одна крупная компания по защите от кибератак отразила DDoS мощностью 7,3 Тбит/с. Это абсолютный рекорд. Но самое страшное — атака длилась всего 45 секунд. Успели выдохнуть? Зря. За эти секунды злоумышленники отправили жертве 37,4 Тбайт мусора. Переведу в понятное: 9300 фильмов в HD-качестве за время, меньшее, чем утренний кофе.
Мне часто задают вопрос: «Ну и что, мы ведь не в зоне риска?» Отвечаю: каждый, кто держит на рутере стандартный пароль, — уже потенциальный участник таких атак. Давайте разбираться, как это работает и почему защита перестала быть делом только гигантов.
Как устроена «ковровая бомбардировка»
Атака была направлена на один IP-адрес. Вместо того чтобы перегрузить один-два порта, злоумышленники обстреляли сразу 22 тысячи портов. На пике — 34 500. Это называется ковровая бомбардировка. Представьте, что 34 500 кранов одновременно открыли воду на ваш участок. Даже мощный насос захлебнётся.
Основной трафик шёл по протоколу UDP. В отличие от TCP, UDP не требует рукопожатия. Вы просто шлёте пакеты — и всё. Не нужно дожидаться подтверждения. Злоумышленники обожают UDP за это свойство: можно генерировать поток, который в десятки раз превышает пропускную способность жертвы.
Лично я заметил, что 80% владельцев IoT-камер никогда не меняют пароль «admin/admin». Это равносильно тому, что оставить дверь открытой для ботнета.
Почему ботнеты до сих пор собирают из роутеров и веб-камер
В этой атаке использовали ботнет на базе Mirai. Это зловред, который заражает устройства интернета вещей (IoT): камеры, роутеры, умные розетки. Они дешёвые, стоят копейки и работают с заводскими паролями. Производителям плевать на безопасность — им надо продать миллион единиц. В итоге зомби-сеть из 100 тысяч таких «помощников» может генерировать десятки терабит трафика.
| Тип атаки | Протокол | Скорость наращивания | Пример |
|---|---|---|---|
| UDP-флуд | UDP | Очень высокая | Прямая загрузка портов |
| Отражённая атака | NTP, DNS, SSDP | Средняя (с усилением) | Запрос к серверу, ответ жертве |
| Ковровая бомбардировка | Любой | Высокая | Распределённая отправка на множество портов |
В данном случае всего 0,004% трафика пришлось на отражённую атаку. Обычно отражение используют для усиления: злоумышленник подделывает IP жертвы и шлёт маленький запрос NTP-серверу. Тот отвечает в 200 раз большим объёмом данных. Но в этот раз злоумышленники решили не мелочиться — били напрямую, с помощью гигантского ботнета. Мощность получилась рекордной.
Практический совет: как проверить, не стал ли ваш роутер частью ботнета
Не нужно быть сисадмином. Шаг первый: войдите в настройки роутера (обычно 192.168.0.1 или 192.168.1.1). Шаг второй: смените пароль администратора, если он всё ещё «admin» или «1234». Шаг третий: посмотрите список подключённых устройств. Если видите неизвестные IP или активность в нерабочее время — это тревожный звоночек. Шаг четвёртый: отключите UPnP, если не пользуетесь им постоянно. Эта функция открывает порты автоматически — злоумышленники обожают UPnP.
Старая железка 2015 года выпуска может быть уязвима уже по факту своего существования. Если ваш роутер не получает обновлений прошивки больше года — меняйте. Это дешевле, чем одна DDoS-атака, которая вырубит ваш бизнес на день.
Моё мнение: маркетинговая безопасность и реальность
Я часто слышу: «Мы купили DDoS-защиту от крупного провайдера — теперь мы в безопасности». Не верю. Ни один провайдер не гарантирует защиту от атак мощностью в десятки терабит. Да, крупные компании вроде Cloudflare могут отразить 7,3 Тбит/с — у них сотни дата-центров и распределённая инфраструктура. Но обычному сайту с одним сервером такие козыри недоступны. Реальная защита — это комбинация: фильтрация трафика на уровне магистрали, разумное CDN и — в первую очередь — профилактика. Не дайте вашему умному чайнику стать солдатом в армии ботнета.
Атаки не становятся сложнее. Они становятся больше. И это страшнее — у них просто больше ресурсов.
Рекордная атака — не экзотика, а новая норма. Единственный способ выжить — не кормить злоумышленников своими устройствами. Держите прошивки в актуальном состоянии, меняйте пароли, отключайте ненужные порты. Да, это скучно. Но дешевле, чем потом объяснять клиентам, почему ваш магазин лёг на час.
