Firma Cloudflare poinformowała, iż udało jej się zatrzymać atak na serwer, podczas którego ruch osiągnął 7,3 terabita na sekundę. Dla porównania — to tak, jakby ktoś próbował przesłać ci jednocześnie 9 000 filmów w jakości HD w ciągu 45 sekund.
W ciągu 45 sekund infrastruktura musiała obsłużyć łącznie 37,4 terabajta danych. Choć sam wolumen nie jest szokujący w skali dzisiejszych centrów danych, kluczowa była jego intensywność. Taka ilość danych odpowiada np. 9,35 mln plików MP3 pobranych w mniej niż minutę albo 7 480 godzinom wideo HD przesłanym w czasie krótszym niż minuta. To także ekwiwalent 12,5 mln zdjęć w wysokiej rozdzielczości — całość dostarczona w niecałe 45 sekund.
https://blog.cloudflare.com/defending-the-internet-how-cloudflare-blocked-a-monumental-7-3-tbps-ddos/
Parametry ataku i pochodzenie ruchu
Serwer musiał obsługiwać żądania jednocześnie na ponad 21 000 portach, a w szczytowym momencie ataku napływał ruch z ponad 45 tysięcy unikalnych adresów IP na sekundę.
Większość ruchu (praktycznie całość — 99,996%) stanowiły pakiety UDP, które łatwo generować i nie wymagają ustanowienia połączenia. Inne żądania były nieco bardziej złożone — tzw. odbicia i wzmocnienia, kiedy dane są kierowane z powrotem na serwer ofiary, potęgując presję na infrastrukturę. Dodatkowo zarejestrowano też klasyczne ataki typu flood.
Zarejestrowano ruch z 161 krajów, przy czym niemal połowa całkowitego obciążenia pochodziła z Brazylii i Wietnamu. Inna istotna część — z Tajwanu, Chin, Indonezji, Ukrainy, Ekwadoru, Tajlandii, USA i Arabii Saudyjskiej.
Aby zapobiec przeciążeniu serwera, Cloudflare rozłożyło obciążenie na swoje centra danych w różnych częściach świata — możliwie najbliżej źródeł ruchu. Dzięki temu firma zminimalizowała skutki ataku i utrzymała infrastrukturę w stanie operacyjnym.
Przypomnijmy, iż poprzedni rekord ataku DDoS wynosił 5,6 Tb/s i został zorganizowany przez botnet Mirai, składający się z 13 000 zainfekowanych urządzeń.
