Aisuru: botnet stojący za rekordowym atakiem DDoS 29,7 Tb/s. Co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

W trzecim kwartale 2025 r. Cloudflare zarejestrował i zneutralizował rekordowy atak DDoS o szczytowym wolumenie 29,7 Tb/s, przypisany do gigantycznego botnetu Aisuru. To tzw. atak hiper-wolumetryczny (powyżej 1 Tb/s lub 1 mld pakietów/s), który przeciąża łącza i infrastrukturę sieciową, zanim aplikacyjne systemy ochronne zdążą zareagować. Cloudflare szacuje skalę Aisuru na 1–4 mln zainfekowanych hostów (IoT/routers), co czyni go jedną z największych aktualnie działających armii DDoS.

W skrócie

• Rekord: 29,7 Tb/s przez ~69 s, metoda UDP carpet bombing (~15 tys. docelowych portów/s), losowane atrybuty pakietów dla ominięcia filtrów.
• Cloudflare raportuje równolegle atak 14,1 Bpps, pokazując, iż Aisuru uderza zarówno przepływem bitów, jak i ekstremalnym PPS.
• Microsoft potwierdził, iż Aisuru uderzył w Azure ruchem 15,72 Tb/s i ~3,64 Bpps z ponad 500 tys. IP. Klasa: Turbo-Mirai IoT.
• Źródła ruchu i cele: wzrost ataków z Azji (m.in. Indonezja), ofiary w telco, hostingu, grach, finansach; krótkie kampanie (≤10 min) utrudniają reakcję manualną.

Kontekst / historia / powiązania

W 2025 r. „sufit” DDoS przesuwał się wielokrotnie: 7,3 Tb/s w czerwcu, 11,5 Tb/s we wrześniu, 22,2 Tb/s we wrześniu, aż po 29,7 Tb/s w Q3. Niezależne analizy QiAnXin XLab wiążą liczne rekordy z Aisuru (wcześniej znanym też jako „AIRASHI/kitty”), który agresywnie rekrutował urządzenia (m.in. po kompromitacji serwera aktualizacji routerów TotoLink).

Dodatkowo KrebsOnSecurity opisał, iż domeny powiązane z infrastrukturą Aisuru zdominowały publiczny ranking „Top Domains” Cloudflare (DNS 1.1.1.1), co zmusiło firmę do redakcji listy — kolejny dowód skali i aktywności botnetu.

Analiza techniczna / szczegóły ataku

Rekord 29,7 Tb/s (L3/L4):

• Vektor: UDP carpet bombing — rozproszone „śmieciowe” pakiety do tysięcy portów jednocześnie (średnio ~15 tys. portów/s).
• Ewazja: losowanie pól pakietów (src/dst port, payload, flaga), by utrudnić reguły statyczne; routing Anycast i systemy automatycznej detekcji Cloudflare zadziałały autonomicznie.
• Czas trwania: ~69 s — uderzenia krótkie, ale o wysokiej energii, silnie zaburzające ścieżki tranzytowe ISP.

Profil botnetu Aisuru:

• Skład: IoT/routers (kamery IP, DVR/NVR, SoC Realtek, routery T-Mobile/Zyxel/D-Link/Linksys/TotoLink).
• Klasa: „Turbo-Mirai-class” (wg Microsoft) — wysoki PPS i przepływ bez konieczności masowego spoofingu (Azure: minimalne spoofing).
• Wielkość/zasoby: 1–4 mln hostów (Cloudflare), incydent Azure: >500 tys. IP.

Trendy 2025 Q3:

• Ataki >100 Mpps +189% QoQ, >1 Tb/s +227% QoQ; 71–89% kampanii kończy się <10 min.
• Główne branże atakowane: IT & Services, Telco, Gambling, gwałtowny wzrost w Automotive i sektorach powiązanych z surowcami.
• Dominujące wektory sieciowe: UDP, potem DNS, SYN, ICMP. Źródła: przede wszystkim Azja (lider — Indonezja).

Praktyczne konsekwencje / ryzyko

• Ryzyko dla operatorów/ISP: choćby jeżeli nie są celem, natężenie ruchu może zrywać stabilność segmentów krajowej infrastruktury (przeciążenia uplinków, blackholing, degradacja usług).
• Ryzyko dla usług online: krótkie, ale ekstremalne „impulsy” potrafią wywołać długotrwałe skutki operacyjne (niespójność danych, utrudnione przywracanie, SLO/SLA breach).
• Ryzyko reputacyjne i finansowe: downtime, kary umowne, utrata klientów — szczególnie w grach online, fintechu i hostingu.

Rekomendacje operacyjne / co zrobić teraz

Architektura & sieć

1. Always-on, upstream-first DDoS: stała ochrona u dostawców tranzytu/CDN (Anycast, autoscaling, mitigacja autonomiczna). Odrzuć model wyłącznie „on-demand”.
2. Segmentacja i nadmiarowość tras: rozproszenie punktów wejścia (multi-region, multi-ISP), szybkie przełączenia (BGP communities, RTBH/Flowspec).
3. Ustanów progi PPS/Tbps w bramach i u operatora; rozsądne rate-limiting/ACL dla UDP, uRPF/BCP-38 przeciw spoofingowi (nawet jeżeli Aisuru często go nie używa).
4. Twarde limity dla DNS/UDP: kapsułowanie usług w tunelach z kontrolą przepływu, separacja resolverów publicznych od krytycznych.

Aplikacje & edge
5. DoS-aware konfiguracje: krótkie time-outy, ochrona endpointów logowania/API, „circuit breakers”.
6. WAF + bot management (dla warstwy HTTP), choć w Aisuru kluczowa jest warstwa sieciowa — chronić obie.
7. Observability: min. 1 s granularności metryk (PPS/Tbps/port/ASN), alerty na „microbursts”.

Operacje & procedury
8. Runbooki i symulacje: ćwiczenia failover/RTBH/„blackhole”, drille łączone z dostawcami (ISP/CDN). Microsoft zaleca nie czekać do realnego ataku — testy przed peakami sezonowymi.
9. Kontakt z ISP/CDN: z wyprzedzeniem uzgodnione ścieżki eskalacji, tryby „emergency”.
10. Higiena IoT (dla producentów/ISP): aktualizacje firmware, domyślnie unikalne hasła, bezpieczny łańcuch dostaw aktualizacji (nauka z incydentu TotoLink).

Różnice / porównania z innymi przypadkami

• Mirai vs Aisuru (Turbo-Mirai-class): podobna baza (IoT), ale Aisuru skaluje zarówno Tb/s, jak i Bpps i stosuje carpet bombing z losowymi atrybutami pakietów, co utrudnia klasyczne wzorce detekcji; ponadto obserwuje się krótkie „impulse attacks” zamiast długich kampanii.
• Rekordy 2025: 7,3 → 11,5 → 22,2 → 29,7 Tb/s w ciągu kilku miesięcy — bez precedensu, z częstym wskazaniem Aisuru jako sprawcy/ko-sprawcy.

Podsumowanie / najważniejsze wnioski

• 29,7 Tb/s to nowy punkt odniesienia dla L3/L4 DDoS — krótkie, ale dewastujące „uderzenia” wymagają stałej, autonomicznej ochrony i współpracy z operatorami.
• Aisuru to w tej chwili apex-botnet: miliony urządzeń, zwinna taktyka (UDP carpet bombing, wysokie PPS), komercyjny model „botnet-for-hire”.
• Organizacje powinny modernizować playbooki DDoS: upstream-first, szybkie decyzje BGP, granularne telemetrie i regularne ćwiczenia.

Źródła / bibliografia

1. Cloudflare — Q3 2025 DDoS Threat Report (29,7 Tb/s; 1–4 mln hostów; charakterystyka ataku). (The Cloudflare Blog)
2. Microsoft Tech Community — Azure neutralized a record-breaking 15 Tbps DDoS attack (Aisuru jako Turbo-Mirai; 500k IP; 3,64 Bpps). (TECHCOMMUNITY.MICROSOFT.COM)
3. BleepingComputer — Aisuru botnet behind new record-breaking 29.7 Tbps DDoS attack (podsumowanie zdarzeń, 69 s, statystyki Q3). (BleepingComputer)
4. QiAnXin XLab — Inside the 11.5Tbps-Scale Mega Botnet AISURU (profil, rekrutacja urządzeń, TotoLink). (奇安信 X 实验室)
5. KrebsOnSecurity — Cloudflare Top Domains & Aisuru (dominacja domen Aisuru w rankingach DNS, wpływ na Radar). (Krebs on Security)