巧合的是，美國與新加坡、泰國、德國聯手，5月底宣佈拆毀大型殭屍網路911 S5，也與該公司看到5月下旬DDoS攻擊大幅下降的現象大致符合，但他們無法確認兩者是否有直接關聯。

在透露最大規模的攻擊流量之餘，該公司也指出駭客使用大流速封包越來越普遍的現象。他們在這一年半的時間裡麵，發現超過100 Mbps的DDoS攻擊出現越來越頻繁的現象，原本每週僅需處理數次攻擊，如今變本加厲，每週需緩解的攻擊高達數百起。

該公司也提及一起發生在今年4月的攻擊事故為例，99%是TCP ACK流量，由5千個IP位址發出，但特別的是約有三分之二的封包來自4個美國的網路服務提供點（Point of Presence，PoP），其中3個位於西岸，這代表駭客僅利用少數來源發送大量封包。

針對這樣的假設，他們手動分析近百組100至500 Mbps的攻擊，結果發現在許多事故當中，攻擊來源並不多，但發送的流量卻佔據總量相當高的比例。

該公司針對資料流量最高的前70個IP位址進行調查，結果發現約四分之的來自亞洲的自治系統（AS），他們進一步透過資安防禦搜尋引擎Onyphe進行分析，發現使用這些IP位址的多半是MikroTik路由器，而且大部分都未修補資安漏洞。

根據他們的調查，有半數執行早於2023年5月23日推出的舊版RouterOS作業系統，而可能有已知漏洞遭到駭客利用。此外，他們也看到部分搭配新版韌體RouterOS 6.49.14的設備被用來發動DDoS攻擊的現象，研判這些設備遭到入侵之後，對方還幫它們升級韌體。

究竟攻擊者如何濫用這些設備產生DDoS攻擊流量，OVHcloud推測，很有可能利用RouterOS內建的頻寬壓力測試功能來達到目的。

值得留意的是，這些MikroTik設備並非小型企業或家用的機種，而是雲端核心路由器（Cloud Core Router，CCR），換言之，這些用於發動DDoS攻擊的路由器，多為大型網路環境設備，該公司總共看到99,382臺，當中又以CCR1036-8G-2S+最多，有30,976臺，涵括近三分之一的臺數。

OVHcloud表示，究竟對方利用那些漏洞入侵受害路由器，目前仍不得而知，無法判斷其他CCR設備是否也遭到攻擊，但他們也提及，IT人員將這些網路設備的管理主控臺曝露於網際網路，仍然造成很大的風險。

究竟這些設備能讓攻擊者產生多少流量？該公司根據他們發現遭綁架的大量MikroTik設備進行保守估算，若以1%流量從事DDoS攻擊，這個殭屍網路每秒就能產生22.8億個封包。