Cloudflare registreert grootste ddos-aanval via https tot nu toe

Cloudflare registreerde afgelopen maand een ddos-aanval met een omvang van 15,3 miljoen requests per seconde. Hoewel het bedrijf in het verleden met grotere aanvallen te maken kreeg, is het de grootste tot nu toe die via https verliep.

De ddos-aanval duurde 15 seconden en Cloudflare kon deze na detectie naar eigen zeggen afwenden. Volgens het bedrijf is een dergelijke grote aanval via https opvallend, omdat er meer rekenkracht vereist is voor versleutelde verbindingen en aanvallers daardoor hogere bedragen moeten betalen voor ddos-aanvallen via tls-verbindingen. De aanval kwam dan ook voornamelijk van datacenters die cloudcomputediensten aanbieden. Volgens Cloudflare komt het in toenemende mate voor dat aanvallen niet via isp's, maar via datacenters verlopen.

De aanval was gericht op een Cloudflare-klant die een crypto launchpad aanbiedt. Dit is een platform voor blockchainprojecten waarmee bedrijven in een vroeg stadium tokens kunnen verkopen aan de eerste investeerders. De reden van de aanval is onbekend, maar deze was afkomstig van een botnet dat Cloudflare al langer in de gaten houdt. Het gaat om een botnet van ongeveer 6000 bots via 1300 netwerken en afkomstig uit 112 verschillende landen. Met bijna 15 procent neemt Indonesië daarvan het grootste deel voor zijn rekening.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 29-04-2022 13:0154

29-04-2022 • 13:01

54 Linkedin

Lees meer

Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien Nieuws van 14 februari 2023
FBI haalt domein RSocks-proxydienst die met botnet werkte offline Nieuws van 19 juni 2022
Cloudflare wendt ddos-aanval van 26 miljoen requests per seconde af Nieuws van 15 juni 2022
Cloudflare brengt Private Access Tokens uit die captcha's moeten vervangen Nieuws van 9 juni 2022
Italiaanse overheid waarschuwt voor meer ddos-aanvallen van Russische groepen Nieuws van 30 mei 2022
Nederlandse ntp-servers misbruikt bij grote ddos-aanval op Cloudflare Nieuws van 13 februari 2014
Meer producten en artikelen
Beveiliging en antivirus Netwerk en systeembeheer Cloudflare

Reacties (40)

-Moderatie-faq
40
35
15
0
0
15
Wijzig sortering
kodak
29 april 2022 13:46
Wat is nu werkelijk bijzonder aan deze aanval? Want er staat niet dat het echt de grootste was. Er staat ook niet dat de https aanval die werd gedaan echt nieuw was. Er staat ook niet dat de duur van de aanval nieuw zou zijn. Er staat ook niet dat hun detectiealgoritmes deze aanval nog niet kende. Er staat ook niet dat het afkomstig is van bots die onbekend waren of nog nooit gebruikt voor dit soort aanvallen.

Voor er nu reacties komen dat de combinatie zo bijzonder is: het opvallende is dat cloudflare niet duidelijk maakt waarom het bijzonder is dat ze het in 15 seconden hebben kunnen herkennen en stoppen. Terwijl klanten niet alleen betalen voor wat cloudflare graag wil noemen maar om zo min mogelijk last te hebben. Dus als cloudflare met al die aparte zaken al rekening kon houden dan is die 15 seconden net zo goed heel veel kostbare seconden te lang, waardoor het zo bijzonder kon worden.
casberrypi
@kodak29 april 2022 14:12
Ik vind het heel knap dat zo'n botnet zichzelf zo goed georganiseerd heeft dat je binnen 15 seconden kunt opschalen én weer afschalen. De ervaringen die ik heb met botnets is dat ze maar langzaam opkomen, en ook niet snel uitdoven. Ik heb altijd ramp-up periodes van meer dan een minuut gezien.
kodak
@casberrypi29 april 2022 14:46
Het is uiteraard te bewonderen wat er kan, maar dat is niet de bijzonderheid waar ik de discussie over begin.

Het nieuws komt van een van de grootste bedrijven waar het internet van afhankelijk is, dat miljoenen klanten heeft en miljarden betalen om zo min mogelijk last van denial of service te hebben. Dan lijkt het me toch redelijk om niet alleen bewondering te hebben maar ook serieuze opmerkingen te plaatsen over wat wat ze niet benoemen? Dan kunnen we wel gaan raden, maar het punt is dat ze niet duidelijk zijn in wat ze noemen en weglaten.
casberrypi
@kodak29 april 2022 15:02
Ja, logisch. Het is gewoon marketing natuurlijk. Geen inhoudelijk slecht artikel, maar het blijft marketing van een club waarvoor het belangrijk is dat de dreigingen goed in het voetlicht staan.

https ddos is moeilijk, want het vereist veel meer van een botnet node dan bij http. Daar is de request/response ratio al heel snel boven de 1000. In bandbreedte én in cpu usage. Bij https is dat echt een ander verhaal. Daar heb je als node gewoon even te handshaken en rekenen voordat je request begint. Een stuk minder efficiënt dus, en dat werkt dus alleen goed als je een flink aantal nodes heb met redelijk wat resources.

En dat moet dan ook niet opvallen. Want als je VPS-en op een overbooked host server teveel cpu gaat vreten dan ben je nodes snel kwijt als je er teveel van vraagt.
NielsFL
@kodak29 april 2022 17:50
Hoewel Cloudflare waarschijnlijk de meest betrouwbare DDOS partner is, heb ik niet zo'n hele hoge pet op van de DDOS-beschermingsindustrie in z'n geheel.

Zo draaien we zelf servers bij tientallen providers, waarvan enkelen standaard DDOS bescherming bieden. Je raad het al, alleen onze servers bij die beschermde providers zijn regelmatig slachtoffer van DDOS aanvallen. Bij de andere providers hebben we nergens last van. (Praat ik over een periode van inmiddels 13 jaar.)

Voor de duidelijkheid: ik weet niet of ze die aanvallen volledig uit hun duim zuigen, of dat wij collateral damage zijn van aanvallen bedoeld voor andere klanten bij de betreffende provider. Ik vermoed dat laatste.
Jeffrey_KL
@casberrypi29 april 2022 14:38
Dit lijkt me technisch gezien niet zo'n grote uitdaging toch? Een aanval kan dagen van tevoren gepland zijn waardoor de bots ruim van te voren weten wanneer de aanval ingezet wordt en tot hoe laat deze aanval uitgevoerd moet worden.
casberrypi
@Jeffrey_KL29 april 2022 14:49
Jij gaat ervanuit dat al deze apparaten een correcte tijd hebben. Dat is misschien voor goed beheerde machines helemaal logisch, maar niet voor de categorie servers die in een botnet zit. En voor de routers, slimme speakers en broodroosters al helemaal niet.
Jeffrey_KL
@casberrypi29 april 2022 15:15
Volgens mij heb je geen correcte tijd nodig om te kunnen plannen. Zolang de machine een stabiele tijd heeft kan je er op anticiperen. Oftewel als je weet dat 1 van je servers een jaar achterloopt kan je nog steeds een timestamp aan die server geven welke tegelijk bereikt wordt als de andere servers.
casberrypi
@Jeffrey_KL29 april 2022 20:43
Ja, als je ook nog de drift bepaalt misschien wel, maar mijn punt is niet dat het niet zou kunnen. Het is gewoon bijzonder. Ik heb best wat ervaringen met ddos attacks, en ik heb nog nooit gezien dat het zo enorm gesynchroniseerd is. Dat is een noviteit.
MischaBoender
@kodak29 april 2022 14:03
Volgens Cloudflare is het de grootste aanval over HTTPS tot nu toe en dat het bijzonder is omdat het ook aan de client kan nogal wat rekenkracht vergt (en dat de aanval vooral uit datacentres kwam).
this attack stands out because of the resources it required at its scale.
En zo te zien hebben ze het niet binnen 15 seconden kunnen herkennen en stoppen, maar duurde de aanval in totaal maar 15 seconden. Het herkennen en stoppen was dus sneller.
The attack, lasting less than 15 seconds
kodak
@MischaBoender29 april 2022 14:19
Er valt helaas niet zomaar te stellen dat de mitigatie sneller was of zelfs snel genoeg met wat cloudflare noemt.

Het gaat me niet om de bijzonderheden die het als nieuws of marketing kan hebben, maar waaruit nu voor de klanten blijkt dat ze waar voor hun geld krijgen dat cloudflare dit bijzonder kan noemen.

Cloudflare stelt zelf namelijk dat ze met hun diensten het internet beter willen maken, dan gaat het om genoeg duidelijkheid geven waaruit blijkt dat hun detectie en mitigatie duidelijk bijzonder genoeg was en niet onnodig heeft bijgedragen aan de bijzonderheden.

[Reactie gewijzigd door kodak op 29 april 2022 14:30]

zwartpet
@kodak29 april 2022 14:57
Uit het artikel:
"Earlier this month, Cloudflare’s systems automatically detected and mitigated a 15.3 million request-per-second (rps) DDoS attack — one of the largest HTTPS DDoS attacks on record."

Klant heeft dus geen last gehad
kodak
@zwartpet29 april 2022 15:03
Ontdekken en mitigeren wil niet zeggen dat de klant dus geen last gehad heeft.
Ontdekken geeft aan dat ze iets herkend hebben, niet wanneer en dus ook niet dat klanten geen last hadden.
Mitigeren heeft de betekenis dat ze maatregelen genomen hebben, niet wanneer en dus ook niet dat klanten geen last hadden.

[Reactie gewijzigd door kodak op 29 april 2022 15:04]

Groningerkoek
@kodak29 april 2022 16:40
Als de klant hier al iets van gemerkt heeft dan is het hooguit een launchpad welke een paar seconden slechter te bereiken was, denk niet dat iemand daar iets om geeft.
kodak
@Groningerkoek29 april 2022 17:17
Heel veel diensten hangen tegenwoordig af van op het juiste moment, binnen seconden, iets wel of niet kunnen doen. Bijvoorbeeld bij handel, waar de aanval blijkbaar op gericht was. En dat gaat lang niet alleen om transacties maar ook reputatie en andere belangrijke momenten.
Dus om zomaar te stellen of die paar seconden niets uit zouden maken, terwijl cloudflare zelf noemt dat de moeite van de aanvallers bijzonder is, is te makkelijk. En dat is nu precies een reden niet te gemakkelijk te doen dat cloudflare iets bijzonder noemt.

[Reactie gewijzigd door kodak op 29 april 2022 17:22]

dezwarteziel
@zwartpet29 april 2022 19:10
mitigate
make (something bad) less severe, serious, or painful.

Dus wel, anders dan was er wel een andere woordkeuze gebruikt, zoals b.v. "prevented".
GeroldM
@MischaBoender30 april 2022 03:57
15 seconden klinkt dan meer als een test aanval van de beheerders om te zien hoe goed hun "nieuwe speeltje" functioneert.

Maar de tekst "vooral via datacenters" is van grote zorg. Nu idereen en zijn grootmoeder alles in de cloud propt, zijn deze voorzien van uitstekende hardware en nog betere internetverbindingen.

Voor de hacker dus een lekker centrale plek waar dus veel capabele hardware beschikbaar is, en een pijp naar het internet toe waar praktisch niemand tegenop kan. Waarom zou je dan nog bedrijven/personen met on-premise apparatuur gaan lastigvallen, als zo'n beetje elk datacenter gigantisch veel lucratiever kan zijn voor de "inkomsten" van je "groep/collectief/bende".

Nou staat er natuurlijk wel beveiligde apparatuur en draait er beveiligingssoftware in datacenters, maar die beveiligingslagen zijn ook te omzeilen. En omdat alles naar de cloud aan het verhuizen is, word dat dus alsmaar interessanter voor de hacker. En doe je dat als "groep/collectief/bende" effectief, dan word het niet of veel te laat opgemerkt via ongeoorloofd gebruik van resources die het datacenter beschikbaar heeft.

Maar goed, jij hebt er alles aan gedaan om jouw cloud omgeving in het gehackte datacenter goed te beveiliging. Ben jij er echter ook zo zeker van dat andere beheerders van andere cloud-omgevingen in hetzelfde datacenter net zo goed hun best hebben gedaan als jezelf?

Al die beveiligings software en apparatuur in datacenters zijn net zo sterk als de zwakste schakel. En dat is vaak een minder goed beheerde omgeving of iemand binnen een cloud-omgeving die in sociale engineering is getrapt.

Zo snel zal het niet loslopen, maar door alles te verhuizen naar de cloud, zijn we met zijn allen wel een heleboel eieren in een zeer beperkt aantal mandjes aan het zetten. En niet iedereen die zo'n mandje draagt is even goed in beveiligen van al die eieren.

Of vergelijk een datacenter met een postkoets die jouw goud vervoert door het bos. Hoeveel struikrovers denk jij dat er klaar gaan staan als iedereen ook zijn goud in die postkoets deponeert? Dan kan jij jouw goud nog wel in een uitstekende kist hebben zitten, maar of anderen ook die moeite voor hun goud hebben genomen?

Het word voor struikrovers heel wat moeilijker om al het goud te stelen als deze allemaal in aparte postkoetsen worden vervoerd.
Groningerkoek
@kodak29 april 2022 16:31
Het is de grootste HTTPS DDOS aanval ooit op een client van Cloudfare, Cloudfare vindt dat bijzonder genoeg om er een bericht op haar Blog aan te wijden, en Tweakers vindt het bijzonder genoeg om dat over te nemen, of jij dat bijzonder vindt is aan jou persoonlijk.

En Cloudfare noch Tweakers noemt het bijzonder dat ze het in 15 seconden hebben kunnen herkennen en stoppen. dus niemand hoeft dat te verduidelijken.

Zoals soms wel vaker maak je het zelf veel te moeilijk terwijl het om een heel simpel bericht gaat.
kodak
@Groningerkoek29 april 2022 17:09
Of iets bijzonder is valt op verschillende manieren te vergelijken.

Een van die manieren is of en hoe het opmerken en verhelpen zoals cloudflare het het internet beter maken noemt werkelijk beter is. Dat je graag luchtigere discussie wil lijkt me prima, maar dat maakt nog niet dat de opmerkingen ontrecht of irrelevant zouden zijn.

Cloudflare is geen klein bedrijf, heel veel mensen zijn van ze afhankelijk en het gaat om heel veel tijd en geld dat er bij hun keuze om.iets bijzonder te vinden wel wat extra opmerkingen en vragen gesteld moeten kunnen worden. Ze stellen in de blogpost zelf dat ze het internet beter willen maken, dan hoeft dat niet af te hangen van hun mening hoe iets bijzonder is.
Groningerkoek
@kodak29 april 2022 17:37
Jij schrijft:
Het opvallende is dat cloudflare niet duidelijk maakt waarom het bijzonder is dat ze het in 15 seconden hebben kunnen herkennen en stoppen.
Ik zeg: Zij stellen nergens dat dit bijzonder is, dus hoeven ze ook niet te vertellen waarom het bijzonder zou zijn.

En wat jij daar allemaal omheen verzint veranderd daar niets aan.
kodak
@Groningerkoek29 april 2022 17:50
Cloudflare maakt er zelf nieuws van, en vinden het dus duidelijk zelf bijzonder. Dan kan je wel gaan beweren dat ze dat niet zouden vinden, maar dan lijk je meer bezig met iets anders dan waar ik de discussie om start. Je hoeft niet te reageren als het onderwerp van discussie je niet bevalt.
Groningerkoek
@kodak29 april 2022 18:01
Het bijzondere hier is dat het de grootste DDOS over HTTPS betreft, de rest is aanvullende info omtrent de gebeurtenis. Op geen enkele manier wordt er gesteld dat al die aanvullende info uit bijzonderheden bestaat, dat zuig jij zelf uit je duim.

Voorbeeld:

De krant schrijft een artikel over een man die met zijn auto in de sloot rijdt, dat is dus het bijzondere want dat doen we niet zo vaak, vervolgens vraag jij de krant wat er zo bijzonder is dat iemand in een auto reed.
BitSec
29 april 2022 13:07
Foutje in het artikel: 5,3 miljoen requests moet 15,3 miljoen requests zijn.

[Reactie gewijzigd door BitSec op 29 april 2022 13:07]

Morress
@BitSec29 april 2022 14:50
Tomaton tomato, he bah, werkt niet als je het leest.

Nogal een verschilletje!

Wat ik me afvraag, hoe is het om een functie te hebben bij zo'n bedrijf waarbij je 'vijandige' bots en personen inventariserrt en monitort en hoe gaat dat in zn werk.
YopY
@Morress29 april 2022 15:17
Ik denk dat Cloudflare hun eigen blog daar veel inzicht in kan geven.

Maar buiten het technische is het natuurlijk een legale kwestie; in dit geval melden ze het bij de betrokken cloudaanbieder, die zal zelf een onderzoek opstarten om te kijken wie de servers gehuurd heeft. Mogelijk worden er dan gerechtelijke stappen ondernomen, maar waarschijnlijk niet - een "burner" credit card, valse adresgegevens en een niet-mainstream VPN (want de grote VPN diensten zijn waarschijnlijk honeypots) of TOR (waar ook honeypots in zitten) en het wordt al een stuk lastiger.
Bux666
29 april 2022 14:52
15.300.000* verzoeken per seconde door een botnet van ongeveer 6.000 bots. Dat is 2.550 verzoeker per bot per seconde. Is dat niet heel erg veel?

*staat fout in het artikel, is reeds doorgegeven via Feedback
C. C.
29 april 2022 17:48
Misschien wordt het tijd voor een andere standaard dan https. Iets met authenticatie / trusted sender. Ook datacentra moeten natuurlijk niet zomaar een bak rotzooi het internet op kunnen sturen. Het internet is nog in een puberale fase.
Oon
@Kiswum29 april 2022 13:39
Lijkt me niet dat een filmpje door een Nederlandse YouTuber zo'n globale DDoS veroorzaakt. Dat de VPS waar de website van de Vue op staat het niet aan kan is prima, maar dit is toch wel een hele andere schaal.
MischaBoender
@Qws29 april 2022 14:07
Jij weet welke klant van Cloudflare werd aangevallen?
therazo
@MischaBoender29 april 2022 14:43
Staat in het artikel:
De aanval was gericht op een Cloudflare-klant die een crypto launchpad aanbiedt. Dit is een platform voor blockchainprojecten waarmee bedrijven in een vroeg stadium tokens kunnen verkopen aan de eerste investeerders.
MischaBoender
@therazo29 april 2022 16:22
Daar staat een klant die een crypto launchpad aanbiedt, niet welke klant. Ik ga er van uit dat als je (lees: @Qws) het jammer vindt dat de aanval niet gelukt is dat je dan weet welke klant aangevallen is.
therazo
@MischaBoender29 april 2022 20:47
Ah ja, specifieker dan dat wordt het inderdaad niet. Maar, ik neem aan dat Qws anti-crypto(-launchpads) is. En vandaar het mislukken van de aanval betreurt. (Enigszins begrijpelijk ook 8)7 ).
Qws
@MischaBoender29 april 2022 23:16
Dat de klant bezighoud met crypto launchpads zegt mij al genoeg.
NyceNL
@Qws29 april 2022 13:18
Mag ik vragen waarom dit jammer is?
Qws
@NyceNL29 april 2022 23:19
Dat de ponzi scheme launchpad (crypto launchpad bedrijf) niet is neergehaald door de DDOS aanval. Dat vind ik jammer.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee