Cloudflare ha sventato il più grande attacco DDoS mai registrato: 7,3 Tbps di traffico in 45 secondi

A maggio, Cloudflare ha mitigato un attacco DDoS da record, che ha raggiunto il picco di 7,3 terabit al secondo. L'attacco, diretto a un provider di hosting, ha generato un volume di traffico di 37,4 terabyte in soli 45 secondi, l'equivalente di oltre 9.000 film in HD trasmessi contemporaneamente. Si tratta di un incremento del 12% rispetto al precedente primato.

Le dimensioni dei DDoS hanno continuato a salire costantemente negli ultimi tre decenni. A marzo, Nokia rese noto che una botnet soprannominata Eleven11bot aveva lanciato un DDoS con un picco di 6,5 Tbps.

Cloudflare, specializzata in infrastrutture web e sicurezza informatica, ha identificato 122.145 indirizzi IP unici come origine del traffico malevolo, distribuiti in 161 Paesi. Le fonti principali erano localizzate in Brasile, Vietnam, Taiwan, Cina, Indonesia e Ucraina.

Il bersaglio è stato colpito con una tecnica nota come "carpet bombing": pacchetti UDP sono stati inviati su una media di oltre 21.000 porte al secondo, con un picco superiore a 34.000. Questa strategia è concepita per sovraccaricare firewall e sistemi di rilevamento intrusioni, causando disservizi o blocchi totali.

Nonostante la complessità dell'attacco, Cloudflare è riuscita a contrastarlo automaticamente, senza intervento umano, grazie alla sua rete anycast composta da 477 data center in 293 località. Le tecnologie di fingerprinting in tempo reale e il sistema di "gossiping" interno ai data center hanno permesso una condivisione immediata delle informazioni e la creazione automatica di regole difensive.

Il 99,996% del traffico era rappresentato da pacchetti UDP, ma erano presenti anche attacchi riflessi e di amplificazione, sebbene in percentuale minima. Tra i vettori utilizzati figurano protocolli obsoleti o mal configurati come QOTD, Echo, NTP, Portmap e RIPv1. Parte del traffico proveniva inoltre da botnet basate su Mirai, composte da dispositivi IoT compromessi.

I dati raccolti sono stati integrati nel servizio gratuito di Cloudflare chiamato DDoS Botnet Threat Feed, già adottato da oltre 600 organizzazioni, che consente di bloccare proattivamente indirizzi IP noti per attività malevole. L'azienda ha invitato altri soggetti esposti a sottoscrivere il feed per rafforzare la protezione preventiva contro attacchi di simile portata.

Il trend degli attacchi DDoS mostra una crescita costante in ampiezza e sofisticazione, alimentata dalla continua espansione di botnet e dall'esistenza di servizi di rete non sufficientemente protetti. L'evento di maggio rappresenta un nuovo punto di riferimento per il settore della sicurezza informatica, che dovrà continuare ad evolversi per affrontare minacce sempre più complesse.