Distributed Denial of Service (DDoS)-aanvallen zijn cyberaanvallen die zich richten op het overbelasten en verstoren van online diensten, waardoor ze ontoegankelijk worden voor gebruikers. Met behulp van een netwerk van gedistribueerde apparaten overspoelen DDoS-aanvallen het doelsysteem met buitensporig veel verzoeken. Zo wordt de bandbreedte verbruikt of de rekenkracht uitgeput totdat het systeem faalt. Deze aanvallen zijn vaak zeer effectief als de sites onbeschermd zijn en zijn ook relatief goedkoop voor de aanvallers. Ondanks het feit dat DDoS-aanvallen tot de oudste soorten aanvallen behoren, zijn ze nog altijd een bedreiging, vaak gericht op bekende of drukbezochte websites, diensten of een belangrijke infrastructuur. Cloudflare heeft sinds het begin van 2024 meer dan 14,5 miljoen DDoS-aanvallen ingeperkt. Dat is een gemiddelde van 2200 DDoS-aanvallen per uur. (Ons DDoS Threat Report voor Q3 2024 bevat aanvullende gerelateerde statistieken).
Als we kijken naar de statistieken die verband houden met grote aanvallen die de afgelopen 10 jaar zijn ingeperkt, zien we dan een exponentiële curve die steeds steiler wordt, vooral in de afgelopen jaren, of lijkt het meer op een lineaire toename? Het blijkt dat de groei niet lineair is, maar exponentieel, waarbij de helling afhankelijk is van de metriek die wordt gebruikt.
Waarom is deze vraag interessant? Dat mag duidelijk zijn. Het antwoord op deze vraag biedt waardevolle inzichten in de evoluerende strategieën van aanvallers, hoe geavanceerd hun tools zijn en de paraatheid van de verdedigingsmechanismen.
Een opwaartse curve van het aantal verzoeken per seconde (rps) suggereert bijvoorbeeld dat de aanvallers iets aan hun kant veranderen waardoor ze grotere hoeveelheden verzoeken kunnen genereren. Dit is een inzicht dat ons aanspoort om meer te onderzoeken en naar andere gegevens te kijken om te begrijpen of er iets nieuws aan de hand is.
Op een van die momenten keken we bijvoorbeeld naar de bron van het verkeer. We zagen een verschuiving van de IP-adresruimte van abonnees/ondernemingen (wat wijst op IoT) naar de IP-adresruimte van cloudproviders (wat wijst op VM's). We realiseerden ons dat de aanvallers andere soorten apparaten met een verschillende functionaliteit begonnen te gebruiken.
Een ander voorbeeld: toen de HTTP/2 Rapid Reset-aanval plaatsvond, suggereerde het recordaantal verzoeken per seconde dat er op dat moment een nieuwe techniek door aanvallers werd gebruikt. Dat gaf ons aanleiding om de situatie snel te onderzoeken en onze verdediging aan te passen.
Individuele aanvallen identificeren
Het afbakenen van een individuele aanval in de loop der tijd is verrassend moeilijk. Allereerst is het mogelijk dat een aanvalsanalyse inconsistente waarnemingen in verschillende lagen van het OSI-model registreert. De voetafdruk die in al deze verschillende lagen te zien is, kan verschillende verhalen vertellen over dezelfde aanval. Er zijn echter bepaalde variabelen waarmee we een vingerafdruk kunnen samenstellen, zodat we een reeks gebeurtenissen kunnen groeperen. Zo kunnen we vaststellen of ze deel uitmaken van dezelfde individuele aanval. Voorbeelden hiervan zijn:
Zien we dat dezelfde aanvalsvector(en) voor al deze gebeurtenissen worden gebruikt?
Zijn de individuele aanvallen op hetzelfde doel of doelen gericht?
Hebben de schadelijke payloads van de gebeurtenissen dezelfde kenmerken? (Specifieke gegevenspayloads of verzoektypen die uniek zijn voor bepaalde typen aanvallen of botnets, zoals Mirai, die soms gebruik maken van unieke HTTP-verzoekheaders of pakketstructuren).
Omvang van de DDoS-aanvallen
Voordat we ingaan op een groeianalyse van DDoS-aanvallen van de afgelopen 10 jaar, doen we eerst een stapje terug door naar de statistieken te kijken die doorgaans worden gebruikt om deze aanvallen te meten: 'requests per second' of rps (verzoeken per seconde), 'packets per second' of pps (pakketten per seconde) en 'bits per second' of bps (bits per seconde). Elke metriek verzamelt informatie over een ander aspect van de schaal en impact van de aanval.
Verzoeken per seconde (rps): meet het aantal HTTP- of vergelijkbare protocolverzoeken dat elke seconde wordt veronden. Deze metriek is met name relevant voor aanvallen op de applicatielaag (laag 7), waarbij het de bedoeling is om een specifieke applicatie of dienst te overspoelen door de verzoekafhandeling te overbelasten. Deze waarde is nuttig voor het meten van aanvallen die gericht zijn op webservers, API's of applicaties, omdat die een weerspiegeling is van het volume van verzoeken en niet alleen de overdracht van onbewerkte gegevens.
Pakketten per seconde (pps): vertegenwoordigt het aantal afzonderlijke pakketten dat per seconde naar het doel wordt verzonden, ongeacht de grootte ervan. Deze metriek is van cruciaal belang voor aanvallen op de netwerklaag (lagen 3 en 4), waarbij het doel is om de netwerkinfrastructuur te overbelasten door de pakketverwerkingscapaciteit te overschrijden. Pps-metingen zijn nuttig voor volumetrische aanvallen, waarbij de hoeveelheid pakketten wordt vastgesteld die van invloed kan zijn op routers, switches of firewalls.
Bits per seconde (bps): meet het totale aantal gegevens dat per seconde wordt overgedragen en is vooral nuttig voor het evalueren van aanvallen op de netwerklaag die erop gericht zijn de bandbreedte van het doel of van de upstream-provider te verzadigen. Bps wordt veel gebruikt voor het meten van aanvallen op lagen 3 en 4, zoals UDP floods, waarbij de aanval is bedoeld om de netwerkbandbreedte te blokkeren. Deze metriek is vaak opvallend voor DDoS-aanvallen, omdat hoge bps-waarden (vaak gemeten in gigabits of terabits) wijzen op bandbreedteverzadiging en dat is vaak het doel van grootschalige DDoS-campagnes.
Evolutie van de omvang van DDoS-aanvallen in de afgelopen tien jaar
Op welke wijze is de omvang van DDoS-aanvallen de afgelopen tien jaar veranderd? In deze periode zijn DDoS-aanvallen steeds groter en sterker geworden, en elk jaar neemt het risico op een ernstige verstoring toe.
Als we kijken naar de statistieken die verband houden met grote aanvallen van de afgelopen 10 jaar, zien we dan een exponentiële curve die steeds steiler wordt, vooral in de afgelopen jaren, of lijkt het meer op een lineaire toename? Het blijkt dat de groei exponentieel is. Laten we onderzoeken waarom we die conclusie hebben getrokken.
Voor deze analyse hebben we de aanvallen op Google van 2010 tot 2022 als uitgangspunt gebruikt (Figuur 1). We keken bovendien naar de aanvallen die Cloudflare in 2023 en 2024 heeft waargenomen (Figuur 2).
Als we teruggaan in de tijd, naar het begin van de jaren 2010, werden de grootste aanvallen gemeten op een schaal van gigabits per seconde (gbps), terwijl het tegenwoordig gaat om terabits per seconde (tbps). Ook het aantal verzoeken per seconde (rps) en bits per seconde (bps) zijn tegenwoordig significant hoger. Later komen we hierop terug.
De historische gegevens van Google over de DDoS-aanvallen die tussen 2010 en 2022 werden waargenomen en die hieronder in Figuur 1 staan weergegeven, laten een stijgende trend zien van het aantal verzoeken per seconde. Daarbij was er in 2020 een piek van 6 miljoen verzoeken per seconde (Mrp's). De toename wijst op een aanzienlijke escalatie van het aanvalsvolume in de loop van deze tien jaar.
Figuur 1. Grootste bekende DDoS-aanvallen, 2010-2022. (Bron: Google)
Figuur 2 (hieronder) biedt een overzicht van de trends die de verschillende statistieken vertonen. De escalatie die de statistieken van Google tonen, is ook zichtbaar in de gegevens van Cloudflare met betrekking tot grote, ingeperkte DDoS-aanvallen in 2023 en 2024, die een piek van 201 Mreps (groene lijn) in september 2024 vertonen. Het aantal pakketten per seconde (pps) heeft een lichte exponentiële groei in de loop der tijd (blauwe lijn), van 230 Mpps in 2015 naar 2100 Mpps in 2024, wat aangeeft dat aanvallers meer aanvallen uitvoeren. Voor bits per seconde (bps) is de trend ook exponentieel en met een steilere opwaartse curve (rode lijn), van een aanval van 309 Gbps in 2013 naar een aanval van 5,6 Tbps (5600 Gbps) in 2024.
De aanvallen achter deze statistieken de afgelopen tien jaar een aanzienlijke groei doorgemaakt:
Van 2013 tot 2024 twintigmaal meer bits per seconde
Van 2015 tot 2024 tienmaal meer pakketten per seconde
Van 2014 tot 2024 zeventigmaal meer verzoeken per seconde
Figuur 2. De gegevens uit Figuur 1, uitgebreid met grote aanvallen die in 2023 en 2024 door Cloudflare zijn waargenomen.
De blogberichten in tabel 1 bevatten informatie over een aantal aanvallen die we van 2021 tot 2024 hebben waargenomen.
Maand | Omvang van de aanval | Blogbericht |
Augustus 2021 | 17,2 Mrps | Cloudflare thwarts 17.2M rps DDoS attack — the largest ever reported |
April 2022 | 15 Mrps | |
Juni 2022 | 26 Mrps | Cloudflare mitigates 26 million request per second DDoS attack |
Februari 2023 | 71 Mrps | Cloudflare mitigates record-breaking 71 million request-per-second DDoS attack |
September 2024 | 3,8 Tbps | How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack |
Oktober 2024 | 4,2 Tbps | 4.2 Tbps of bad packets and a whole lot more: Cloudflare's Q3 DDoS report |
Oktober 2024 | 5,6 Tbps |
Tabel 1. Opmerkelijke DDoS-aanvallen van 2021 tot 2024 waargenomen door Cloudflare.
Voor een overzicht van andere DDoS-aanvallen met een significant hoog volume die de afgelopen tien jaar hebben plaatsgevonden, waaronder het Memcached-misbruik in 2018 en de HTTP/2 'Rapid Reset'-aanvallen in 2023, gaat u naar het Learning Center van Cloudflare.
Aanvalsduur als metriek
De duur van een aanval is geen effectieve maatstaf om de agressiviteit van een aanval te beoordelen. Het is namelijk lastig om de duur van een enkele aanval of campagne vast te stellen, omdat de aanvallen mogelijk met tussenpozen worden uitgevoerd of een groot aantal aanvalsvectoren tegelijkertijd gebruikt wordt. Ook is het moeilijk vast te stellen hoe de verschillende verdedigingslagen in de loop der tijd worden geactiveerd.
De aanvalspatronen kunnen aanzienlijk verschillen, waarbij sommige één grote piek en andere meerdere dicht bij elkaar liggende pieken vertonen, of een constante belasting die gedurende een bepaalde periode aanhoudt, plus allerlei andere variabelen.
De trend van het soort apparatuur dat wordt gebruikt om aanvallen uit te voeren
DDoS-aanvallen werden door IoT-gebaseerde botnets uitgevoerd, maar tegenwoordig steeds vaker door veel krachtigere VM-gebaseerde botnets. Deze verandering wordt voornamelijk veroorzaakt door de hogere rekencapaciteit en grotere doorvoermogelijkheden van in de cloud gehoste virtuele machines. Hierdoor kunnen aanvallers met veel minder apparaten zeer zware aanvallen uitvoeren.
Deze verschuiving wordt mogelijk gemaakt door verschillende factoren: VM-botnets zijn gemakkelijker op te starten dan IoT-botnets, omdat ze niet per se grootschalige malware-infecties vereisen. Aanvallers kunnen deze infecties namelijk anoniem uitzetten op de infrastructuur van cloudproviders met gestolen betaalgegevens verkregen door gegevenslekken of Magecart-aanvallen.
Deze trend wijst op de ontwikkeling van DDoS-tactieken: aanvallers misbruiken zowel de verwerkingskracht van VM's als de geanonimiseerde toegang tot cloudbronnen. Daardoor kunnen kleinere, efficiëntere botnets grootschalige aanvallen uitvoeren zonder de complexiteit die gepaard gaat met het infecteren en beheren van een groot aantal IoT-apparaten.
Hoe beschermt Cloudflare tegen DDoS-aanvallen?
De connectiviteitscloud van Cloudflare, gebouwd op ons uitgebreide wereldwijde anycast-netwerk, speelt een cruciale rol bij de verdediging tegen DDoS-aanvallen. De connectiviteitscloud zorgt namelijk voor een automatische detectie, verkeersdistributie en Rapid Response. Dit is hoe de DDoS-bescherming wordt versterkt:
Geautomatiseerde detectie en verdediging tegen aanvallen: de DDoS-bescherming van Cloudflare is sterk afhankelijk van automatisering en gebruikt machine learning-algoritmen om verdachte verkeerspatronen in realtime te identificeren. Cloudflare kan met de automatisering van het detectieproces snel DDoS-aanvallen herkennen en blokkeren, zonder handmatige tussenkomst. Dat is van cruciaal belang bij omvangrijke aanvallen, aangezien mensen die gewoon niet aankunnen.
Wereldwijde verkeersdistributie met IP anycast: het netwerk van Cloudflare strekt zich uit over meer dan 330 steden over de hele wereld en het DDoS-verkeer wordt over onze verschillende datacenters verdeeld. IP anycast stelt ons in staat om het verkeer over dit wereldwijde netwerk te verdelen. Deze brede distributie helpt bij het absorberen en inperken van grootschalige aanvallen, aangezien aanvalsverkeer niet op één enkel punt wordt gericht. Zo wordt de druk op individuele servers en netwerken verminderd.
Gelaagde verdediging: de connectiviteitscloud van Cloudflare verdedigt in meerdere lagen, zoals netwerk (laag 3), transport (laag 4) en applicatie (laag 7). Deze gelaagde aanpak maakt het mogelijk om verdedigingsstrategieën op maat te ontwikkelen, afhankelijk van het aanvalstype. Zo kunnen zelfs complexe, meerlaagse aanvallen effectief worden ingeperkt. Lees meer over DDoS-bescherming op lagen 3, 4 en 7 in onze documentatie over DDoS-bescherming.
Onbeperkte DDoS-preventie: Cloudflare is sinds 2017 een pionier op het gebied van deze aanpak om de internetbeveiliging te waarborgen en biedt onbeperkte DDoS-bescherming. Dat betekent dat klanten worden beschermd, zodat ze zich tijdens aanvallen geen zorgen hoeven te maken over onvoldoende bandbreedte of te hoge kosten. Dankzij deze aanpak kunnen bedrijven, ongeacht hun grootte of budget, van een robuuste DDoS-bescherming profiteren.
Dankzij de gedistribueerde cloudinfrastructuur en geavanceerde technologie van Cloudflare kunnen we DDoS-aanvallen detecteren, opvangen en inperken op een manier die zowel schaalbaar als responsief is. Hierbij wordt downtime vermeden en de betrouwbaarheid van de service gehandhaafd. Daarnaast wordt een robuuste oplossing geboden om de toenemende intensiteit en frequentie van DDoS-aanvallen aan te pakken vergeleken met traditionele opties.
Bescherming tegen DDoS-aanvallen is essentieel voor organisaties van elke omvang. Hoewel mensen deze aanvallen initiëren, worden ze uitgevoerd door bots. Een effectieve verdediging vereist dus geautomatiseerde tools om deze botgestuurde dreigingen tegen te gaan. De realtime detectie en inperking moeten zo geautomatiseerd mogelijk zijn, aangezien het voor verdedigers zeer nadelig is om uitsluitend op menselijke interventie te vertrouwen. Aanvallers passen zich namelijk aan nieuwe verdedigingslinies aan en kunnen hun aanvalsvectoren, verkeersgedrag en payloadhandtekeningen wijzigen, waardoor een onvoorspelbare situatie ontstaat en sommige handmatige configuraties dus nutteloos worden. De geautomatiseerde systemen van Cloudflare sporen voortdurend DDoS-aanvallen op en blokkeren deze voor onze klanten. Dit maakt op maat gemaakte bescherming mogelijk die aan de individuele behoeften voldoet.
Onze missie is om een beter internet te ontwikkelen. Gezien de vele DDoS-dreigingen is het leveren van veerkracht onderdeel van deze missie.
Lees meer over de DDoS-bescherming van Cloudflare in onze gepubliceerde technische documentatie.