Cloudflare publiceert elk kwartaal een rapport over het aantal en ontwikkelingen in de wereldwijde DDoS-aanvallen, oftewel distributed denial-of-service attacks. Dat zijn aanvallen met als doel websites en andere internet-toepassingen te verstoren om ze ontoegankelijk te maken voor legitieme gebruikers. Dat gebeurt door ze te overstelpen met meer verkeer dan ze aankunnen, vergelijkbaar met een automobilist die vastzit in een file op weg naar zijn werk.
Cloudflare ziet veel DDoS-aanvallen in alle soorten en maten, omdat haar netwerk een van de grootste ter wereld is en zich uitstrekt over meer dan 300 steden in ruim 100 landen. Via dit netwerk verwerkt het bedrijf op piekuren meer dan 64 miljoen HTTP-requests per seconde en ongeveer 2,3 miljard DNS-query’s per dag. Gemiddeld beperken ze 140 miljard cyberdreigingen per dag. Deze enorme hoeveelheid data geeft een uniek perspectief om de cybersecuritywereld te begrijpen en de gemeenschap inzichtelijke en bruikbare DDoS-trends te laten zien.
De afgelopen weken zagen ze tevens een toename van DDoS- en andere cyberaanvallen tegen Israëlische kranten- en mediawebsites, financiële instellingen en overheidswebsites. Het aantal DDoS-aanvallen op Palestijnse websites is ook aanzienlijk toegenomen. Daarover is hier meer te lezen.
(HTTP DDoS-aanvallen op Israëlische websites gesignaleerd door Cloudflare)
Wereldwijde landschap DDoS-aanvallen
In het derde kwartaal van 2023 kreeg Cloudflare te maken met een van de meest geavanceerde en aanhoudende DDoS-aanvalcampagnes in de geschiedenis.
- Cloudflare heeft duizenden hypervolumetrische HTTP DDoS-aanvallen afgeweerd, waarvan 89 de 100 miljoen verzoeken per seconde (rps) overschreden en de grootste piekte op 201 miljoen rps, een cijfer dat drie keer hoger ligt dan de grootste aanval ooit tot dan toe (71M rps).
- De campagne droeg bij aan een totale toename van 65% in HTTP DDoS-aanvalsverkeer in Q3, vergeleken met het vorige kwartaal. Ook L3/4 DDoS-aanvallen stegen met 14%.
- Gok- en gokbedrijven werden gebombardeerd met het grootste volume HTTP DDoS-aanvalsverkeer, meer dan de cryptocurrency-industrie van vorig kwartaal.
HTTP DDoS-aanvallen en hypervolumetrische aanvallen
Een HTTP DDoS-aanval is een DDoS-aanval via het Hypertext Transfer Protocol (HTTP). Deze aanval is gericht op HTTP-interneteigenschappen zoals servers voor mobiele toepassingen, e-commercewebsites en API-gateways.
(Illustratie van een HTTP DDoS-aanval)
HTTP/2 goed voor 62% van het HTTP-verkeer, is een versie van het protocol die bedoeld is om de prestaties van toepassingen te verbeteren. Het nadeel is dat HTTP/2 ook kan helpen om de prestaties van een botnet te verbeteren.
(Verdeling van HTTP-versies door Radar)
Hypervolumetrische DDoS-aanvallen die gebruikmaken van HTTP/2 Rapid Resets
Vanaf eind augustus 2023 waren Cloudflare en verschillende andere leveranciers het doelwit van een geraffineerde en aanhoudende DDoS-aanvalcampagne die misbruik maakte van de HTTP/2 Rapid Reset kwetsbaarheid (CVE-2023-44487657).
(Illustratie van een HTTP/2 Rapid Reset DDoS-aanval)
Deze DDoS-campagne bestond uit duizenden hyper-volumetrische DDoS-aanvallen via HTTP/2 met pieken van miljoenen requests per seconde. De gemiddelde aanvalssnelheid was 30M rps. Ongeveer 89 van de aanvallen piekten boven de 100M rps en de grootste bereikte 201M rps.
(HTTP/2 Rapid Reset-campagne van hypervolumetrische DDoS-aanvallen)
De Cloudflare-systemen hebben de meerderheid van alle aanvallen automatisch gedetecteerd en tegengehouden. Verder zijn er tegenmaatregelen genomen en is de effectiviteit en efficiëntie van mitigatiesystemen verbeterd om de beschikbaarheid van het eigen netwerk en dat van klanten te garanderen.
Hyper-volumetrische DDoS-aanvallen via VM-gebaseerde botnets
Zoals te zien in deze en eerdere campagnes, kunnen botnets die gebruikmaken van platformen voor cloudcomputing en HTTP/2 exploiteren tot 5000 keer meer kracht genereren per botnet- knooppunt. Hierdoor konden ze al hypervolumetrische DDoS-aanvallen uitvoeren met een kleine botnet van 5-20 duizend knooppunten. Om dat in perspectief te plaatsen: in het verleden bestonden op het IoT gebaseerde botnets uit clusters van miljoenen nodes, waarmee men er nauwelijks in slaagde om een paar miljoen requests per seconde te bereiken.
(Vergelijking van een op Internet of Things (IoT) gebaseerd botnet en een op Virtual Machine (VM) gebaseerd botnet)
Bij het analyseren van de twee maanden durende DDoS-campagne, is te zien dat de infrastructuur van Cloudflare het belangrijkste doelwit van de aanvallen was. Meer specifiek was 19% van alle aanvallen gericht op Cloudflare-websites en -infrastructuur. Nog eens 18% richtte zich op Gaming-bedrijven en 10% op bekende VoIP-providers.
(Topsectoren doelwit van de HTTP/2 Rapid Reset DDoS-aanvallen)
HTTP DDoS-aanvalsverkeer toegenomen met 65%
De aanvalscampagne droeg bij aan een algehele toename van de hoeveelheid aanvalsverkeer. Vorig kwartaal steeg het volume van HTTP DDoS-aanvallen met 15% QoQ. Dit kwartaal nam het nog meer toe. Het totale aanvalsvolume is met 65% toegenomen ten opzichte van het vorige kwartaal tot maar liefst 8,9 biljoen HTTP DDoS-requests die Cloudflare-systemen automatisch hebben gedetecteerd en onschadelijk gemaakt.
(Geaggregeerd volume van HTTP DDoS-aanvalrequests per kwartaal)
Behalve de stijging van 65% in HTTP DDoS-aanvallen, was er ook een kleine stijging van 14% in L3/4 DDoS-aanvallen — vergelijkbaar met de cijfers van het eerste kwartaal van dit jaar.
(L3/4 DDoS-aanval per kwartaal)
Een toename van DDoS-aanvallen met een groot volume droeg bij aan deze stijging. In het derde kwartaal heeft Cloudflare’s DDoS-verdediging automatisch talloze DDoS-aanvallen van het kaliber terabits per seconde gedetecteerd en afgeweerd. De grootste aanval die het bedrijf zag, bereikte een piek van 2,6 Tbps. Het was een UDP flood die werd gelanceerd door een Mirai-variant botnet.
Topbronnen van HTTP DDoS-aanvallen
Bij het vergelijken van wereldwijde en landspecifieke volumes van HTTP DDoS-aanvallen is te zien dat de VS de grootste bron van HTTP DDoS-aanvallen blijft. Eén op elke 25 HTTP DDoS-verzoeken kwam uit de VS. China staat nog steeds op de tweede plaats. Brazilië verving Duitsland als de op twee na grootste bron van HTTP DDoS-aanvallen, terwijl Duitsland naar de vierde plaats zakte.
(HTTP DDoS-aanvallen: topbronnen vergeleken met al het aanvalsverkeer)
Sommige landen ontvangen meer verkeer door karakteristieke factoren zoals de bevolking en het internetgebruik en ontvangen/genereren daarom ook meer aanvallen. Hoewel het dus interessant is om de totale hoeveelheid aanvalsverkeer te begrijpen dat afkomstig is uit of gericht is op een bepaald land, is het ook nuttig om die vertekening te verwijderen door het aanvalsverkeer te normaliseren naar al het verkeer in en naar een bepaald land.
Bij die vergelijking is een ander patroon te zien. De VS komen niet eens in de top tien voor. In plaats daarvan staat Mozambique (weer) op de eerste plaats. Eén op de vijf HTTP-verzoeken die afkomstig waren uit Mozambique maakte deel uit van een HTTP DDoS-aanval.
Egypte staat nog steeds op de tweede plaats, ongeveer 13% van de verzoeken afkomstig uit Egypte maakte deel uit van een HTTP DDoS-aanval. Libië en China volgen als de derde en vierde grootste bron van HTTP DDoS-aanvallen.
(HTTP DDoS-aanvallen: topbronnen vergeleken met hun eigen verkeer)
Belangrijkste bronnen van L3/4 DDoS-aanvallen
Bij het kijken naar de oorsprong van L3/4 DDoS-aanvallen wordt het bron-IP-adres genegeerd, omdat er sprake kan zijn van spoofing. In plaats daarvan vertrouwt Cloudflare op de locatie van haar datacenter waar het verkeer binnenkomt. Door het grote netwerk met wereldwijde dekking is de geografische nauwkeurigheid goed om te begrijpen waar aanvallen vandaan komen.
In Q3 was ongeveer 36% van al het L3/4 DDoS-aanvalverkeer afkomstig uit de VS. Met 8% kwam Duitsland op de tweede plaats en het VK op de derde plaats met bijna 5%.
(L3/4 DDoS-aanvallen: topbronnen vergeleken met al het aanvalsverkeer)
Als alle data wordt genormaliseerd is Vietnam gezakt naar de op één na grootste bron van L3/4 DDoS-aanvallen, nadat het twee opeenvolgende kwartalen de eerste plaats had ingenomen. Nieuw-Caledonië, een Frans territorium dat tientallen eilanden in de Stille Zuidzee omvat, greep de eerste plaats. Twee op de vier bytes die werden opgenomen in Cloudflare’s datacenters in Nieuw-Caledonië waren aanvallen.
(L3/4 DDoS-aanvallen: topbronnen vergeleken met hun eigen verkeer)
Meest aangevallen sectoren
In termen van volume van het HTTP DDoS-aanvalsverkeer springt de gaming- en goksector naar de eerste plaats, waarbij de cryptocurrency-sector wordt ingehaald. Ruim 5% van al het HTTP DDoS-aanvalsverkeer dat Cloudflare zag, was gericht op de gok- en gokindustrie.
(HTTP DDoS-aanvallen: top aangevallen sectoren vergeleken met al het aanvalsverkeer)
De gaming- en gokmarkt is al lange tijd een van de meest aangevallen sectoren in vergelijking met andere sectoren. Maar als we kijken naar het HTTP DDoS-aanvalsverkeer in verhouding tot elke specifieke sector, zien we een ander beeld. De gaming- en gokindustrie heeft zoveel verkeer van gebruikers dat ze, ondanks het feit dat ze qua volume de meest aangevallen sector is, niet eens in de top tien staat als het per sector wordt bekeken.
In plaats daarvan was de mijnbouw- en metaalsector het doelwit van de meeste aanvallen in verhouding tot het totale verkee. 17,46% van al het verkeer naar mijnbouw- en metaalbedrijven was DDoS-aanvalsverkeer.
Op de voet gevolgd door 17,41% van al het verkeer naar non-profits dat HTTP DDoS-aanvallen was. Veel van deze aanvallen zijn gericht op ruim 2400 non-profitorganisaties en onafhankelijke mediaorganisaties in 111 landen die Cloudflare gratis beschermt, als onderdeel van Project Galileo, dat dit jaar zijn negende verjaardag vierde. In het afgelopen kwartaal heeft Cloudflare dagelijks gemiddeld 180,5 miljoen cyberbedreigingen tegengehouden gericht op websites die door Galileo worden beschermd.
(HTTP DDoS-aanvallen: top aangevallen industrieën vergeleken met hun eigen verkeer)
Farmaceutische, biotechnologische en zorgorganisaties kwamen op de derde plaats en websites van de Amerikaanse federale overheid op de vierde. Bijna één op de 10 HTTP-verzoeken naar internet-assets van de Amerikaanse federale overheid maakte deel uit van een aanval. Op de vijfde plaats staat cryptocurrency en niet ver daarachter de landbouw en visserij.
Topsectoren aangevallen door L3/4 DDoS-aanvallen
Verder kijkend naar het OSI-model, blijken de internetnetwerken en -diensten die het meest het doelwit waren, tot de ICT- en dienstensector te behoren. Bijna 35% van het L3/4 DDoS-aanvalsverkeer (in bytes) was gericht op de informatietechnologie- en internetsector.
Ver daarachter kwamen telecommunicatiebedrijven op de tweede plaats met een aandeel van maar 3%. Gaming en gokken kwamen op de derde plaats en banken, financiële dienstverleners en verzekeringsmaatschappijen (BFSI) op de vierde.
(L3/4 DDoS-aanvallen: top aangevallen sectoren vergeleken met al het aanvalsverkeer)
Wanneer we de aanvallen op sectoren vergelijken met al het verkeer voor die sector, komt de muziekindustrie op de eerste plaats, gevolgd door computer- en netwerksecuritybedrijven, informatietechnologie en internetbedrijven en lucht- en ruimtevaart.
(L3/4 DDoS-aanvallen: top aangevallen industrieën vergeleken met hun eigen verkeer)
Top aangevallen landen door HTTP DDoS-aanvallen
Kijkend naar het totale volume van het aanvalsverkeer, blijven de VS het belangrijkste doelwit van HTTP DDoS-aanvallen. Bijna 5% van al het HTTP DDoS-aanvalsverkeer was gericht op de VS. Singapore werd tweede en China derde.
(HTTP DDoS-aanvallen: top aangevallen landen vergeleken met al het aanvalsverkeer)
Als de data wordt genormaliseerd per land en regio en het aanvalsverkeer gedeeld door het totale verkeer, krijgen we een ander beeld. De top drie van meest aangevallen landen bestaat dan uit eilandstaten.
Anguilla, een kleine eilandengroep ten oosten van Puerto Rico, komt terecht op de eerste plaats als het meest aangevallen land. Meer dan 75% van al het verkeer naar Anguilla-websites waren HTTP DDoS-aanvallen. Op de tweede plaats staat Amerikaans Samoa, een eilandengroep ten oosten van Fiji. Op de derde plaats, de Britse Maagdeneilanden. Op de vierde plaats komt Algerije, gevolgd door Kenia, Rusland, Vietnam, Singapore, Belize en Japan.
(HTTP DDoS-aanvallen: top aangevallen landen vergeleken met hun eigen verkeer)
Top aangevallen landen door L3/4 DDoS-aanvallen
Voor het tweede opeenvolgende kwartaal blijven Chinese internetnetwerken en -diensten het meest het doelwit van L3/4 DDoS-aanvallen. Deze aanvallen vanuit China zijn goed voor 29% van alle aanvallen die in Q3 zijn gedetecteerd. Ver, ver daarachter kwamen de VS op de tweede plaats (3,5%) en Taiwan op de derde plaats (3%).
(L3/4 DDoS-aanvallen: top aangevallen landen vergeleken met alle verkeer)
Als de hoeveelheid aanvalsverkeer wordt genormaliseerd ten opzichte van al het verkeer naar een land, blijft China op de eerste plaats staan en verdwijnt de VS uit de top tien. Cloudflare zag dat 73% van het verkeer naar Chinese internetnetwerken aanvallen waren. De genormaliseerde rangschikking verandert echter vanaf de tweede plaats, waarbij Nederland het op één na grootste deel van het aanvalsverkeer ontvangt (35% van het totale verkeer van het land), op de voet gevolgd door Thailand, Taiwan en Brazilië.
(L3/4 DDoS-aanvallen: top aangevallen landen vergeleken met hun eigen verkeer)
Belangrijkste aanvalsvectoren
Het Domain Name System, of DNS, dient als het telefoonboek van het internet. DNS helpt bij het vertalen van het mensvriendelijke websiteadres (bijv. www.cloudflare.com) naar een machinevriendelijk IP-adres (bijv. 104.16.124.96). Door DNS-servers te verstoren, beïnvloeden aanvallers het vermogen van machines om verbinding te maken met een website, waardoor websites onbeschikbaar worden voor gebruikers.
Voor het tweede achtereenvolgende kwartaal waren DDoS-aanvallen op basis van DNS het meest voorkomend. Bijna 47% van alle aanvallen was gebaseerd op DNS. Dit is een stijging van 44% vergeleken met het vorige kwartaal. SYN floods blijven op de tweede plaats, gevolgd door RST floods, UDP floods, en Mirai aanvallen.
(Belangrijkste aanvalsvectoren)
Opkomende bedreigingen - verminderen, hergebruiken en recyclen
Naast de meest voorkomende aanvalsvectoren was er ook een aanzienlijke toename te zien van minder bekende aanvalsvectoren. Deze hebben de neiging zeer vluchtig te zijn, omdat bedreigingsactoren inzetten op het “verminderen, hergebruiken en recyclen” van oudere aanvalsvectoren. Dit zijn meestal op UDP gebaseerde protocollen die kunnen worden misbruikt om DDoS-aanvallen met amplificatie en reflectie uit te voeren.
Een terugkerende tactiek is het gebruik van versterkings-/terugkaatsingsaanvallen. Bij deze aanvalsmethode kaatst de aanvaller verkeer af van servers en richt men de reacties op het slachtoffer. Aanvallers kunnen het teruggekaatste verkeer op hun slachtoffer richten met verschillende methoden, waaronder IP spoofing.
Een andere vorm van terugkaatsing is te bereiken met een ‘DNS Laundering attack’. Bij deze methode bevraagt de aanvaller subdomeinen van een domein dat wordt beheerd door de DNS-server van het slachtoffer. De prefix die het subdomein definieert is willekeurig en wordt nooit meer dan een of twee keer gebruikt in zo’n aanval. Vanwege het randomisatie-element zullen recursieve DNS-servers nooit een antwoord in de cache hebben en de query moeten doorsturen naar de gezaghebbende DNS-server van het slachtoffer. De gezaghebbende DNS-server wordt dan gebombardeerd door zo veel queries dat hij geen legitieme queries meer kan verwerken, of zelfs helemaal vastloopt.
(Illustratie van een terugkaatsings- en versterkingsaanval)
Over het geheel genomen waren in Q3 DDoS-aanvallen op basis van Multicast DNS (mDNS) de aanvalsmethode die het meest toenam. Op de tweede plaats kwamen aanvallen die gebruik maakten van het Constrained Application Protocol (CoAP) en op de derde plaats de Encapsulating Security Payload (ESP). Hieronder volgt daar meer informatie over.
(Belangrijkste opkomende bedreigingen)
DDoS-aanvallen op mDNS met 456% toegenomen
Multicast DNS (mDNS) is een op UDP gebaseerd protocol dat in lokale netwerken wordt gebruikt om diensten/apparaten te vinden. Kwetsbare mDNS-servers reageren op unicast query's die van buiten het lokale netwerk komen en die worden ‘gespoofed’ (gewijzigd) met het bronadres van het slachtoffer. Dit resulteert in versterkingsaanvallen. In Q3 zagen we een grote toename van mDNS-aanvallen; een stijging van 456% ten opzichte van het vorige kwartaal.
DDoS-aanvallen op CoAP met 387% toegenomen
Het Constrained Application Protocol (CoAP) is ontworpen voor gebruik in eenvoudige elektronica en maakt communicatie tussen apparaten mogelijk op een energiezuinige en lichtgewicht manier. Het kan echter misbruikt worden voor DDoS-aanvallen via IP spoofing of amplificatie, als kwaadwillenden de multicastondersteuning misbruiken of slecht geconfigureerde CoAP-apparaten gebruiken om grote hoeveelheden ongewenst netwerkverkeer te genereren. Dit kan leiden tot onderbreking of overbelasting van de aangevallen systemen, waardoor ze niet meer beschikbaar zijn voor legitieme gebruikers.
ESP DDoS-aanvallen met 303% toegenomen
Het Encapsulating Security Payload (ESP) protocol maakt deel uit van IPsec en biedt vertrouwelijkheid, authenticatie en integriteit voor netwerkcommunicatie. Het is echter ook te misbruiken voor DDoS-aanvallen als kwaadwillenden verkeerd geconfigureerde of kwetsbare systemen gebruiken om verkeer naar een doelwit terug te kaatsen of te versterken. Dat leidt dan tot een onderbreking van de service. Net als bij alle andere protocollen is het beveiligen en goed configureren van systemen die ESP gebruiken cruciaal om de risico's van DDoS-aanvallen te beperken.
DDoS-aanvallen
Soms worden DDoS-aanvallen uitgevoerd om losgeld te eisen, dat wordt inmiddels al zo’n drie jaar onderzocht bij Cloudflare-klanten en zo houden ze het aantal Ransom DDoS-aanvallen bij.
(Vergelijking van Ransomware- en Ransom DDoS-aanvallen)
In tegenstelling tot Ransomware-aanvallen, waarbij slachtoffers meestal ten prooi vallen aan het downloaden van een kwaadaardig bestand of het klikken op een besmette e-mailkoppeling die hun bestanden vergrendelt, verwijdert of lekt totdat er losgeld wordt betaald, zijn Ransom DDoS-aanvallen door criminelen eenvoudiger uit te voeren. Voor DDoS-aanvallen met losgeld hebben ze geen misleidende tactieken nodig, zoals het verleiden van slachtoffers om dubieuze e-mails te openen of op frauduleuze koppelingen te klikken, en er is geen netwerkinbraak of toegang tot bedrijfsmiddelen voor nodig.
In het afgelopen kwartaal bleven de meldingen van DDoS-aanvallen met losgeld afnemen. Zo’n 8% van de respondenten meldde bedreigd te worden of slachtoffer te zijn van willekeurige DDoS-aanvallen, wat een voortdurende daling is die het hele jaar al te zien was. Hopelijk komt dit doordat bedreigers zich hebben gerealiseerd dat organisaties hen niet zullen betalen (wat ook Cloudflare’s aanbeveling is).
(DDoS-aanvallen met losgeld per kwartaal)
Houd er echter rekening mee dat deze methode erg seizoensgebonden is en dat er een toename in DDoS-aanvallen voor losgeld te verwachten is in de maanden november en december. In de cijfers voor het vierde kwartaal van de afgelopen drie jaar is namelijk te zien dat DDoS-aanvallen voor losgeld in november aanzienlijk toenemen vergeleken met de rest van het jaar. In voorgaande vierde kwartalen bereikte het een punt waarop een op de vier respondenten aangaf slachtoffer te zijn geworden van DDoS-aanvallen voor losgeld.
Verbeter verdediging in het tijdperk van hypervolumetrische DDoS-aanvallen
In het afgelopen kwartaal was er een ongekende toename van DDoS-aanvallen. Deze stijging werd merendeels veroorzaakt door de hypervolumetrische HTTP/2 DDoS-aanvalcampagne.
Cloudflare-klanten die de HTTP reverse proxy gebruiken, d.w.z. de CDN/WAF-diensten, zijn al beschermd tegen deze en andere HTTP DDoS-aanvallen. Klanten die niet-HTTP-services gebruiken en bedrijven die Cloudflare niet gebruiken, kunnen het beste een geautomatiseerde, always-on HTTP DDoS Protection-service gaan inzetten voor hun HTTP-applicaties.
Het is belangrijk om te onthouden dat beveiliging een proces is, en niet één product of één druk op de knop. Behalve geautomatiseerde DDoS-beschermingssystemen biedt Cloudflare uitgebreide gebundelde functies zoals firewall, botdetectie, API-bescherming en caching om de cyberverdediging te versterken. De gelaagde aanpak daarin optimaliseert de securitypositie en minimaliseert de potentiële impact. Cloudflare heeft ook een lijst met aanbevelingen opgesteld om organisaties te helpen hun verdediging tegen DDoS-aanvallen te optimaliseren. Daarbij zijn stapsgewijze wizards te volgen om applicaties te beveiligen en DDoS-aanvallen te voorkomen.
Rapportagemethodieken
Meer informatie over de door Cloudflare gebruikte rapportagemethodieken en hoe de in dit artikel beschreven inzichten worden genereerd, is te lezen op: https://developers.cloudflare.com/radar/reference/quarterly-ddos-reports