Масивна DDoS кампания показва как разпределените атаки заобикалят традиционните rate limits

Нова мащабна Distributed Denial-of-Service (DDoS) атака демонстрира промяна в начина, по който модерните botnet кампании избягват традиционните защитни механизми.

По данни на DataDome, атакуващите са генерирали над 2.45 милиарда malicious requests в рамките на приблизително пет часа, използвайки повече от 1.2 милиона уникални IP адреса. Вместо агресивен flood от малък брой източници, кампанията е разчитала на масивно разпределение на трафика с ниска честота на заявките от всеки отделен IP адрес.

Какво се случва

Атаката е насочена срещу голяма платформа с user-generated content и достига пик от приблизително:

• 205,000+ requests per second (RPS)
• средно около 136,000 RPS
• над 16,400 autonomous systems (ASNs)

Ключовата техника е ниската честота на заявките от всеки отделен IP адрес. Средно всеки node е изпращал само по една заявка на около девет секунди.

Това означава, че:

• отделните IP адреси не изглеждат подозрителни сами по себе си
• стандартните per-IP rate limits не се активират
• malicious traffic се смесва с легитимен cloud traffic

Атакуващите са използвали комбинация от:

• privacy-focused инфраструктура
• cloud providers като AWS, Google Cloud и Cloudflare
• ротация на user agents и headers
• wave-based traffic patterns с периодични паузи

Защо това има значение

Тази кампания показва ясно ограничението на традиционните DDoS защити, които разчитат основно на:

• фиксирани rate thresholds
• блокиране на отделни IP адреси
• ASN reputation
• volume-only detection

При силно разпределена атака нито един отделен източник не изглежда достатъчно агресивен, за да бъде автоматично блокиран.

Това променя фокуса от:

• „Колко трафик идва?“

към:

• „Как изглежда поведението на трафика във времето?“

Потенциален ефект

Подобен тип DDoS кампания може да доведе до:

• degraded performance
• latency spikes
• отказ на услуги
• изчерпване на backend ресурси
• затруднения при разграничаване на легитимен и malicious traffic

Особено засегнати могат да бъдат:

• SaaS платформи
• customer portals
• e-commerce среди
• публични API услуги
• cloud-native приложения

Как е била открита атаката

Според DataDome атаката е била засечена чрез комбинация от:

• behavioral analysis
• server-side fingerprinting
• session anomaly detection
• reputation intelligence
• анализ на client-side inconsistencies

Изследователите посочват, че атакуващите не са използвали напълно реалистична browser automation, което е позволило идентифициране на несъответствия в поведението на сесиите.

DIAMATIX перспектива

Този случай показва как DDoS кампаниите се развиват отвъд класическия volumetric модел.

Вместо масивен flood от ограничен брой IP адреси, виждаме:

• distributed low-frequency traffic
• cloud blending
• adaptive pacing
• поведенческо избягване на detection механизми

Това означава, че статичните rate limits сами по себе си вече не са достатъчни за модерни интернет-facing среди.

CISO анализ

От гледна точка на operational resilience това е важен сигнал.

Ключовите въпроси вече не са само:

• Имаме ли DDoS protection?

а:

• Можем ли да различим distributed malicious behavior от нормален cloud traffic?
• Имаме ли baseline за нормално потребителско поведение?
• Колко бързо можем да реагираме при бавно ескалираща атака?

При подобни кампании detection трябва да работи на behavioral и session level, а не само на network volume.

Какво означава това за вашата среда

• Този тип атака разчита на масивно разпределен low-frequency traffic, който не изглежда подозрителен на ниво единичен IP адрес
• Откриването зависи от behavioral visibility и анализ на сесиите, а не само от традиционни rate limits
• Реакцията изисква adaptive mitigation и real-time monitoring, особено за публични cloud и SaaS среди

👉 Бихте ли засекли подобна distributed low-rate DDoS активност във вашата среда?
👉 Имате ли visibility върху аномалии в поведението на трафика, а не само върху обема?
👉 Заяви кратка оценка на текущата си готовност за DDoS detection и response- Свържете се с DIAMATIX

Източници

• DataDome Threat Research – Galileo Team Analysis
• DataDome Security Blog
• Industry DDoS Threat Intelligence Reports (May 2026)

Статията е базирана на публично достъпна информация и threat intelligence данни към май 2026 г.