Cloudflare ha rilevato il più grande attacco DDoS mai registrato fino a oggi, un’ondata di traffico spazzatura da 7,3 terabit al secondo che ha investito un cliente della piattaforma per la sicurezza informatica e le prestazioni web. L’attacco ha avuto una durata brevissima, appena 45 secondi, ma ha generato 37,4 terabyte di dati, equivalenti a oltre 9.000 film in HD o circa 7.500 ore di contenuti video in streaming, il tutto in meno di un minuto. Un’azione di forza brutale e chirurgicamente orchestrata, che dimostra l’evoluzione e la crescente pericolosità delle offensive digitali moderne.

Un attacco su larga scala

Cloudflare ha descritto l’attacco come un esempio di “carpet bombing”, una tecnica in cui migliaia di porte di un singolo indirizzo IP vengono colpite simultaneamente. In questo caso, si è arrivati a colpire 22.000 porte in media, con un totale di 34.500 porte coinvolte. L’attacco è stato realizzato quasi interamente sfruttando pacchetti UDP (User Datagram Protocol), un protocollo senza connessione utilizzato normalmente per comunicazioni in tempo reale, come lo streaming o i videogiochi. Proprio per la sua natura “leggera”, l’UDP è il vettore ideale per i cybercriminali, in quanto permette di inviare pacchetti senza che il destinatario debba prima approvare la trasmissione o verificarne l’integrità.

Gli attacchi UDP flood, come quello osservato, funzionano sovraccaricando il server bersaglio con un volume enorme di pacchetti inviati a porte casuali o specifiche. Il sistema, costretto a rispondere a ogni singola richiesta non valida, finisce per cedere, negando il servizio anche al traffico legittimo. Sebbene solo lo 0,004% del traffico dell’attacco sia stato generato tramite tecniche di riflessione, queste ultime restano tra le più pericolose: il traffico malevolo viene inviato a server intermedi che, ingannati da un IP falsificato, rispondono direttamente al bersaglio. I protocolli sfruttati in questo caso comprendevano il Network Time Protocol, il Quote of the Day, l’Echo Protocol e i servizi Portmapper, tutti strumenti noti per la loro vulnerabilità alle amplificazioni.

Botnet e dispositivi IoT: l’altra faccia della minaccia

Cloudflare ha confermato che parte dell’attacco è stato eseguito da botnet basate su Mirai, una rete di dispositivi IoT compromessi, come router domestici, videocamere connesse e piccoli server. Questo tipo di botnet è estremamente efficace perché sfrutta l’enorme numero di dispositivi scarsamente protetti connessi alla rete globale. Il record di Cloudflare segna una tappa importante in un trend in crescita da trent’anni: a marzo, Nokia aveva rilevato un attacco da 6,5 Tbps, e a maggio il sito KrebsonSecurity era stato colpito con una potenza di 6,3 Tbps. In un contesto in cui i volumi di traffico malevolo raggiungono dimensioni fino a pochi anni fa impensabili, la protezione delle infrastrutture digitali non è mai stata così cruciale.