![image](https://habrastorage.org/getpro/habr/post_images/2cc/8e8/845/2cc8e8845eea35c83f0df3da2f6cafb8.png)
В Amazon рассказали о том, что в середине февраля служба AWS Shield смогла справиться с крупнейшей из когда-либо зарегистрированных DDoS-атак. Тогда поток сгенерированных ботнетом данных достиг 2,3 терабит в секунду.
Атака произошла на клиента AWS, которого не раскрывают. В результате для персонала AWS Shield ввели режим повышенной готовности, который действовал три дня.
В атаке задействовали взломанные веб-серверы CLDAP (Connection-less Lightweight Directory Access Protocol) — альтернативу устаревшему LDAP. Их используют для подключения к доступным в сети каталогам для поиска и модификации хранящейся внутри информации. Впервые CLDAP использовали при атаках в конце 2016 года.
До этого момента крупнейшей называли DDoS-атаку с объемом трафика 1,7 Тб/с. Атака произошла в марте 2018 года, ее остановила NETSCOUT Arbor. Тогда злоумышленники использовали сеть из скомпрометированных серверов Memcached.
![image](https://habrastorage.org/getpro/habr/post_images/756/ff2/9f1/756ff29f10dce96523d72dd3652442a3.png)
За последние годы было зарегистрировано несколько относительно крупных DDoS-атак с пиковым трафиком порядка 500 Гб/с. В Link11 отмечают, что средний размер DDoS-атак в первом квартале 2020 года составлял всего 5 Гбит/с.
![image](https://habrastorage.org/getpro/habr/post_images/56b/2d6/4e3/56b2d64e3c8481d6ebcf3749fb0df7de.jpg)
Cloudflare заявил, что 92% DDoS-атак, которые удалось отразить провайдеру в первом квартале 2020 года, были со скоростью менее 10 Гбит/с, а 47% — до 500 Мбит / с.
![image](https://habrastorage.org/getpro/habr/post_images/e06/b9c/0bd/e06b9c0bd805c9a072f80d9a5bafdf9b.png)
Поэтому данный инцидент может означать развитие новой тенденции. Буквально вчера в Akamai сообщили о DDoS-атаке с трафиком 1,44 Тб/с, которая произошла в первую неделю июня.
См. также:
empenoso
А каким образом генерируется подобного размера трафик?
morgot
Наверное,udp spoofing.
DoMoVoY
т.е., имея канал 1Гбит/с, можно сделать атаку в 70Гбит/с, если есть список серверов, через которые можно умножать трафик. ip spoofing + ответ в разы больше запроса.