Cloud­flare heeft haar rapport uitge­bracht over de wereld­wijde DDoS-aanvallen in het eerste kwartaal van 2025. De belang­rijkste bevin­dingen zijn: 

• Q1 2025 evenaart bijna het totale DDoS-totaal van 2024: de autonome systemen van Cloud­flare hebben het afgelopen kwartaal 20,5 miljoen DDoS-aanvallen gemiti­geerd, bijna gelijk aan het totale aantal DDoS-aanvallen van 21,3 miljoen in 2024.
• Hyper­vo­lu­me­tri­sche aanvallen worden de nieuwe norm: Ongeveer 700 aanvallen waren hyper­vo­lu­me­trisch in Q1, met een snelheid van ruim 1 miljard pakketten per seconde (pps) of 1 Tbps, gemid­deld ongeveer 8 aanvallen per dag.
• DDoS-aanvallen op netwerk­laag nemen sterk toe: DDoS-aanvallen op de netwerk­laag kenden de meest drama­ti­sche stijging met 16,8 miljoen aanvallen, wat neerkomt op een stijging van 509% op jaarbasis en een stijging van 397% op kwartaalbasis.
• Duits­land is gekroond tot nieuw DDoS-doel: er was een grote verschui­ving in de meest aange­vallen locaties, waarbij Duits­land het meest aange­vallen land werd en vier plaatsen steeg ten opzichte van het vorige kwartaal. Turkije maakte een drama­ti­sche sprong van 11 plaatsen naar de tweede plaats, terwijl China naar de derde plaats zakte.
• Aan de andere kant werd Hongkong de belang­rijkste bron van DDoS-aanvallen, gevolgd door Indonesië en Argentinië.
• Wedden op chaos: in het eerste kwartaal van 2025 sprong de gok- en casino­sector naar de toppo­sitie als meest getroffen sector door DDoS-aanvallen, met een stijging van vier plaatsen. Telecom­mu­ni­catie zakte naar de tweede plaats, gevolgd door infor­ma­tie­tech­no­logie en ‑diensten.
• De lucht- en ruimte­vaart­sector maakte de grootste sprong van allemaal, met een stijging van 40 plaatsen, waarmee het de tiende meest aange­vallen sector werd.

Analyse DDoS-aanvallen

In het eerste kwartaal van 2025 heeft Cloud­flare 20.5 miljoen DDoS-aanvallen afgezwakt. Dat is een toename van 358% in verge­lij­king met het eerste kwartaal van 2024. De grootste toename was bij DDoS-aanvallen op het netwerk­ni­veau. In het eerste kwartaal van 2025 heeft Cloud­flare 16,8 miljoen DDoS-aanvallen op netwerk­ni­veau afgezwakt. Dat is een stijging van 397% ten opzichte van het vorige kwartaal en een stijging van 509% ten opzichte van 2024.

Ongeveer een derde van de netwerk­aan­vallen, 6,6 miljoen, was direct gericht op Cloudflare’s infra­struc­tuur, als onder­deel van een 18 dagen durende multi-vecto­r­aanval. Deze bestond onder andere uit SYN flood, Mirai-generated en SSDP ampli­fi­ca­tion aanval­lens, om enkele te noemen. Deze aanvallen, net als alle 20,5 miljoen, zijn autonoom gedetec­teerd en afgezwakt door Cloudflare’s DDoS-verdediging.

In het eerste kwartaal van 2025 was er een toename van 3488% ten opzichte van het vorige kwartaal in CLDAP-reflectie-/ampli­fi­ca­tie­aan­vallen. CLDAP (Connec­ti­on­less Lightweight Direc­tory Access Protocol) is een variant van LDAP (Lightweight Direc­tory Access Protocol). Het wordt gebruikt voor het bevragen en wijzigen van direc­to­ry­ser­vices die via IP-netwerken lopen. 

CLDAP is verbin­dings­loos en benut UDP in plaats van TCP, waardoor het sneller maar minder betrouw­baar is. Omdat het UDP gebruikt, is er geen hands­hake vereist, waardoor aanval­lers het IP-adres kunnen vervalsen en het kunnen misbruiken als reflec­tie­vector. Bij deze aanvallen worden kleine query’s verzonden met een vervalst bron-IP-adres (IP-adres van het slacht­offer), waardoor servers grote antwoorden naar het slacht­offer sturen en het slacht­offer overbe­lasten. Beper­king bestaat uit het filteren en monitoren van ongebrui­ke­lijk CLDAP-verkeer.

Meer infor­matie over alle DDoS-aanvallen in het eerste kwartaal van 2025 en een uitge­brei­dere analyse daarvan is te lezen in de blog van Cloudflare.