Cloud­flare heeft een rapport uitge­bracht over de wereld­wijde DDoS-aanvallen in het eerste kwartaal van 2024.

De belang­rijkste bevin­dingen uit dit rapport zijn onder andere: 

• 2024 begon met een DDoS-offen­sief: de verde­di­gings­sys­temen van Cloud­flare hebben tijdens het eerste kwartaal automa­tisch 4,5 miljoen DDoS-aanvallen afgeweerd, wat neerkomt op een stijging van 50% op jaarbasis.
• Op DNS gebaseerde DDoS-aanvallen zijn op jaarbasis met 80% toege­nomen en blijven de meest promi­nente aanvalsvector.
• DDoS-aanvallen op Zweden zijn met 466% gestegen na de toetre­ding van dit land tot de NAVO-alliantie, verge­lijk­baar met het patroon dat is waarge­nomen tijdens de toetre­ding van Finland tot de NAVO in 2023.

2024 begint met DDoS-offensief

Het eerste kwartaal van 2024 is nog maar net achter de rug en Cloudflare’s geauto­ma­ti­seerde verde­di­ging heeft al 4,5 miljoen DDoS-aanvallen afgeslagen. Dat aantal komt overeen met 32% van alle DDoS-aanvallen die het bedrijf in 2023 heeft afgeslagen.

Opgesplitst naar aanvals­typen, zijn HTTP DDoS-aanvallen met 93% op jaarbasis en met 51% gestegen ten opzichte van het vorige kwartaal. DDoS-aanvallen op de netwerk­laag, ook wel L3/​4 DDoS-aanvallen genoemd, namen met 28% op jaarbasis en 5% op kwartaal­basis toe. 

DDoS-aanvallen per jaar en kwartaal

In totaal hebben Cloudflare’s verde­di­gings­sys­temen in het eerste kwartaal 10,5 biljoen HTTP DDoS-aanvals­ver­zoeken afgehan­deld. Ook is er ruim 59 petabytes aan DDoS-aanvals­ver­keer beperkt, alleen op de netwerklaag.

Van de DDoS-aanvallen op de netwerk­laag overschreden er velen de snelheid van 1 terabit per seconde, bijna wekelijks. De grootste aanval die we tot nu toe in 2024 hebben afgeweerd, werd gelan­ceerd door een Mirai-variant botnet. Deze aanval bereikte een piek van 2 Tbps en was gericht op een Aziati­sche hosting­pro­vider die werd beschermd door Cloud­flare Magic Transit. De systemen van Cloud­flare hebben deze aanval automa­tisch gedetec­teerd en beperkt.

Het Mirai-botnet, berucht om zijn massale DDoS-aanvallen, bestond vooral uit geïnfec­teerde IoT-apparaten. Het verstoorde in 2016 met name de inter­net­toe­gang in de VS door zich te richten op DNS-servi­ce­pro­vi­ders. Bijna acht jaar later komen Mirai-aanvallen nog steeds voor. Vier procent van de HTTP DDoS-aanvallen en twee procent van de L3/​4 DDoS-aanvallen worden gelan­ceerd door een Mirai-variant botnet. De reden dat we ‘variant’ zeggen, is dat de Mirai-broncode openbaar is gemaakt en er daarna veel varianten van het origi­neel zijn geweest.

DNS-aanvallen stijgen met 80%

In maart 2024 intro­du­ceerde Cloud­flare een nieuwe DDoS-verde­di­gings­sys­temen, het Advanced DNS Protec­tion-systeem. Dit is een aanvul­ling op de bestaande verde­di­gings­sys­temen en ontworpen om te beschermen tegen zeer geavan­ceerde DNS-gebaseerde DDoS-aanvallen.

Cloud­flare heeft niet voor niets in dit nieuwe systeem geïnves­teerd. Op DNS gebaseerde DDoS-aanvallen zijn de meest promi­nente aanvals­vector geworden en het aandeel ervan onder alle netwerk­laag­aan­vallen blijft groeien. In het eerste kwartaal van 2024 steeg het aandeel DNS-gebaseerde DDoS-aanvallen met 80% op jaarbasis, tot ongeveer 54%.

Meer infor­matie over de verschil­lende typen en trends in DDoS-aanvallen en analyses ervan is te lezen in de blog behorende bij Cloudflare’s DDoS-rapport over het eerste kwartaal van 2024.