Cloud­flare heeft haar rapport uitge­bracht over de wereld­wijde DDoS-aanvallen in het vierde kwartaal van 2024. De belang­rijkste bevin­dingen daarin zijn: 

• In 2024 hebben de autonome systemen van Cloud­flare ongeveer 21,3 miljoen DDoS-aanvallen afgezwakt, wat een toename van 53% is verge­leken met 2023. Gemid­deld heeft Cloud­flare in 2024 4.870 DDoS-aanvallen per uur afgezwakt.
• In het vierde kwartaal van 2024 waren ruim 420 van die aanvallen hyper­vo­lu­me­trisch, met een snelheid van meer dan 1 miljard pakketten per seconde (pps) en 1 Tbps. Boven­dien groeide het aantal aanvallen dat 1 Tbps overschreed met maar liefst 1.885% kwartaal-op-kwartaal.
• In het vierde kwartaal van 2024 hebben de DDoS-verde­di­gings­sys­temen van Cloud­flare met succes en autonoom een DDoS-aanval van 5,6 terabit per seconde (Tbps) gedetec­teerd en afgezwakt, de grootste aanval die ooit is gemeld.
• In het vierde kwartaal van 2024 waren ongeveer 4 van elke 10.000 bytes en 6 van elke 10.000 IP-pakketten richting Neder­land onder­deel van een DDoS-aanval op de netwerk­laag, een stijging van 117% ten opzichte van het voorgaande kwartaal.
• In het vierde kwartaal van 2024 behield China zijn positie als meest aange­vallen land. De Filipijnen verschijnen voor het eerst als de op één na meest aange­vallen regio in de top 10. Taiwan steeg zeven plekken naar de derde plaats, verge­leken met het vorige kwartaal.
• In het vierde kwartaal van 2024 sprong de telecommunicatie‑, servi­ce­pro­vider- en carriers­markt van de derde plaats (vorige kwartaal) naar de eerste plaats als de sector die het meest wordt aange­vallen door DDoS-aanvallen. De inter­net­markt kwam op de tweede plaats, gevolgd door marke­ting en réclame op de derde plaats.

Analyse DDoS-aanvallen

In het vierde kwartaal van 2024 heeft Cloud­flare circa 6,9 miljoen DDoS-aanvallen afgezwakt. Dit betekent een stijging van 16% ten opzichte van het kwartaal (QoQ) en 83% ten opzichte van het jaar ervoor (YoY). Van alle DDoS-aanvallen in Q4 van 2024 waren 49% (3,4 miljoen) Layer 3/​Layer 4 DDoS-aanvallen en 51% (3,5 miljoen) HTTP DDoS-aanvallen. 

Ruim twee derde van de HTTP DDoS-aanvallen (73%) werd gelan­ceerd door bekende botnets. Snelle detectie en blokke­ring van deze aanvallen werd mogelijk gemaakt door het bedienen van een enorm netwerk en het zien van vele soorten aanvallen en botnets. Dit stelt het securi­ty­team en onder­zoe­kers op hun beurt in staat om heuris­tieken te ontwik­kelen om de effec­ti­vi­teit van mitigatie tegen deze aanvallen te vergroten.

Nog eens 11% waren HTTP DDoS-aanvallen die werden betrapt terwijl ze zich voordeden als een legitieme browser. Nog eens 10% waren aanvallen die verdachte of ongebrui­ke­lijke HTTP-kenmerken bevatten. De reste­rende 8% “Overige” waren generieke HTTP-floods, volume­tri­sche cache-busting-aanvallen en volume­tri­sche aanvallen gericht op login-eindpunten.

Deze aanvals­vec­toren of ‑groepen zijn niet per se exclu­sief. Bekende botnets imiteren bijvoor­beeld ook browsers en hebben verdachte HTTP-kenmerken, maar deze uitsplit­sing is een poging om de HTTP DDoS-aanvallen op een zinvolle manier te categoriseren.

Recordaanval automatisch afgezwakt

Op 29 oktober werd een 5,6 Tbps UDP DDoS-aanval gelan­ceerd door een Mirai-variant botnet gericht op een Cloud­flare Magic Transit-klant, een internet service provider (ISP) uit Oost-Azië. De aanval duurde slechts 80 seconden en was afkom­stig van meer dan 13.000 IoT-apparaten. Detectie en mitigatie waren volledig autonoom door de gedis­tri­bu­eerde verde­di­gings­sys­temen van Cloud­flare. Er was geen mense­lijke tussen­komst nodig, er werden geen waarschu­wingen geacti­veerd en er was geen sprake van presta­tie­ver­lies. De verde­di­gings­sys­temen werkten zoals bedoeld.

Meer infor­matie over alle DDoS-aanvallen in het vierde kwartaal van 2024 en een uitge­brei­dere analyse daarvan is te lezen in de blog van Cloud­flare.