Rekordowy atak DDoS 31,4 Tb/s – nowe zagrożenie dla internetu w 2026 roku

31,4 Tb/s. Nie, to nie nowy światłowód do metawersum, tylko tempo, w jakim ktoś próbował zatopić cudzy internet w listopadzie. Rekordowy atak DDoS zamknął kwartał i rok, w którym przeciążanie sieci przestało być dokuczliwym wybrykiem, a stało się sportem masowym.

Rok 2025 to 47,1 mln ataków DDoS – o 121% więcej niż rok wcześniej – średnio 5 376 incydentów na godzinę automatycznie zgaszanych w sieci Cloudflare. Kropką nad „i” był finisz: kampania „The Night Before Christmas” i wcześniejszy szczyt 31,4 Tb/s. Jeśli myśleliście, że DDoS to już „rozwiązany problem”, nowy raport za Q4 2025 boleśnie temu zaprzecza.

Dlaczego to ważne właśnie teraz? Bo krajobraz ataków się przeformatował. Zamiast długich fal – błyskawiczne „smash-and-dash”: kilkadziesiąt sekund, za to z przepływami, które wywracają routery i kładą łącza operatorów. A ponieważ botnety buduje się dziś z tanich Android TV i chmurki na klik, tempo eskalacji rośnie szybciej niż nasze łącza.

Rekordy, które lepiej nie padają

• Ten rekord – 31,4 Tb/s – padł w listopadzie i trwał 35 sekund. Kilka tygodni później ruszyła świąteczna kampania Aisuru/Kimwolf: 902 ataki, przeciętnie 3 mld pakietów/s, 4 Tb/s i 54 mln żądań/s, z pikami do 9 Bpps, 24 Tb/s i 205 mln żądań/s. Celowano zarówno w klientów Cloudflare, jak i w jego własny panel i infrastrukturę. [1]
• Źródło tej mocy? Botnet Aisuru-Kimwolf – od 1 do 4 mln przejętych urządzeń, głównie tanich, off-brandowych Android TV i innego konsumenckiego IoT. Efekt: ataki zdolne kruszyć „legacy” ochronę w chmurach i robić realny, krajowy kłopot operatorom. [5][3]
• W Q4 2025 liczba ataków wzrosła o 31% kwartał do kwartału i o 58% rok do roku. 78% to warstwa sieciowa (L3/L4). HTTP-owe szturmy nie były częstsze, ale urosły rozmiarem – do poziomów niewidzianych od „HTTP/2 Rapid Reset” w 2023.

Szerszy trend: więcej, szybciej, krócej

Cloudflare zamknął rok z 34,4 mln ataków sieciowych (ponad trzykrotny wzrost r/r) i 47,1 mln ogółem. Co istotne, skok dotyczy nie tylko liczby, ale i skali: porównywalne „duże” ataki urosły o 700% względem końcówki 2024. Już w Q3 Aisuru dobił do 29,7 Tb/s i 14,1 Bpps, więc listopadowy rekord nie wziął się znikąd – to była rozgrzewka. [2][7]

Kto dostał najmocniej i skąd to leciało

• Branże: na celowniku przede wszystkim telekomy, operatorzy i carrierzy. Za nimi IT i usługi, a dalej gaming, generatywne AI i hazard – krótko: usługi „zawsze online”, gdzie minuta przerwy boli najgorzej.
• Geografia: Hongkong wskoczył na drugie miejsce najbardziej atakowanych lokalizacji. Wielka Brytania zanotowała skok o 36 miejsc, lądując na szóstym – splot gęstej infrastruktury, ataków na finanse i bieżących napięć politycznych robi swoje. Chiny, USA, Niemcy i Brazylia wciąż wysoko na mapie celów. [1]
• Źródła: w Q4 prym wiódł Bangladesz jako kraj pochodzenia ruchu DDoS (zdetronizował Indonezję). Wiele zalewów startowało z komercyjnych chmur i sieci telko – prym wiodły m.in. platformy z wirtualnymi maszynami, które pozwalają szybko „dołożyć mocy” do ataku bez kupowania zombi-telewizorów. [2]

Z czego zrobiono ten botnet

Kimwolf – „młodszy” odłam Aisuru rozpracowany przez badaczy – infekuje głównie pudełka z Android TV. To nie tylko „armata DDoS”, ale i proxy, reverse shell, proste ukrywanie C2 (DNS over TLS) czy podpisy ECDSA do autoryzacji komend. W trzy dni na przejętej domenie C2 odnotowano ok. 2,7 mln adresów IP – realnie to co najmniej 1,8-2+ mln urządzeń w sieci. Dodajmy do tego hurtowe „rekrutacje” przez sieci rezydencjalnych proxy: śledztwa z końca 2025 i początku 2026 łączą Aisuru z masowym tunelowaniem przez IPIDEA; Google i partnerzy (w tym Cloudflare) zaczęli już porządki – od odcinania domen po kroki prawne. Oczyszczenie rynku proxy nie rozwiąże wszystkiego, ale usuwa wygodne zaplecze logistyki dla kolejnych kampanii.

Nowa fizyka internetu: krótkie uderzenia, autonomiczna obrona

Recepta obronna nie jest romantyczna: bez zawsze włączonej, autonomicznej mitigacji człowiek nie zdąży nawet kliknąć w dashboard, gdy ruch wskoczy w miliardy pakietów na sekundę i zgaśnie po minucie. Stąd i smutna, i trzeźwa konkluzja raportu: przy tej skali i dynamice tylko maszyny są w stanie zatrzymać maszyny. A i one czasem dowiadują się o kampaniach… pisząc kwartalny raport.

W praktyce: zawsze włączona ochrona DDoS, automatyczne progi na L3-L7 i filtracja na brzegu sieci.

Co z tego wynika poza liczbami

• DDoS wraca jako broń o realnym wpływie systemowym. Uderzenie w telco czy węzłowe usługi chmurowe „faluje” po całej gospodarce – nawet jeśli atak mierzył w coś zupełnie innego.
• Ekonomia ataku sprzyja agresorom. Botnet-as-a-service sprzedawany „na kilo” i doładowywany chmurą sprawia, że niszczycielską moc wynajmiesz dziś za ułamek kosztu obrony.
• Konsument płaci podwójnie. Raz – kupując tani box z dziurawym firmware. Dwa – pośrednio, gdy jego operator pada ofiarą zalewu złożonego z takich właśnie boxów.

Na finał

Rekord 31,4 Tb/s to bardziej kamień milowy niż jednorazowa anomalia. Wszystko wskazuje, że 2026 nie będzie spokojniejsze – chyba że szybciej wyczyścimy łańcuch dostaw taniego IoT i odetniemy botnetom „tanią chmurę”. Pytanie brzmi więc mniej „czy”, a bardziej „kiedy” Wasza organizacja zetknie się z uderzeniem krótkim i rekordowym. I czy Wasze filtry zdążą zareagować, zanim zdążycie je otworzyć.

Źródła

• [1] https://blog.cloudflare.com/ddos-threat-report-2025-q4/
• [2] https://cyberinsider.com/cloudflare-mitigates-record-breaking-31-4-tbps-ddos-attack-in-q4-2025/
• [3] https://securityaffairs.com/187690/hacking/record-breaking-31-4-tbps-ddos-attack-hits-in-november-2025-stopped-by-cloudflare.html
• [4] https://tbreak.com/ddos-attacks-surge-2025-uae-cloudflare-report/
• [5] https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.html
• [6] https://theregister.com/2026/02/06/uk_climbs_up_ddos_hit/
• [7] https://hackread.com/germany-most-targeted-country-q1-2025-ddos-attacks/
• [8] https://techradar.com/pro/security/the-biggest-ddos-attack-ever-has-been-detected-but-fortunately-you-probably-barely-noticed-it
• [9] https://blog.cloudflare.com/ddos-threat-report-2025-q3/