Cloudflare heeft een rapport uitgebracht over de wereldwijde DDoS-aanvallen in het eerste kwartaal van 2024.
De belangrijkste bevinden zijn:
- 2024 begon met een DDoS-offensief: de verdedigingssystemen van Cloudflare hebben tijdens het eerste kwartaal automatisch 4,5 miljoen DDoS-aanvallen afgeweerd, wat neerkomt op een stijging van 50% op jaarbasis.
- Op DNS gebaseerde DDoS-aanvallen zijn op jaarbasis met 80% toegenomen en blijven de meest prominente aanvalsvector.
- DDoS-aanvallen op Zweden zijn met 466% gestegen na de toetreding van dit land tot de NAVO-alliantie, vergelijkbaar met het patroon dat is waargenomen tijdens de toetreding van Finland tot de NAVO in 2023.
2024 begint met DDoS-offensief
Het eerste kwartaal van 2024 is nog maar net achter de rug en Cloudflare’s geautomatiseerde verdediging heeft al 4,5 miljoen DDoS-aanvallen afgeslagen. Dat aantal komt overeen met 32% van alle DDoS-aanvallen die het bedrijf in 2023 heeft afgeslagen.
Opgesplitst naar aanvalstypen, zijn HTTP DDoS-aanvallen met 93% op jaarbasis en met 51% gestegen ten opzichte van het vorige kwartaal. DDoS-aanvallen op de netwerklaag, ook wel L3/4 DDoS-aanvallen genoemd, namen met 28% op jaarbasis en 5% op kwartaalbasis toe.
DDoS-aanvallen per jaar en kwartaal
In totaal hebben Cloudflare’s verdedigingssystemen in het eerste kwartaal 10,5 biljoen HTTP DDoS-aanvalsverzoeken afgehandeld. Ook is er ruim 59 petabytes aan DDoS-aanvalsverkeer beperkt, alleen op de netwerklaag.
Van de DDoS-aanvallen op de netwerklaag overschreden er velen de snelheid van 1 terabit per seconde, bijna wekelijks. De grootste aanval die we tot nu toe in 2024 hebben afgeweerd, werd gelanceerd door een Mirai-variant botnet. Deze aanval bereikte een piek van 2 Tbps en was gericht op een Aziatische hostingprovider die werd beschermd door Cloudflare Magic Transit. De systemen van Cloudflare hebben deze aanval automatisch gedetecteerd en beperkt.
Het Mirai-botnet, berucht om zijn massale DDoS-aanvallen, bestond vooral uit geïnfecteerde IoT-apparaten. Het verstoorde in 2016 met name de internettoegang in de VS door zich te richten op DNS-serviceproviders. Bijna acht jaar later komen Mirai-aanvallen nog steeds voor. Vier procent van de HTTP DDoS-aanvallen en twee procent van de L3/4 DDoS-aanvallen worden gelanceerd door een Mirai-variant botnet. De reden dat we ‘variant’ zeggen, is dat de Mirai-broncode openbaar is gemaakt en er daarna veel varianten van het origineel zijn geweest.
DNS-aanvallen stijgen met 80%
In maart 2024 introduceerde Cloudflare een nieuwe DDoS-verdedigingssystemen, het Advanced DNS Protection-systeem. Dit is een aanvulling op de bestaande verdedigingssystemen en ontworpen om te beschermen tegen zeer geavanceerde DNS-gebaseerde DDoS-aanvallen.
Cloudflare heeft niet voor niets in dit nieuwe systeem geïnvesteerd. Op DNS gebaseerde DDoS-aanvallen zijn de meest prominente aanvalsvector geworden en het aandeel ervan onder alle netwerklaagaanvallen blijft groeien. In het eerste kwartaal van 2024 steeg het aandeel DNS-gebaseerde DDoS-aanvallen met 80% op jaarbasis, tot ongeveer 54%.
Meer informatie over de verschillende typen en trends in DDoS-aanvallen en analyses ervan is te lezen in de blog behorende bij Cloudflare’s DDoS-rapport over het eerste kwartaal van 2024.
