Cloudflare DDoS-rapport over derde kwartaal 2024

Cloud­flare heeft haar rapport uitge­bracht over de wereld­wijde DDoS-aanvallen in het derde kwartaal van 2024. De belang­rijkste bevin­dingen daarvan zijn: 

• Het aantal DDoS-aanvallen steeg fors in het derde kwartaal van 2024. Cloud­flare heeft bijna 6 miljoen DDoS-aanvallen afgezwakt, een stijging van 49% QoQ en 55% YoY. 
• Van die 6 miljoen waren er meer dan 200 hyper­vo­lu­me­tri­sche DDoS-aanvallen, met een snelheid van ruim 3 terabits per seconde (Tbps) en 2 miljard pakketten per seconde (Bpps). De grootste aanval piekte op 4,2 Tbps en duurde slechts een minuut.
• De finan­ciële sector werd het vaakst getroffen door DDoS-aanvallen, China werd als land het vaakst aange­vallen en Indonesië was de grootste bron van DDoS-aanvallen.

Hypervolumetrische DDoS-aanvallen

In de eerste helft van 2024 detec­teerden Cloudflare’s autonome DDoS-verde­di­gings­sys­temen 8,5 miljoen DDoS-aanvallen, die auto­ma­tisch zijn gemi­ti­geerd: 4,5 miljoen in Q1 en 4 miljoen in Q2. In Q3 miti­geerden de systemen bijna 6 miljoen DDoS-aanvallen, wat het totaal op 14,5 miljoen DDoS-aanvallen tot nu toe brengt. Dat zijn er gemiddeld 2.200 per uur. Van alle aanvallen miti­geerde Cloud­flare ruim 200 hyper­vo­lu­me­tri­sche DDoS-aanvallen op de netwerk­laag van 1 Tbps of 1 Bpps of groter. De grootste aanvallen bereikten een piek van 3,8 Tbps en 2,2 Bpps. Tijdens het opstellen van de derde kwar­taal­rap­por­tage detec­teerden en verzwakten Cloudflare’s systemen op 21 oktober autonoom een DDoS-aanval van 4,2 Tbps die circa een minuut duurde.

Soorten en karakteristieken van de DDoS-aanvallen 

Van de 6 miljoen DDoS-aanvallen waren de helft HTTP (appli­ca­tie­laag) DDoS-aanvallen en de andere helft netwerk­laag DDoS-aanvallen. Netwerk­laag DDoS-aanvallen namen toe met 51% QoQ en 45% YoY, en HTTP DDoS-aanvallen namen toe met 61% QoQ en 68% YoY. 90% van de DDoS-aanvallen, inclusief de grootste, duurden maar kort. Cloud­flare zag echter een lichte toename (7%) in aanvallen die langer dan een uur duurden. 

Van de netwerk­laag DDoS-aanvallen was SYN flood de belang­rijkste aanvals­vector, gevolgd door DNS flood-aanvallen, UDP floods, SSDP reflec­tion-aanvallen en ICMP reflec­tion-aanvallen. Op de appli­ca­tie­laag werd 72% van de HTTP DDoS-aanvallen gelan­ceerd door bekende botnets en auto­ma­tisch gemi­ti­geerd door Cloudflare’s eigen heuris­tiek. Dat behoort tot de voordelen van een groot wereld­wijd netwerk. Het volume aan verkeer en aanvallen dat Cloud­flare ziet, stelt ze in staat om robuuste verde­di­gingen tegen botnets te maken, testen en implementeren.

Nog eens 13% van de HTTP DDoS-aanvallen werd gemi­ti­geerd vanwege hun verdachte of onge­brui­ke­lijke HTTP-kenmerken, en nog eens 9% waren HTTP DDoS-aanvallen gelan­ceerd door nepbrow­sers of brow­se­ri­mi­ta­tors. De reste­rende 6% van ’overig’ omvat aanvallen die gericht waren op login-eind­punten en cache-busting-aanvallen. Eén ding om op te merken is dat deze aanvals­vec­toren of aanvals­groepen niet nood­za­ke­lij­ker­wijs exclusief zijn. Bekende botnets imiteren bijvoor­beeld ook browsers en hebben verdachte HTTP-kenmerken, maar deze indeling is Cloudflare’s poging om de HTTP DDoS-aanvallen op een zinvolle manier te categoriseren.

Doelen van de DDoS-aanvallen 

China was de locatie die de meeste aanvallen in het derde kwartaal van 2024 te verduren kreeg. De Verenigde Arabische Emiraten stonden op de tweede plaats, gevolgd door Hongkong op de derde plaats, op de voet gevolgd door Singapore, Duitsland en Brazilië. Canada stond op de zevende plaats, gevolgd door Zuid-Korea, de Verenigde Staten en Taiwan op de tiende plaats.

Banking & Financial Services was de popu­lairste sector voor DDoS-aanvallen. Infor­ma­tion Tech­no­logy & Services stond op de tweede plaats, gevolgd door Tele­com­mu­ni­ca­tions, Service Providers en Carriers. Cryp­to­cur­r­ency, internet, gokken en casino’s en gaming volgden op de voet als de volgende meest aange­vallen sectoren. Consu­men­ten­elek­tro­nica, bouw en civiele techniek en de detail­handel comple­teerden de top tien van meest aange­vallen marktsectoren.

Geleerde lessen

Dit kwartaal zag Cloud­flare een enorme toename van hyper­vo­lu­me­tri­sche DDoS-aanvallen, met pieken van 3,8 Tbps en 2,2 Bpps. Verge­lijk­baar met dezelfde trend vorig jaar, toen aanvallen op appli­ca­tie­lagen in de HTTP/​2 Rapid Reset-campagne ruim 200 miljoen verzoeken per seconde (Mrps) bedroegen. Deze enorme aanvallen kunnen inter­net­bronnen over­wel­digen, vooral die afhan­ke­lijk zijn van cloud­ser­vices met beperkte capa­ci­teit of on-premise oplossingen.

Het toene­mende gebruik van krachtige botnets, aange­wak­kerd door geopo­li­tieke span­ningen en wereld­wijde gebeur­te­nissen, vergroot het bereik van orga­ni­sa­ties die risico lopen, waarvan er veel tradi­ti­o­neel niet als primaire doelen voor DDoS-aanvallen werden beschouwd. Helaas imple­men­teren veel orga­ni­sa­ties reactief DDoS-bevei­li­gingen nadat een aanval al aanzien­lijke schade heeft veroorzaakt.

Cloudflare’s obser­va­ties beves­tigen dat orga­ni­sa­ties met goed voor­be­reide secu­ri­ty­s­tra­te­gieën veel veer­krach­tiger zijn tegen deze cyber­drei­gingen. Cloud­flare zet zich in om de aanwe­zig­heid op internet voor haar klanten te beschermen. Door flinke inves­te­ringen in geau­to­ma­ti­seerde verde­di­ging en een robuust aanbod van security-oplos­singen, zorgt het bedrijf voor proac­tieve bescher­ming tegen zowel de huidige als opkomende cyberbedreigingen.

Lees voor meer infor­matie: https://​blog​.cloud​flare​.com/​d​d​o​s​-​t​h​r​e​a​t​-​r​e​p​o​r​t​-​f​o​r​-​2​0​2​4​-q3/