Cloudflare DDoS-rapport over derde kwartaal 2024

Cloudflare_DDoS_Q3_Sectoren

 

Cloudflare heeft haar rapport uitgebracht over de wereldwijde DDoS-aanvallen in het derde kwartaal van 2024. De belangrijkste bevindingen daarvan zijn:

     Het aantal DDoS-aanvallen steeg fors in het derde kwartaal van 2024. Cloudflare heeft bijna 6 miljoen DDoS-aanvallen afgezwakt, een stijging van 49% QoQ en 55% YoY.

     Van die 6 miljoen waren er meer dan 200 hypervolumetrische DDoS-aanvallen, met een snelheid van ruim 3 terabits per seconde (Tbps) en 2 miljard pakketten per seconde (Bpps). De grootste aanval piekte op 4,2 Tbps en duurde slechts een minuut.

     De financiële sector werd het vaakst getroffen door DDoS-aanvallen, China werd als land het vaakst aangevallen en Indonesië was de grootste bron van DDoS-aanvallen. 

Hypervolumetrische DDoS-aanvallen

In de eerste helft van 2024 detecteerden Cloudflares autonome DDoS-verdedigingssystemen 8,5 miljoen DDoS-aanvallen, die automatisch zijn gemitigeerd: 4,5 miljoen in Q1 en 4 miljoen in Q2. In Q3 mitigeerden de systemen bijna 6 miljoen DDoS-aanvallen, wat het totaal op 14,5 miljoen DDoS-aanvallen tot nu toe brengt. Dat zijn er gemiddeld 2.200 per uur. Van alle aanvallen mitigeerde Cloudflare ruim 200 hypervolumetrische DDoS-aanvallen op de netwerklaag van 1 Tbps of 1 Bpps of groter. De grootste aanvallen bereikten een piek van 3,8 Tbps en 2,2 Bpps. Tijdens het opstellen van de derde kwartaalrapportage detecteerden en verzwakten Cloudflares systemen op 21 oktober autonoom een ​​DDoS-aanval van 4,2 Tbps die circa een minuut duurde. 

Soorten en karakteristieken van de DDoS-aanvallen

Van de 6 miljoen DDoS-aanvallen waren de helft HTTP (applicatielaag) DDoS-aanvallen en de andere helft netwerklaag DDoS-aanvallen. Netwerklaag DDoS-aanvallen namen toe met 51% QoQ en 45% YoY, en HTTP DDoS-aanvallen namen toe met 61% QoQ en 68% YoY. 90% van de DDoS-aanvallen, inclusief de grootste, duurden maar kort. Cloudflare zag echter een lichte toename (7%) in aanvallen die langer dan een uur duurden.

Van de netwerklaag DDoS-aanvallen was SYN flood de belangrijkste aanvalsvector, gevolgd door DNS flood-aanvallen, UDP floods, SSDP reflection-aanvallen en ICMP reflection-aanvallen. Op de applicatielaag werd 72% van de HTTP DDoS-aanvallen gelanceerd door bekende botnets en automatisch gemitigeerd door Cloudflares eigen heuristiek. Dat behoort tot de voordelen van een groot wereldwijd netwerk. Het volume aan verkeer en aanvallen dat Cloudflare ziet, stelt ze in staat om robuuste verdedigingen tegen botnets te maken, testen en implementeren. 

Nog eens 13% van de HTTP DDoS-aanvallen werd gemitigeerd vanwege hun verdachte of ongebruikelijke HTTP-kenmerken, en nog eens 9% waren HTTP DDoS-aanvallen gelanceerd door nepbrowsers of browserimitators. De resterende 6% van overig omvat aanvallen die gericht waren op login-eindpunten en cache-busting-aanvallen. Eén ding om op te merken is dat deze aanvalsvectoren of aanvalsgroepen niet noodzakelijkerwijs exclusief zijn. Bekende botnets imiteren bijvoorbeeld ook browsers en hebben verdachte HTTP-kenmerken, maar deze indeling is Cloudflares poging om de HTTP DDoS-aanvallen op een zinvolle manier te categoriseren. 

Doelen van de DDoS-aanvallen

China was de locatie die de meeste aanvallen in het derde kwartaal van 2024 te verduren kreeg. De Verenigde Arabische Emiraten stonden op de tweede plaats, gevolgd door Hongkong op de derde plaats, op de voet gevolgd door Singapore, Duitsland en Brazilië. Canada stond op de zevende plaats, gevolgd door Zuid-Korea, de Verenigde Staten en Taiwan op de tiende plaats. 

Banking & Financial Services was de populairste sector voor DDoS-aanvallen. Information Technology & Services stond op de tweede plaats, gevolgd door Telecommunications, Service Providers en Carriers. Cryptocurrency, internet, gokken en casino's en gaming volgden op de voet als de volgende meest aangevallen sectoren. Consumentenelektronica, bouw en civiele techniek en de detailhandel completeerden de top tien van meest aangevallen marktsectoren. 

Geleerde lessen

Dit kwartaal zag Cloudflare een enorme toename van hypervolumetrische DDoS-aanvallen, met pieken van 3,8 Tbps en 2,2 Bpps. Vergelijkbaar met dezelfde trend vorig jaar, toen aanvallen op applicatielagen in de HTTP/2 Rapid Reset-campagne ruim 200 miljoen verzoeken per seconde (Mrps) bedroegen. Deze enorme aanvallen kunnen internetbronnen overweldigen, vooral die afhankelijk zijn van cloudservices met beperkte capaciteit of on-premise oplossingen. 

Het toenemende gebruik van krachtige botnets, aangewakkerd door geopolitieke spanningen en wereldwijde gebeurtenissen, vergroot het bereik van organisaties die risico lopen, waarvan er veel traditioneel niet als primaire doelen voor DDoS-aanvallen werden beschouwd. Helaas implementeren veel organisaties reactief DDoS-beveiligingen nadat een aanval al aanzienlijke schade heeft veroorzaakt. 

Cloudflares observaties bevestigen dat organisaties met goed voorbereide securitystrategieën veel veerkrachtiger zijn tegen deze cyberdreigingen. Cloudflare zet zich in om de aanwezigheid op internet voor haar klanten te beschermen. Door flinke investeringen in geautomatiseerde verdediging en een robuust aanbod van security-oplossingen, zorgt het bedrijf voor proactieve bescherming tegen zowel de huidige als opkomende cyberbedreigingen.

Lees ook
Gedwongen offline: samenvatting van internetstoringen in Q3 2024

Gedwongen offline: samenvatting van internetstoringen in Q3 2024

Cloudflare heeft zijn ‘Internet Disruptions’-rapportage over het derde kwartaal van 2024 gepubliceerd. In het derde kwartaal van 2024 zijn er veel significante internetstoringen geweest. Een aantal overheden bleef landelijke internetafsluitingen opleggen om te voorkomen dat er bij examens werd gefraudeerd. Verder heeft schade aan land- en onderzee1

Cloudflare DDoS-rapport over derde kwartaal 2023

Cloudflare DDoS-rapport over derde kwartaal 2023

Cloudflare heeft een rapport uitgebracht over de wereldwijde DDoS-aanvallen in het derde kwartaal van 2023. Opmerkelijke bevindingen zijn onder andere het succesvol mitigeren van duizenden aanvallen als gevolg van de HTTP/2-kwetsbaarheid, een enorme toename van HTTP DDoS-verkeer en aanvallen gericht op de gaming- en gokindustrie.

Stichting NBIP: ‘DDoS-aanvallen worden niet groter, maar slimmer’

Als het over DDoS-aanvallen gaat, wordt er veel gesproken over grote en complexe aanvallen. Maar in 2017 zijn DDoS-aanvallen juist minder groot geworden. Dat constateert de Stichting Nederlandse Beheersorganisatie Internet Providers in het DDoS data rapport 2017.  Dit rapport laat niet alleen zien dat deze aanvallen juist minder groot worden, maar ook veel doelmatiger en slimmer worden uitgevoerd. DDoS-aanvallen zijn relatief makkelijk uit te voeren en te kopen en de methoden om een aanval uit te voeren zijn in 2017 vernuftiger geworden. “De uitvoerder van een DDoS-aanval gaat niet langer uit1