Cloudflare heeft haar rapport uitgebracht over de wereldwijde DDoS-aanvallen in het vierde kwartaal van 2024. De belangrijkste bevindingen daarin zijn:
- In 2024 hebben de autonome systemen van Cloudflare ongeveer 21,3 miljoen DDoS-aanvallen afgezwakt, wat een toename van 53% is vergeleken met 2023. Gemiddeld heeft Cloudflare in 2024 4.870 DDoS-aanvallen per uur afgezwakt.
- In het vierde kwartaal van 2024 waren ruim 420 van die aanvallen hypervolumetrisch, met een snelheid van meer dan 1 miljard pakketten per seconde (pps) en 1 Tbps. Bovendien groeide het aantal aanvallen dat 1 Tbps overschreed met maar liefst 1.885% kwartaal-op-kwartaal.
- In het vierde kwartaal van 2024 hebben de DDoS-verdedigingssystemen van Cloudflare met succes en autonoom een DDoS-aanval van 5,6 terabit per seconde (Tbps) gedetecteerd en afgezwakt, de grootste aanval die ooit is gemeld.
- In het vierde kwartaal van 2024 waren ongeveer 4 van elke 10.000 bytes en 6 van elke 10.000 IP-pakketten richting Nederland onderdeel van een DDoS-aanval op de netwerklaag, een stijging van 117% ten opzichte van het voorgaande kwartaal.
- In het vierde kwartaal van 2024 behield China zijn positie als meest aangevallen land. De Filipijnen verschijnen voor het eerst als de op één na meest aangevallen regio in de top 10. Taiwan steeg zeven plekken naar de derde plaats, vergeleken met het vorige kwartaal.
- In het vierde kwartaal van 2024 sprong de telecommunicatie-, serviceprovider- en carriersmarkt van de derde plaats (vorige kwartaal) naar de eerste plaats als de sector die het meest wordt aangevallen door DDoS-aanvallen. De internetmarkt kwam op de tweede plaats, gevolgd door marketing en reclame op de derde plaats.
Analyse DDoS-aanvallen
In het vierde kwartaal van 2024 heeft Cloudflare circa 6,9 miljoen DDoS-aanvallen afgezwakt. Dit betekent een stijging van 16% ten opzichte van het kwartaal (QoQ) en 83% ten opzichte van het jaar ervoor (YoY). Van alle DDoS-aanvallen in Q4 van 2024 waren 49% (3,4 miljoen) Layer 3/Layer 4 DDoS-aanvallen en 51% (3,5 miljoen) HTTP DDoS-aanvallen.
Ruim twee derde van de HTTP DDoS-aanvallen (73%) werd gelanceerd door bekende botnets. Snelle detectie en blokkering van deze aanvallen werd mogelijk gemaakt door het bedienen van een enorm netwerk en het zien van vele soorten aanvallen en botnets. Dit stelt het securityteam en onderzoekers op hun beurt in staat om heuristieken te ontwikkelen om de effectiviteit van mitigatie tegen deze aanvallen te vergroten.
Nog eens 11% waren HTTP DDoS-aanvallen die werden betrapt terwijl ze zich voordeden als een legitieme browser. Nog eens 10% waren aanvallen die verdachte of ongebruikelijke HTTP-kenmerken bevatten. De resterende 8% “Overige” waren generieke HTTP-floods, volumetrische cache-busting-aanvallen en volumetrische aanvallen gericht op login-eindpunten.
Deze aanvalsvectoren of -groepen zijn niet per se exclusief. Bekende botnets imiteren bijvoorbeeld ook browsers en hebben verdachte HTTP-kenmerken, maar deze uitsplitsing is een poging om de HTTP DDoS-aanvallen op een zinvolle manier te categoriseren.
Recordaanval automatisch afgezwakt
Op 29 oktober werd een 5,6 Tbps UDP DDoS-aanval gelanceerd door een Mirai-variant botnet gericht op een Cloudflare Magic Transit-klant, een internet service provider (ISP) uit Oost-Azië. De aanval duurde slechts 80 seconden en was afkomstig van meer dan 13.000 IoT-apparaten. Detectie en mitigatie waren volledig autonoom door de gedistribueerde verdedigingssystemen van Cloudflare. Er was geen menselijke tussenkomst nodig, er werden geen waarschuwingen geactiveerd en er was geen sprake van prestatieverlies. De verdedigingssystemen werkten zoals bedoeld.
Meer informatie over alle DDoS-aanvallen in het vierde kwartaal van 2024 en een uitgebreidere analyse daarvan is te lezen in de blog van Cloudflare.
