Rekordowy atak DDoS na Europę - hakerzy użyli 11 tysięcy sieci jednocześnie

Firma FastNetMon wykryła i zablokowała jeden z największych ataków DDoS w historii, osiągający rekordowe 1,5 miliarda pakietów na sekundę. Celem była firma zajmująca się ochroną przed atakami DDoS w Europie Zachodniej.

Atak wykorzystał urządzenia z ponad 11 tysięcy sieci na całym świecie. Większość ruchu pochodziła z przejętych urządzeń IoT i routerów MikroTik należących do użytkowników końcowych. Atakujący skoncentrowali się na technice UDP flood, bombardując cel pakietami danych.

FastNetMon ostrzega, że bez proaktywnego filtrowania na poziomie dostawców internetu, sprzęt konsumencki może być przejmowany na masową skalę.

System FastNetMon wykrył nietypowy ruch w ciągu kilku sekund i automatycznie uruchomił procedury obronne. Firma wykorzystała zoptymalizowane algorytmy C++ do analizy ruchu sieciowego w czasie rzeczywistym. Dzięki szybkiej reakcji zaatakowana firma nie doświadczyła żadnych widocznych zakłóceń w działaniu swoich usług.

Rosnący trend

Według Pavela Odintsova, założyciela FastNetMon, incydent jest częścią niebezpiecznego trendu. "Gdy dziesiątki tysięcy urządzeń klienckich może być przejętych i wykorzystanych w skoordynowanych atakach tej skali, ryzyko dla operatorów sieci rośnie wykładniczo" - ostrzega ekspert.

Atak pojawił się krótko po tym, jak Cloudflare zgłosił rekordowy atak wolumetryczny o natężeniu 11,5 Tbps i 5,1 miliarda pakietów na sekundę. Oba incydenty podkreślają wzrost zarówno ataków opartych na liczbie pakietów, jak i przepustowości. FastNetMon ostrzega, że bez proaktywnego filtrowania na poziomie dostawców internetu, sprzęt konsumencki może być przejmowany na masową skalę.

Atak wykorzystał urządzenia z ponad 11 tysięcy sieci na całym świecie.

Branża musi wdrożyć logikę wykrywania na poziomie ISP, aby zatrzymać ataki wychodzące, zanim osiągną tak ogromne rozmiary. Chodzi o systemy monitorowania, które dostawcy internetu (Orange, Play, T-Mobile) instalowaliby w swojej infrastrukturze, aby wykrywać nietypowy ruch wychodzący od klientów. Gdy system wykryje, że np. domowy router wysyła miliony pakietów na sekundę (co oznacza, że został przejęty), automatycznie blokuje ten ruch, zanim opuści sieć dostawcy. Dzięki temu ataki DDoS można zatrzymać u źródła - zamiast bronić się dopiero w miejscu docelowym.