Cloudflare в 2025 году в Q4 столкнулась с рекордной DDoS-атакой мощностью 31.4Tbps: продолжалась всего 35 секунд, Android-телевизоры-«зомби» стали основным звеном в ботнет-сети

IT之家 6 февраля. Местное время 5 февраля Cloudflare обнародовала данные о ситуации с DDoS-атаками за четвертый квартал и весь 2025 год.

В отчете отмечается, что масштабы и частота DDoS-атак в 2025 году побили все рекорды: общий объем атак за год достиг 47,1 миллиона, что на 121% больше по сравнению с предыдущим годом, а в среднем Cloudflare автоматически смягчает 5376 DDoS-атак в час.

Кроме того, в 2025 году произошла известная публичная «самая масштабная» DDoS-атака — пик достиг 31,4 Тбит/с, но продолжительность составила всего 35 секунд.

Данные показывают, что в 2025 году было зафиксировано 47,1 миллиона DDoS-атак. По сравнению с 2023 годом, за два года с 2023 по 2025 год совокупный рост количества атак составил 236%. В 2025 году Cloudflare в среднем смягчает 5376 атак в час, из которых 3925 — сетевого уровня (Network-layer), а 1451 — HTTP DDoS-атаки.

По структуре роста, атаки на сетевом уровне являются основным источником увеличения в 2025 году. Cloudflare заявил, что в 2025 году их системы смягчили 34,4 миллиона сетевых DDoS-атак, тогда как в 2024 году — 11,4 миллиона, что более чем в два раза превышает прошлогодние показатели, демонстрируя тенденцию роста более чем в три раза.

Обнародовано, что примерно 13,5 миллиона атак на сетевом уровне в 2025 году были направлены на глобальную интернет-инфраструктуру, которую защищает Cloudflare (включая клиентов Cloudflare Magic Transit и собственную инфраструктуру). Эти атаки были частью масштабной операции продолжительностью 18 дней в первом квартале 2025 года.

Из них 6,9 миллиона атак были направлены на клиентов Magic Transit, еще 6,6 миллиона — непосредственно на Cloudflare. Эта операция представляла собой многофакторную атаку, включающую SYN Flood, DDoS-атаки, созданные Mirai, а также SSDP-усиленные атаки.

Cloudflare заявил, что их системы автоматически обнаружили и смягчили эти атаки, и что они узнали о масштабах этой активности только при подготовке отчета за первый квартал 2025 года.

В отчете указано, что в четвертом квартале 2025 года количество DDoS-атак выросло по сравнению с предыдущим кварталом на 31%, а по сравнению с аналогичным периодом прошлого года — на 58%. В этом квартале сетевые атаки составляли 78% всех DDoS-атак. Несмотря на стабильное количество HTTP DDoS-атак, их масштаб значительно увеличился.

Cloudflare отметил, что такие атаки достигли максимальной силы с момента волн HTTP/2 Rapid Reset, начавшейся в 2023 году, и в основном ими управлял зомби-ботнет Aisuru-Kimwolf.

Эту серию интенсивных атак в четвертом квартале 2025 года Cloudflare назвал «The Night Before Christmas» (Ночь перед Рождеством).

Эта атака началась 19 декабря 2025 года и была осуществлена зомби-ботнетом Aisuru-Kimwolf, который запустил сверхмасштабную HTTP DDoS-атаку на клиентов Cloudflare и инфраструктуру, достигнув пика более 20 миллионов запросов в секунду (20 Мрс).

Cloudflare заявил, что этот ботнет состоит в основном из зараженных вредоносным ПО Android-телевизоров, число зараженных устройств оценивается в от 1 до 4 миллионов, и они обладают способностью «вывести из строя ключевую инфраструктуру, разрушить традиционные облачные системы защиты от DDoS и даже нарушить работу национальных сетей».

Во время этой операции автоматизированные системы Cloudflare обнаружили и смягчили 902 сверхмасштабных DDoS-атаки (по данным IT之家 — в среднем 53 в день), включая:

• 384 атаки, основанные на пакетах данных

• 329 атак, использующих пропускную способность

• 189 атак, основанных на запросах

Также Cloudflare сообщил, что средняя мощность сверхмасштабных атак в этой операции составляла:

• 3 миллиарда пакетов в секунду (Bpps)

• 4 Тбит/с

• 54 миллиона запросов в секунду (Mrps)

Пиковые показатели достигали:

• 9 миллиардов пакетов в секунду (Bpps)

• 24 Тбит/с

• 205 миллионов запросов в секунду (Mrps)

В 2025 году масштабы сверхмасштабных DDoS-атак продолжали расти. Только в четвертом квартале 2025 года их число увеличилось на 40% по сравнению с предыдущим кварталом.

Cloudflare отметил, что с ростом количества атак увеличивается и их мощность. По сравнению с крупными атаками конца 2024 года, масштаб атак в 2025 году вырос более чем на 700%. Одна из таких атак достигла пика 31,4 Тбит/с и длилась всего 35 секунд. Cloudflare подчеркнул, что и эта атака была обнаружена и смягчена их автоматизированной системой защиты.

В отраслевом разрезе Cloudflare заявил, что в 2025 году наиболее часто подвергаются DDoS-атакам следующие отрасли:

• Телекоммуникации, поставщики услуг и операторы связи (Telecommunications, Service Providers and Carriers)

Эта категория сместила с первого места ранее лидировавшую отрасль «Информационные технологии и услуги» (Information Technology & Services).

Также в тройку лидеров вошли азартные игры и казино (Gambling & Casinos) и игровые компании (Gaming), заняв третье и четвертое места соответственно. В отчете также отмечается, что клиенты, предоставляющие услуги генеративного ИИ, также подвергаются массовым масштабным атакам.

Cloudflare сообщил, что в четвертом квартале 2025 года наиболее атакуемыми регионами мира были Китай, Германия, Бразилия и США — «долгосрочные горячие точки». При этом Гонконг поднялся на 12 позиций и стал вторым по уровню атак регионом в мире; Великобритания поднялась на 36 позиций и заняла шестое место; Вьетнам — седьмое, Азербайджан — восьмое, Индия — девятое, Сингапур — десятое.

Что касается стран и регионов-источников атак, Cloudflare отметил:

• Бангладеш в четвертом квартале 2025 года стала крупнейшим источником DDoS-атак

• Эквадор поднялся на второе место

• Индонезия опустилась с первого на третье место (ранее год подряд была на первом)

• Аргентина резко поднялась на 20 позиций и стала четвертым по масштабам источником атак

На уровне сетей-источников (ASN) Cloudflare указал, что большинство DDoS-атак исходят с IP-адресов облачных платформ и поставщиков облачной инфраструктуры, таких как DigitalOcean, Microsoft, Tencent, Oracle, Hetzner и другие.

Отчет считает, что это отражает сильную связь между злоумышленниками и «легко арендуемыми виртуальными машинами». В то же время значительная часть атак исходит и из традиционных телекоммуникационных сетей, в основном из региона Азиатско-Тихоокеанского региона. Cloudflare подчеркнул, что современные DDoS-атаки зачастую включают тысячи различных ASN, что свидетельствует о высокой глобализации узлов зомби-сетей.

Для помощи хостинг-провайдерам, облачным платформам и интернет-провайдерам в выявлении и удалении злоупотребляющих IP-адресов и аккаунтов Cloudflare предоставляет бесплатный Threat Feed по ботнетам DDoS. В отчете говорится, что в настоящее время более 800 сетей по всему миру подключились к этому источнику информации, и в рамках сообщества достигнуты определенные успехи.

Cloudflare подчеркнул, что масштабы и сложность DDoS-атак быстро растут, превышая все ранее представляемые масштабы. Организациям, использующим локальное оборудование или традиционные системы очистки трафика, возможно, потребуется пересмотреть свои стратегии защиты. Cloudflare заявил, что продолжит предоставлять всем клиентам бесплатную и неограниченную защиту от DDoS-атак, независимо от их масштаба, продолжительности или объема трафика.