Cloudflare: enorme toename van hypervolumetrische DDoS aanvallen

De belangrijkste bevindingen daarvan zijn:

• Het aantal DDoS-aanvallen steeg fors in het derde kwartaal van 2024. Cloudflare heeft bijna 6 miljoen DDoS-aanvallen afgezwakt, een stijging van 49% QoQ en 55% YoY.

• Van die 6 miljoen waren er meer dan 200 hypervolumetrische DDoS-aanvallen, met een snelheid van ruim 3 terabits per seconde (Tbps) en 2 miljard pakketten per seconde (Bpps). De grootste aanval piekte op 4,2 Tbps en duurde slechts een minuut.

• De financiële sector werd het vaakst getroffen door DDoS-aanvallen, China werd als land het vaakst aangevallen en Indonesië was de grootste bron van DDoS-aanvallen.

Hypervolumetrische DDoS-aanvallen

In de eerste helft van 2024 detecteerden Cloudflare’s autonome DDoS-verdedigingssystemen 8,5 miljoen DDoS-aanvallen, die automatisch zijn gemitigeerd: 4,5 miljoen in Q1 en 4 miljoen in Q2. In Q3 mitigeerden de systemen bijna 6 miljoen DDoS-aanvallen, wat het totaal op 14,5 miljoen DDoS-aanvallen tot nu toe brengt. Dat zijn er gemiddeld 2.200 per uur. Van alle aanvallen mitigeerde Cloudflare ruim 200 hypervolumetrische DDoS-aanvallen op de netwerklaag van 1 Tbps of 1 Bpps of groter. De grootste aanvallen bereikten een piek van 3,8 Tbps en 2,2 Bpps. Tijdens het opstellen van de derde kwartaalrapportage detecteerden en verzwakten Cloudflare’s systemen op 21 oktober autonoom een DDoS-aanval van 4,2 Tbps die circa een minuut duurde.

Soorten en karakteristieken van de DDoS-aanvallen

Van de 6 miljoen DDoS-aanvallen waren de helft HTTP (applicatielaag) DDoS-aanvallen en de andere helft netwerklaag DDoS-aanvallen. Netwerklaag DDoS-aanvallen namen toe met 51% QoQ en 45% YoY, en HTTP DDoS-aanvallen namen toe met 61% QoQ en 68% YoY. 90% van de DDoS-aanvallen, inclusief de grootste, duurden maar kort. Cloudflare zag echter een lichte toename (7%) in aanvallen die langer dan een uur duurden.

Van de netwerklaag DDoS-aanvallen was SYN flood de belangrijkste aanvalsvector, gevolgd door DNS flood-aanvallen, UDP floods, SSDP reflection-aanvallen en ICMP reflection-aanvallen. Op de applicatielaag werd 72% van de HTTP DDoS-aanvallen gelanceerd door bekende botnets en automatisch gemitigeerd door Cloudflare’s eigen heuristiek. Dat behoort tot de voordelen van een groot wereldwijd netwerk. Het volume aan verkeer en aanvallen dat Cloudflare ziet, stelt ze in staat om robuuste verdedigingen tegen botnets te maken, testen en implementeren.

Nog eens 13% van de HTTP DDoS-aanvallen werd gemitigeerd vanwege hun verdachte of ongebruikelijke HTTP-kenmerken, en nog eens 9% waren HTTP DDoS-aanvallen gelanceerd door nepbrowsers of browserimitators. De resterende 6% van ’overig’ omvat aanvallen die gericht waren op login-eindpunten en cache-busting-aanvallen. Eén ding om op te merken is dat deze aanvalsvectoren of aanvalsgroepen niet noodzakelijkerwijs exclusief zijn. Bekende botnets imiteren bijvoorbeeld ook browsers en hebben verdachte HTTP-kenmerken, maar deze indeling is Cloudflare’s poging om de HTTP DDoS-aanvallen op een zinvolle manier te categoriseren.

Doelen van de DDoS-aanvallen

China was de locatie die de meeste aanvallen in het derde kwartaal van 2024 te verduren kreeg. De Verenigde Arabische Emiraten stonden op de tweede plaats, gevolgd door Hongkong op de derde plaats, op de voet gevolgd door Singapore, Duitsland en Brazilië. Canada stond op de zevende plaats, gevolgd door Zuid-Korea, de Verenigde Staten en Taiwan op de tiende plaats.

Banking & Financial Services was de populairste sector voor DDoS-aanvallen. Information Technology & Services stond op de tweede plaats, gevolgd door Telecommunications, Service Providers en Carriers. Cryptocurrency, internet, gokken en casino's en gaming volgden op de voet als de volgende meest aangevallen sectoren. Consumentenelektronica, bouw en civiele techniek en de detailhandel completeerden de top tien van meest aangevallen marktsectoren.

Geleerde lessen

Dit kwartaal zag Cloudflare een enorme toename van hypervolumetrische DDoS-aanvallen, met pieken van 3,8 Tbps en 2,2 Bpps. Vergelijkbaar met dezelfde trend vorig jaar, toen aanvallen op applicatielagen in de HTTP/2 Rapid Reset-campagne ruim 200 miljoen verzoeken per seconde (Mrps) bedroegen. Deze enorme aanvallen kunnen internetbronnen overweldigen, vooral die afhankelijk zijn van cloudservices met beperkte capaciteit of on-premise oplossingen.

Het toenemende gebruik van krachtige botnets, aangewakkerd door geopolitieke spanningen en wereldwijde gebeurtenissen, vergroot het bereik van organisaties die risico lopen, waarvan er veel traditioneel niet als primaire doelen voor DDoS-aanvallen werden beschouwd. Helaas implementeren veel organisaties reactief DDoS-beveiligingen nadat een aanval al aanzienlijke schade heeft veroorzaakt.

Cloudflare’s observaties bevestigen dat organisaties met goed voorbereide securitystrategieën veel veerkrachtiger zijn tegen deze cyberdreigingen. Cloudflare zet zich in om de aanwezigheid op internet voor haar klanten te beschermen. Door flinke investeringen in geautomatiseerde verdediging en een robuust aanbod van security-oplossingen, zorgt het bedrijf voor proactieve bescherming tegen zowel de huidige als opkomende cyberbedreigingen.

Lees voor meer informatie: https://blog.cloudflare.com/ddos-threat-report-for-2024-q3/