Атаки на датские выборы в ноябре 2025 года: что показывают данные нашей собственной сети

В недавних сообщениях сеть MIRhosting упоминалась в связи с волной распределенных DDoS-атак, обрушившихся на датские муниципальные, правительственные, партийные, банковские и медийные веб-сайты в преддверии выборов 18 ноября 2025 года. Мы относимся к этому серьезно. Вместо того чтобы отвечать прилагательными, мы вернулись к единственному источнику, который действительно может ответить на этот вопрос — данным о трафике из нашей собственной сети, сохранили их и теперь публикуем то, что они показывают.

Вкратце: в рассматриваемый период наша сеть и клиенты, которых мы подключаем к интернету, подвергались этим атакам. Наш мониторинг показывает, что входящий трафик атак поступает на адреса, которые мы обслуживаем, и мы приняли меры по его защите. Он не показывает атак, исходящих из нашей сети и направленных на другие сети.

Во-первых, что же такое MIRhosting на самом деле?
Компания MIRhosting управляет интернет-сетью — автономной системой AS52000 — которая обеспечивает подключение и транзит трафика для клиентов, предоставляющих услуги хостинга и размещения оборудования. Проще говоря, мы больше похожи на дорогу или телекоммуникационную компанию, чем на водителя. Трафик от множества разных клиентов проходит через нашу сеть на пути к интернету и обратно.

Это различие важно для понимания того, что такое DDoS-атака и откуда она исходит. Современная DDoS-кампания, подобная той, что была зафиксирована в Дании, представляет собой распределенную атаку: трафик поступает к жертве с тысяч несвязанных между собой машин по всему миру, и все они одновременно атакуют, чтобы перегрузить цель. Поток атак не исходит из одной сети и не обрушивается на жертву отовсюду. Он обрушивается на жертву отовсюду.

Это ключ к правильной интерпретации данных. Если бы атак была сеть MIRhosting, то характерный признак был бы очевиден: аномально большие объемы трафика, исходящие из AS52000. Если бы же атакам подвергались клиенты из нашей сети, то характерным признаком были бы потоки входящего трафика, направленные на этих клиентов. Наши записи четко и последовательно показывают второй вариант.

Что показывают данные
Мы сохранили данные мониторинга по двум соответствующим регионам (Нидерланды и Германия) за период с 1 октября по 30 ноября 2025 года, включая неделю выборов в Дании (13–19 ноября). Выделяются четыре основных вывода.

1. Все атаки были входящими. Ни одной исходящей.
Наши системы обнаружения на границе сети зафиксировали 4468 аномалий DDoS-атак за весь период. Каждая из них была входящей — направленной на адреса, через которые мы проходим. Ни одна атака не исходила из нашей сети в сторону внешней жертвы. Если сузить круг до недели выборов, картина идентична: 620 аномалий, все входящие, ни одной исходящей. Асимметрия не является особенностью более широкого временного окна; она сохраняется и в период выборов в отдельности.

2. Атаки были направлены на клиентов, с которыми мы сотрудничаем, а не осуществлялись с нашей стороны.
Наибольшая концентрация входящего трафика атак в наших данных была направлена ​​на адресное пространство одной клиентской сети, WorkTitans (AS209847) — 4237 входящих аномалий, что в сумме составляет примерно 52 ТБ входящего трафика за весь двухмесячный период. (Распределенная на более чем четыре тысячи отдельных событий, это небольшая сумма на событие — признак кампании, состоящей из множества небольших потоков, а не из нескольких рекордных, как это обычно выглядит при распределенных атаках такого рода.) Еще 229 входящих аномалий были направлены на других, более мелких клиентов, чьи данные мы сохраняем в тайне. В наших сетевых данных они отображаются как адреса назначения трафика атак, а не как источники. Любые отдельные вопросы, касающиеся каждого отдельного клиента, являются прерогативой властей, а не тем, на что указывают наши данные о трафике; наши данные устанавливают направление — трафик, поступающий по этим адресам, а не покидающий нашу сеть в направлении других адресов.

3. Наша собственная сеть не подвергалась атакам в течение недели выборов и не демонстрировала признаков атаки.
Адреса, принадлежащие собственному пространству MIRhosting (AS52000), не показали никаких аномалий в течение недели выборов. (Два незначительных события произошли ранее, 9 и 13 октября, оба со скоростью менее 1 Гбит/с и не требующие мер по смягчению последствий задолго до выборов.)

4. В течение недели выборов в нашей сети не наблюдалось резкого увеличения трафика.
Общий объем трафика, покидающего нашу сеть в течение недели выборов, составил примерно 1,12 раза больше нашего базового уровня начала октября в среднем за сутки (1,13 раза больше пикового значения за сутки) — обычный недельный рост, не более того. Самым загруженным днем ​​за весь двухмесячный период было 27 октября, когда трафик превысил базовый уровень в 1,24 раза — это произошло вне периода выборов. Нет никаких признаков всплеска трафика, которые бы указывали на то, что наша сеть стала источником крупной атаки.

Что мы с этим сделали
На протяжении всего периода MIRhosting действовала в оборонительном режиме. Каждая из 4468 входящих аномалий была обнаружена и обработана на нашей границе сети, а самые сильные потоки были перенаправлены на смягчение последствий «черных дыр» BGP (68 за весь период, 6 во время недели выборов) для защиты целевых клиентов. Это поведение сети, защищающей тех, кто подвергается атаке.

Честно оценить, что эти данные могут и чего не могут доказать.
Мы предпочитаем сами обозначить свои ограничения, чем чтобы нам на них указывали. Поэтому, проще говоря:

Рекорд трафика в неделю выборов сохраняется на уровне одного измерения в день (среднесуточное значение и пиковое значение). Этого достаточно, чтобы исключить всплеск, и мы показываем как среднее значение, так и пиковое значение, но при такой детализации это само по себе не может исключить кратковременный микро-всплеск, длящийся менее часа. Наш вывод о «нуле исходящих атаках» отражает то, что зафиксировала наша система обнаружения границ; он подтверждается, но не основывается исключительно на, стабильном базовом уровне трафика. А сопоставление адреса с сетью доказывает, кому принадлежит этот адрес — на чем и основаны наши подсчеты целевых объектов, — а не на отслеживании происхождения отдельного пакета.

Мы открыто делаем эти оговорки, потому что это разница между статистикой и лозунгом. Ни одна из них не меняет основного, подтвержденного данными вывода: по нашим данным, атаки были направлены против клиентов, которых мы защищаем, и никаких аномальных событий за пределами нашей сети не произошло.

Почему «от нас ничего не вышло» — это ожидаемый результат, а не счастливая случайность.
Стоит уточнить, что наши результаты не являются неожиданностью, которая нас обрадовала, — это технически корректный результат для сети в нашем положении. При распределенной атаке поток трафика исходит от тысяч разрозненных машин, а не от хостинг-провайдера или транзитного провайдера. Для транзитной интернет-сети, подобной нашей, ожидаемый и честный результат — это именно то, что мы наблюдаем: атаки поступают к нашим клиентам, и нет аномального трафика, покидающего нашу собственную сеть. Мы представляем это как положительный, подтвержденный факт, а не как «мы искали и ничего не нашли».

Что до нас дошло, а что нет.
Для того чтобы это было зафиксировано в протоколе, важно точно указать, какая информация нам была предоставлена, а какая — нет, в связи с этими конкретными нападениями.

Мы не получали никаких сообщений о нарушениях, жалоб или запросов о помощи или информации по поводу DDoS-атак на датские выборы — ни от пострадавших сторон, ни от других участвующих сетей, ни через каналы связи, предназначенные именно для таких ситуаций. Когда сеть идентифицируется как источник трафика атаки, стандартной и обычной реакцией является уведомление о нарушении с просьбой к оператору принять меры. В связи с этими атаками до нас ничего подобного не дошло.

Нам также не предоставили никаких технических подробностей, которые мы могли бы изучить. Публичное указание на нашу сеть основывалось на неназванном источнике и на материалах, которые не были опубликованы. Нам ни разу не предоставили IP-адреса, временные метки или данные сетевого уровня, на которых, как утверждается, основано это утверждение — именно те детали, которые позволили бы нам проверить его по нашим собственным данным и ответить на что-то конкретное, а не на характеристику.

Мы поставили перед собой цель не критиковать чьи-либо репортажи, а объяснить наш подход. На утверждение, которое нельзя проверить, нельзя ответить, исходя из его собственных условий. Поэтому, вместо того чтобы ждать конкретных деталей, которые так и не были предоставлены, мы поступили более прозрачно: мы сохранили наши собственные данные и опубликовали их в полном объеме, чтобы любой желающий — включая власти — мог их проверить.

Что будет дальше?
Мы сохранили полную криминалистическую документацию — исходные данные по каждому событию, полный список хранимых данных и хеши SHA-256 каждого артефакта — и предоставим ее соответствующим юридическим и регулирующим органам по запросу. Сводные данные, лежащие в основе каждой диаграммы выше, публикуются вместе с этим заявлением, чтобы любой желающий мог их проверить.

Компания MIRhosting работает в рамках закона, сотрудничает с властями и серьезно относится к злоупотреблениям в своей сети. Что касается конкретного технического вопроса, который был поднят — исходили ли эти атаки из нашей сети или были осуществлены через нее — наши собственные данные дают четкий ответ, и мы представляем эти данные.

mirhosting.com