Wereldrecord: DDoS-aanval van 11,5 Tbps tegengehouden
De aanval bracht op zijn piek een stevige 11,5 terabit per seconde aan DDoS-verkeer met zich mee, maar duurde slechts 35 seconden en was daarmee niet sterk genoeg om de infrastructuur van Cloudflare te ontregelen. De geautomatiseerde beveiligingssystemen konden de recordaanval dus afblokken en echte schade voorkomen. Tegelijk is wel duidelijk dat we ons voortaan vaker aan dergelijke intense aanvallen mogen verwachten en dan is het nog maar de vraag of die telkens tegengehouden kunnen worden.
DDoS-aanvallen worden steeds intenser
Bij een volumetrische DDoS-aanval (Distributed Denial of Service) proberen aanvallers internetverkeer of een specifieke dienst te verstoren door meer verkeer te sturen dan dat het netwerk kan verwerken. De snelwegen van het internet worden met andere woorden overbelast, wat tot storingen en in het slechtste geval ook tot complete uitval kan leiden. In de wereld van cybercriminaliteit zijn DDoS-aanvallen het grof geschut: weinig verfijnd maar wel effectief om systemen te ontregelen. Ze kunnen ook gebruikt worden als dekmantel om tegelijk meer gerichte cyberaanvallen uit te voeren.
De laatste tijd ziet Cloudflare weer een toename van grootschalige DDoS-aanvallen. In het eerste kwartaal werden er 700 opgetekend, maar in het tweede kwartaal waren dat er al 6.500. Ze lijken ook steeds intenser te worden. In mei werd nog een aanval van 7,3 Tbps gemeld en een recente golf had honderden aanvallen met pieken tot 5,1 miljard pakketten per seconde (Bpps). Het nieuwe record echter staat nu dus op een DDoS-aanval van 11,5 Tbps, al is de kans groot dat ook dit record binnen niet onafzienbare tijd zal sneuvelen.
Botnet achter aanvallen
Het is niet bekend wie er achter de recordaanval zit, maar het is wel duidelijk dat er voor zo’n intense aanval een sterk botnet nodig is. Zo’n botnet bestaat meestal uit meerdere Internet of Things-apparaten en cloudomgevingen wereldwijd die samen voldoende verkeer kunnen genereren dat dan gericht uitgestuurd kan worden om bepaalde diensten te ontregelen. Omdat er gebruikgemaakt wordt van een hoop geïnfecteerde toestellen bij mensen thuis (recorders, routers, …) is het moeilijk te achterhalen waar de bron van de aanval precies zit. Vaak weten gebruikers ook niet dat hun toestel meedraait in een botnet en het feit dat er heel wat apparaten actief zijn die onvoldoende beveiligd zijn, doet de kracht van botnets alleen maar toenemen.
Bij deze aanval liet Cloudflare aanvankelijk trouwens weten dat het meeste verkeer afkomstig was van Google Cloud, maar dat werd door Google zelf al snel ontkend. Het bedrijf detecteerde naar eigen zeggen de aanval en nam gepaste maatregelen. Cloudflare liet vervolgens weten dat de DDoS-aanval inderdaad niet voor het grootste deel uit Google Cloud kwam, maar uit verschillende bronnen, een combinatie van Internet of Things-apparaten en verschillende cloudproviders.
