Cloudflare wendt ddos-aanval van 26 miljoen requests per seconde af

Cloudflare heeft vorige week een ddos-aanval geregistreerd van 26 miljoen requests per seconde. Het aantal requests per seconde via https in deze aanval overtreft die van de vorige aanval in april. Die had een omvang van 15 miljoen requests per seconde.

De aanval was gericht op de website van een Cloudflare-klant. Het bedrijf heeft de aanval naar eigen zeggen afgewend. Net als de aanval in april, is deze aanval ook via https verlopen. Dat is opvallend, omdat er meer rekenkracht vereist is voor versleutelde verbindingen. Aanvallers moeten daardoor hogere bedragen betalen voor ddos-aanvallen via tls-verbindingen, schrijft Cloudflare.

Cloudflare ddos juni 2022

Wat Cloudflare ook opvalt, is dat de aanval afkomstig is van een botnetwerk dat uit 5.067 bots bestaat. Elke individuele bot genereerde gemiddeld 5.200 requests per seconde. Ter vergelijking haalt Cloudflare een groter botnetwerk erbij, dat het bedrijf al geruime tijd volgt. Dat netwerk bestaat uit 730.000 bots en kan in zijn geheel maar 1000 requests per seconde leveren.

In minder dan 30 seconden genereerde het botnet meer dan 212 miljoen requests via ruim 1.500 netwerken. De netwerken zijn verspreid over 121 landen. Meer dan 15 procent van de requests was afkomstig uit Indonesië. De reden van de aanval is onbekend.

Cloudflare ddos juni 2022 landen

Reacties (49)

Perkouw Moderator GCC 15 juni 2022 17:35

Aanvallers moeten daardoor hogere bedragen betalen voor ddos-aanvallen via tls-verbindingen.

Is dit een aanname of is er bekend dat de aanvaller gebruik maakt van een botnet die wordt ''uitbesteed'' voor dit soort activiteiten?

c-nan @Perkouw • 15 juni 2022 17:41

Gewoon een slechte vertaling. Het kost meer in rekenkracht.

Quote uit bron:

Also, worth noting that this attack was over HTTPS. HTTPS DDoS attacks are more expensive in terms of required computational resources because of the higher cost of establishing a secure TLS encrypted connection. Therefore, it costs the attacker more to launch the attack, and for the victim to mitigate it. We’ve seen very large attacks in the past over (unencrypted) HTTP, but this attack stands out because of the resources it required at its scale.

Falcon @c-nan • 15 juni 2022 17:46

Zou dit betekenen dat als je kiest voor een hogere bit aan encryptie (aes 512 ipv 256 bijv.), je potentoneel minder interessant bent om aangevallen te worden i.v.m. de kosten die dit met zich mee brengt?

Zo had ik hem namelijk nog niet bekeken

[Reactie gewijzigd door Falcon op 25 juli 2024 23:35]

Stetsed @Falcon • 15 juni 2022 17:49

Misschien is het raar maar met die logica kan je toch ook de andere kant op werken? Je moet de HTTPS tunnel aan beide kanten hebben en het kost dus meer om hem te starten met hogere encryptie maar het kost ook meer resources voor de server.

(Dit staat ook in de bron van c-nan)

[Reactie gewijzigd door Stetsed op 25 juli 2024 23:35]

Empheria @Stetsed • 15 juni 2022 18:49

Juist, en dan komen we weer op hetzelfde punt uit waar we begonnen: Dat een aanvaller de afweging gaat maken of de kosten van de aanval opwegen tegen het gewin (op welk vlak zich dat dan ook mag bevinden).

Aangezien het achter motief van dit soort aanvallen uiteenlopt van pesten tot wraak tot machtsvertoon tot afpersing, hangt het er enorm van af wie je bent, en wat de aanvaller ervoor over heeft om jou een lesje te leren.

Accretion @Empheria • 15 juni 2022 19:08

Als de load door HTTPS (of whatever) aan beide kanten hoger wordt, maakt het effectief dus niets uit.

Het kost meer rekenkracht per request om te sturen; maar je hebt dus ook minder requests nodig om de server plat te krijgen.

RienBijl @Accretion • 15 juni 2022 20:30

Hoeft niet perse het geval te zijn. Dat is alleen het geval als het daadwerkelijk de benodigde rekenkracht voor een TLS verbinding is die de server nekt.

Zeker bij een dienst als Cloudflare is dat niet direct het geval, omdat ze de mogelijkheid bieden om de TLS verbinding te terminaten. Enigzins hetzelfde kan door de verbinding te tunnelen, waardoor je server niet constant TLS handshakes draait.

In zo’n opstelling zou het verzwaren van de TLS verbinding de aanvaller belemmeren, terwijl de origin server er niets van merkt. Een soort minder praktische variant van de proof-of-work challenges die Cloudflare wel vaker naar eindgebruikers stuurt.

Accretion @RienBijl • 15 juni 2022 20:37

Dan wordt de load aan beide kanten niet gelijkmatig hoger, dus maakt het inderdaad wel uit.

dasiro @Falcon • 15 juni 2022 19:16

die kans is klein, want dit soort aanvallen is doelbewust en niet omdat het een makkelijk(er) slachtoffer is

nopcode @Falcon • 15 juni 2022 20:39

aes kost zo goed als niets.

maar de handshake idd wel

telskamp @Falcon • 15 juni 2022 21:26

Aes 512 is ook twee keer zo zwaar voor je webserver zowel legitiem als kwaadwillend verkeer

Tonkie1967 @c-nan • 15 juni 2022 20:50

Bronartikel is ook niet overduidelijk: eerst hebben ze het idd over de resources die nodig zijn en niet kosten in geld, maar daarna suggeteert het artikel dat het zowel de initiator alsook het slachtoffer meer kost (in geld).. Bovendien betaal je voor DaaS (DDosAsAService) ook extra voor Https DaaS diensten

djwice

@c-nan • 16 juni 2022 00:23

TLSv1.3 samen met HTTP/2 heffen die extra kosten voor TLS t.o.v. onversleuteld verkeer op.

tomatolove @Perkouw • 16 juni 2022 08:26

Dit is niet per se een aanname. Het is een gebruikelijk fenomeen dat hackers botnets opzetten om deze resources vervolgens on demand te verhuren via bv het dark web.

nextware 15 juni 2022 17:38

Overgrote deel van de source kwam van OVH.. Dan zal er toch iemand vanuit Cloudflare een berichtje die kant op sturen in de trend van "zeg OVH.. Jullie AS is bezig met een DDOS naar ons.. ga eens kijken waar dat vandaan komt.." ?

Wellicht zie ik het te simpel, maar dit moet toch wel uit te zoeken zijn welke systemen lid zijn van dat botnet en die offline brengen?

Luchtbakker @nextware • 15 juni 2022 17:54

Ik denk niet dat er 1 iemand is die +1500 servers in beheer heeft. Dit zijn gewoon servers met malware die ingezet worden zonder dat de eigenaar er iets van merkt.

SPee @Luchtbakker • 15 juni 2022 18:48

Maar als hoster weten ze toch wel van wie die server is en kunnen dus contact met die eigenaar opnemen?
Desnoods zelfs afsluiten, met een verwijzing naar hun voorwaarden.

xenn99 @SPee • 15 juni 2022 21:24

Maar waarom zou een hoster dat willen doen?
Die heeft daar verder geen profijt van.
Als ze die server afsluiten zijn ze een klant kwijt.
Dus kan me goed voorstellen dat dat geen prioriteit heeft.
Tegen de tijd dat de eigenaar is ingelicht is de aanval ook alweer voorbij (deze aanval duurde bijvoorbeeld maar 1 minuut).
Dus ook dat lost weinig op vrees ik.

supersnathan94 @xenn99 • 16 juni 2022 10:03

Waarom ie dat wil doen? Nou misschien omdat ie met 1500 geïnfecteerde klanten een behoorlijk beveiligingspek heeft ergens en misschien zijn eigen procedures moet herzien?

En aangezien het allemaal VPS apparaten zijn, hoe secure is de achterliggende sandbox nog?

SPee @xenn99 • 16 juni 2022 23:24

Deze aanval is er 1. Morgen worden diezelfde servers gebruikt voor de volgende aanval.
Cloudfare en consorten kunnen dan ook zeggen "deze ip (of zelfs range) komt op de blocklist". Dan zit OVH met ip adressen waar ze weinig mee kunnen en mogelijk een negatieve impact op hun andere klanten.

borbit @SPee • 15 juni 2022 21:28

Ik zit helemaal niet in die wereld, maar zou denken dat in ieder geval een groot deel van die servers van legitieme klanten is die zelf "gehackt" zijn. Dan is nogal een stap om ze af te sluiten zou ik denken?

marcieking

@borbit • 15 juni 2022 23:17

Als je hem niet veilig kunt houden moet je misschien geen server aan het openbare internet hebben hangen waar mensen last van hebben en dan ook nog eisen stellen aan hoe je gehackte server behandeld wordt.

gekkie @nextware • 15 juni 2022 19:10

Is OVH dan zo groot in Indonesië (ik ken er geen datacenters van hun) ?
Ik zie maar een beetje frankrijk in het grafiekje van sources onderverdeeld in landen en in het geheel geen canada ?

[Reactie gewijzigd door gekkie op 25 juli 2024 23:35]

Joesv @gekkie • 15 juni 2022 20:08

OVH zit niet in Indonesië, volgens OVH zelf zitten ze in de volgende landen: France, Canada, USA, Australia, Germany, Poland, the UK and Singapore.

OVH komt uit het volgende stukje, wat uit het originele bericht van Cloudflare komt:

The top source networks were the French-based OVH (Autonomous System Number 16276), the Indonesian Telkomnet (ASN 7713), the US-based iboss (ASN 137922) and the Libyan Ajeel (ASN 37284).

theobril @Joesv • 15 juni 2022 21:30

Dacht dat die Franse locatie was afgebrand, had verder niets met encrypted telefoons te maken

HKLM_ @theobril • 15 juni 2022 22:57

Was maar een gedeelte / zone van DC wat last had van vuur/rook/water.

Tonkie1967 @nextware • 15 juni 2022 20:54

Er gaat ook vast wel een mailtje naar de NOC van het betreffende AS. Maar je kan niet wachten op een mogelijke reactie: Dan liggen de servers vh slachtoffer al plat

Verwijderd 15 juni 2022 18:32

Gebeurt waarschijnlijk uit een leger gehackte routers en andere apparaten, isp zou dit soort apparaten moeten kunnen blocken.

Tonkie1967 @Verwijderd • 15 juni 2022 20:58

Hoe zou de ISP moeten weten of de https calls botnet DDoS traffic is of gewoon webverkeer van de gebruikers achter een router/firewall met NAT functie?
Achteraf kan een ISP achterhalen dat vanaf betreffend IP adres DDoS traffic kwam (router zelf of clients achter dat IP) en kunnen ze actie nemen, wat diverse ISPs ook doen

[Reactie gewijzigd door Tonkie1967 op 25 juli 2024 23:35]

Prince @Tonkie1967 • 16 juni 2022 09:52

Ik vermoed dat ze dit nooit met zekerheid weten, maar dat een plotse +5000 requests waar dit normaal veel lager ligt, een indicatie kan zijn.
Ik heb nooit met Cloudflare gewerkt, maar het zou me niet verbazen dat ze een dashboard hebben waarin je kan aangeven hoeveel requests per seconde toegestaan zijn.
Ook is het hun core-business; zij weten vast per IP of subnet wat "normaal' is qua aantal requests per seconde. Ook zullen ze een database hebben van IP's die verdacht zijn (eerdere aanvallen etc). Ik vermoed dat DDoS afwering veel gebaseerd is op big data en afwijkingen van de norm.

Zelfs al zouden die requests komen van een stuk software waar een bug in zat en dus helemaal geen 'echte' DDoS, dan nog zou Cloudflare deze tegenhouden.

Verwijderd @Verwijderd • 15 juni 2022 18:48

Er hangen zoveel routers en toestanden op het net met een verouderde firmware, ik zie soms op m'n servers in access logs dingen voorbij komen die exploits blijkbaar supermakkelijk maken.

En als het eenmaal in een botnet hangt dan kan je dat inzetten op verschillende manieren. Een DDOS maar ook het versturen van spam op bijv. contact pagina's, reactieformulieren en zelfs gastenboeken.

Ik ben eens terug gaan hacken en je zult je verbazen hoeveel routers er standaard openstaan met admin admin of root root etc. Ik heb die routers in dit geval "dichtgezet" en het SSID gewijzigd naar Router is hacked, please update firmware.

Zo kan het dus ook. Maar slimmere hackers schakelen zelf al de webinterface uit zodat je nooit weet wat er draait aan de andere kant.

Prince @Verwijderd • 15 juni 2022 20:26

Je lacht er precies om, maar je begrijpt dat jouw actie illegaal is? Het is niet omdat je de code van iets kent of kan achterhalen, dat het plots legaal is.
Je kiest dan plots ook voor een actie die het internet verstoort. Veel mensen hebben tegenwoordig geen idee meer dat kabeltjes bestaan en vertrouwen enkel op de WiFi. Je zet deze mensen op dat moment vast en dwingt ze tot het maken van kosten om het opgelost te krijgen omdat jij vindt dat dit niet kan.
En dit zeg je dan nog op een publieke site waar jouw profiel zichtbaar is incl foto van jou.

dieAndereGozer @Prince • 16 juni 2022 08:33

Als jij niet wilt dat ik uw huis niet inkom, dan moet u mij niet een kopietje van de sleutels geven. En als je dat gedaan hebt en daarna wilt dat ik er niet meer in kan? Vervang uw sloten.

Prince @dieAndereGozer • 16 juni 2022 09:43

Daar wringt het schoentje. Jij hebt geen kopietje van mij gekregen, jij hebt toevallig dezelfde sleutel gevonden. Jij hebt nooit toestemming gekregen om in het huisje te gaan.
Ik kan de sloten vervangen om zo goed mogelijk te borgen dat mensen met kwade bedoelingen er niet meer in kunnen, maar zelfs al doe ik dat niet, dan nog mag je niets doen waar je geen toestemming voor hebt gehad.

Als ik jouw verhaal doortrek, dan is onderstaande dus perfect logisch en legaal?
Als ik de sleutel van jouw huis vind in je tas die maar met een 'miezerige' rits toe was, dan mag ik naar jouw huis gaan en doen wat ik wil? Bvb het slot van jouw voordeur vervangen om duidelijk te maken dat je je sleutel beter moet verbergen de volgende keer?

dieAndereGozer @Prince • 16 juni 2022 10:00

Het verschil met je voorbeeld is dat je natuurlijk eerst mijn sleutel uit mijn tas gaat stelen. Daar loop je al spaak.

Prince @dieAndereGozer • 16 juni 2022 10:06

ok, ander voorbeeld; ik sta op een parking en ga met mijn autosleutel alle auto's af om te zien dat die ook zou werken op een andere. Wonder boven wonder werkt deze wel op jouw auto. Mag ik nu in jouw auto doen wat ik wil? Het is namelijk geweten dat er bij auto's dubbels zijn. Dat had jij dan ook maar moeten weten en dus actie op ondernomen hebben.
Lekker motorkap open doen en alle kabels los trekken, zal je wel leren om de volgende keer beter na te denken...

Los van de voorbeelden, denk ik dat we beiden wel weten dat dit niet ok is.

dieAndereGozer @Prince • 16 juni 2022 11:46

Dat is wel hoe het werkt ja.

Dat je gelijke alle voorbeelden heel erg persoonlijk moet maken, zegt wel iets over de subjectiviteit hier.

Je moet dan gewoon bij de fabrikant langsgaan en zeggen:"Hey, iemand kan met een andere sleutel in mijn auto, hoezo op slot?"

Prince @dieAndereGozer • 16 juni 2022 13:01

Dat is gelukkig genoeg niet hoe het werkt.

Nederlands strafrecht zegt dat als je onwettige toegang zoekt tot een automatisch systeem en je dit verstoort, je een maximale straf kan krijgen van 2 jaar gevangenisstraf of een geldboete van de 4de categorie (= tot € 22.500)

Referentie: Artikel 138b Wetboek van Strafrecht

Overigens, voor elk slachtoffer is dergelijke actie ook erg persoonlijk, daarom gebruik ik ook jezelf als voorbeeld en daarom ook is dit dus persoonlijk.

Maduropa 15 juni 2022 17:32

Goed en slecht nieuws tegelijk natuurlijk,
slecht dat er een botnet is die dus veel meer attacks in een seconde kan genereren, goed nieuws dat het Cloudflare wel gelukt is, en dat zelfs voor een klant die in het Free-plan van Cloudflare zit.

adje123 @Maduropa • 15 juni 2022 17:44

slecht dat er een botnet is die dus veel meer attacks in een seconde kan genereren,

The good guys zitten qua ontwikkeling niet stil, maar the bad guys ook niet....

nzall

15 juni 2022 22:39

Heeft het eigenlijk wel nog zin voor aanvallers om DDOS aanvallen te proberen op Cloudflare klanten? Want die jongens slagen er telkens weer in om die aanvallen af te slaan zonder problemen blijkbaar, zelfs als het weeral eens de grootste aanval ooit is.

djwice

16 juni 2022 00:18

Dat komt ongeveer overeen met 72% van de standaard capaciteit van een AWS account.

Ik schat de kosten van zo'n aanval op ongeveer €150,- per minuut bij gebruik van AWS als bot platform.

Probeer dit niet uit!
Het veroorzaakt meer narigheid dan je kunt overzien.

batteries4ever 16 juni 2022 11:31

Ik begreep niet waarom China niet bij de top source landen stond, uiteindelijk is Cloudfare daar ook actief? Te weinig mensen met prive PC? De great firewall?

Bender 15 juni 2022 17:33

Is de aanval gericht op Cloudflare, of een website die gebruikt maakt van de Cloudflare cache?

Edit:
Staat gewoon in de post, ik moet leren lezen.

[Reactie gewijzigd door Bender op 25 juli 2024 23:35]

mikeoke @Bender • 16 juni 2022 00:41

en wie is dan de Cloudflare klant?
het is dat Krebs niet meer gehost wordt door Cloudflare maar ben benieuwd welke host/site het dan wel was? Dit kan een klant zijn die hier "niets" voor betaald (zoals @Maduropa ook al aangaf)

In 2016 waren de kosten voor een aanval op Krebs nog geschat op $ 323K
maar deze aanval duurde ook 4 dagen.

Krebs wordt nu gehost bij Project Shield welke ook gratis bescherming bied maar niet voor iedereen.

[Reactie gewijzigd door mikeoke op 25 juli 2024 23:35]

Bender @mikeoke • 16 juni 2022 09:31

Wie dat is zullen ze niet bekend maken.
De kosten van deze aanval zullen prima in lijn zijn denk ik met de gratis publicaties en naamsbekendheid die het daar mee oplevert.

Alleen goed om te weten dat CloudFlare in principe geen websites host (enkel statisch als je workers gebruikt).

Block_Counter

@Bender • 15 juni 2022 17:35

De aanval was gericht op de website van een Cloudflare-klant.

ShatterNL @Bender • 15 juni 2022 17:36

De aanval was gericht op de website van een Cloudflare-klant.

Op dit item kan niet meer gereageerd worden.

Cloudflare wendt ddos-aanval van 26 miljoen requests per seconde af

Lees meer

Reacties (49)

Sorteer op:

Weergave: