Mega-DDoS da 29,7 Tbps: cosa ci dice il più grande attacco DDoS mai registrato nella storia di Internet

3 Dicembre 2025 Carolina Valdinosi

L’attacco DDoS da 29,7 Tbps mitigato da Cloudflare segna una nuova era nelle minacce informatiche. Analizziamo come evolvono le strategie di difesa, quali implicazioni ha per le infrastrutture di rete e perché il fenomeno delle mega-DDoS richiede un ripensamento architetturale profondo.

Una nuova soglia storica per la sicurezza delle reti globali

Il 4 dicembre 2025 Cloudflare ha annunciato di aver mitigato il più grande attacco DDoS mai registrato nella storia di Internet: 29,7 terabit al secondo (Tbps) di traffico inondante generato da una botnet nota come AISURU. Un evento di questa portata non rappresenta solo una sfida tecnica straordinaria, ma segna un vero cambio di paradigma nella gestione delle infrastrutture di rete globali.

Per quanto breve (69 secondi), l’attacco ha utilizzato UDP carpet-bombing, colpendo simultaneamente una media di 15.000 porte di destinazione al secondo. La capacità di generare volumi così elevati in tempi tanto ristretti solleva domande cruciali sulla scalabilità dei sistemi di difesa, sull’efficacia delle architetture di mitigazione e sul ruolo strategico di tecnologie come CDN, WAF distribuiti e sistemi di rilevamento automatizzati.

Chi è AISURU: una botnet per attacchi volumetrici su scala planetaria

L’attacco da 29,7 Tbps non è stato un episodio isolato. Dall’inizio del 2025, Cloudflare ha mitigato ben 2.867 attacchi condotti da AISURU, di cui 1.304 solo nel terzo trimestre dell’anno. AISURU è una botnet-for-hire (affittabile come servizio) composta da una rete globale di 1-4 milioni di host infetti, distribuiti principalmente in Asia, America Latina ed Europa dell’Est.

I settori più colpiti includono:

  • Provider di telecomunicazioni
  • Servizi finanziari
  • Gaming e gambling online
  • Infrastrutture di hosting
  • Compagnie attive nell’ambito dell’intelligenza artificiale

Solo nel mese di settembre 2025, il traffico DDoS verso aziende nel settore dell’AI è aumentato del 347% rispetto ai mesi precedenti.

Perché le DDoS stanno crescendo in frequenza e intensità

Il modello economico dietro gli attacchi DDoS sta cambiando. Le botnet moderne sono spesso automatizzate, a noleggio e altamente configurabili. Ciò consente attacchi rapidi, su larga scala, e su più livelli contemporaneamente. Le ragioni principali dell’aumento delle DDoS ipervolumetriche includono:

  • Adozione di architetture cloud distribuite più esposte a vettori pubblici
  • Espansione della superficie d’attacco dovuta a IoT non protetti
  • Modelli di monetizzazione tramite estorsione (Ransom DDoS)
  • Conflitti geopolitici digitali che sfruttano la disgregazione infrastrutturale

In particolare, l’attacco del 4 dicembre ha evidenziato la capacità dei threat actor di coordinare attacchi a livello di rete (L3/L4) con pacchetti randomizzati per evadere le difese tradizionali.

Trend attuali: più brevi, ma più potenti e intelligenti

Secondo Cloudflare, la maggioranza degli attacchi dura meno di 10 minuti, ma è sufficiente per generare un impatto significativo su sistemi non adeguatamente protetti. I numeri del terzo trimestre 2025 mostrano:

  • 189% di aumento nei DDoS superiori a 100 milioni di pacchetti al secondo (Mpps)
  • 1.304 attacchi superiori a 1 Tbps solo tra luglio e settembre
  • 36,2 milioni di attacchi DDoS mitigati nel 2025, +40% rispetto al 2024

Questo indica una chiara tendenza verso attacchi rapidi, concentrati e di potenza massima, progettati per sfruttare ogni secondo utile prima che le difese si attivino.

Architetture di difesa: come proteggersi da attacchi sopra i 30 Tbps

La soglia dei 30 Tbps rappresenta un livello finora considerato improbabile. Per resistere a scenari da 50 o 100 Tbps, le architetture devono evolvere secondo principi chiave:

1. Ridondanza geografica e distribuzione CDN

Una rete CDN distribuita permette di assorbire il traffico dannoso più vicino alla sua origine, limitando il rischio per il backend applicativo. Le CDN moderne possono gestire volumi terabitici grazie alla replica dei contenuti e alla segmentazione geografica delle richieste.

2. Filtraggio a livello edge e rilevamento precoce

Tecnologie di automatic mitigation e auto-scaling sono cruciali. Le piattaforme più avanzate utilizzano AI per rilevare pattern anomali in tempo reale e attivare contromisure senza necessità di intervento umano.

3. Overprovisioning e buffer di capacità

Organizzazioni ad alto rischio devono pianificare capienza di rete superiore al traffico legittimo. L’overprovisioning rimane una delle soluzioni più efficaci per garantire continuità operativa anche sotto attacco.

4. Analisi comportamentale e fingerprinting dei bot

Le nuove botnet utilizzano tecniche di spoofing e randomizzazione per mascherare l’origine. Per questo è essenziale adottare sistemi in grado di riconoscere i fingerprint comportamentali degli attori malevoli e distinguere traffico umano da bot.

Implicazioni economiche e settoriali: chi è più a rischio

I settori più colpiti sono anche quelli dove l’interruzione di servizio comporta impatti economici immediati. Secondo i dati di Cloudflare, nel 2025 le industrie più attaccate sono state:

  • IT e servizi cloud
  • Telecomunicazioni
  • Gaming e gambling
  • Intelligenza artificiale
  • Automotive (settore in crescita come bersaglio)

Questa evoluzione suggerisce che la DDoS sta diventando anche un’arma competitiva o geopolitica, utilizzata per colpire asset strategici nei momenti di maggiore fragilità operativa (rilascio prodotti, eventi globali, bilanci trimestrali).

Difese proattive: le contromisure da implementare oggi

Ogni organizzazione che gestisce sistemi esposti deve sviluppare un DDoS Response Plan strutturato. Alcuni elementi fondamentali includono:

  • Accordi di protezione con provider CDN/WAF con capacità multi-Tbps
  • Simulazioni periodiche di attacchi per testare tempi di risposta
  • Segmentazione dei servizi critici su infrastrutture isolate
  • Logging e auditing in tempo reale per una risposta immediata
  • Rilevamento anomaly-based supportato da machine learning

Verso una resilienza da 100+ Tbps: cosa ci aspetta

Gli analisti concordano: entro il 2027 sarà possibile vedere attacchi superiori a 100 Tbps, alimentati da botnet IoT, 5G edge e infrastrutture compromesse.

Sopravvivere in questo scenario richiederà:

  • Architetture ibride multicloud con capacità di failover istantaneo
  • Reti autonome basate su AI in grado di reagire prima degli operatori umani
  • Standard globali di cooperazione tra operatori CDN e ISP

Il confine tra attacco e disastro sistemico sarà sempre più sottile. Investire in sicurezza oggi equivale a garantire continuità operativa, protezione del brand e affidabilità sul lungo periodo.

Il tempo della reazione è finito: serve progettare per l’attacco

L’attacco da 29,7 Tbps del 2025 non è solo un record: è una prova generale del futuro. I cyberattacchi ipervolumetrici rappresentano una minaccia concreta e crescente, capace di impattare il tessuto stesso dell’economia digitale.

Le aziende non possono più affidarsi a difese passive o reattive. Serve una visione architetturale, scalabile e predittiva della sicurezza, capace di reggere l’urto non solo dell’attacco del giorno, ma di quelli che verranno.