Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien

Cloudflare zegt dat het afgelopen weekend de grootste http-ddos-aanval heeft afgeslagen die het bedrijf ooit zag. Het zou gaan om een HTTP/2-aanval die op het hoogtepunt 71 miljoen requests per second overschreed. Daarmee was de aanval ruim een derde groter dan het vorige record.

Cloudflare schrijft dat het in het afgelopen weekend meerdere ddos-aanvallen heeft afgeslagen voor klanten. Het gaat om enkele tientallen aanvallen waarvan de meerderheid tussen de 50 en 70 miljoen requests per second afvuurden. In het ernstigste geval bedroeg een van de aanvallen 71 miljoen rps. Tijdens de vorige grootste aanval die Cloudflare ooit detecteerde, werden er 46 miljoen rps afgevuurd richting doelwitten. Dat gebeurde in juni van 2022. In augustus sloeg Google ook al zo'n grote aanval af.

Veel details over de aanval geeft Cloudflare niet, maar het gaat volgens het bedrijf in ieder geval om HTTP/2-aanvallen waarbij de requests van 30.000 verschillende IP-adressen afkomstig waren. De aanvallen vonden plaats op verschillende websites van gameproviders, cryptovalutabedrijven, hostingproviders en cloudplatformen. Volgens Cloudflare werden de botnets aangestuurd vanaf 'vele cloudproviders', al geeft het bedrijf daar verder geen details over.

De aanval zou niets te maken hebben met recente aanvallen van vorige week die plaatsvonden op ziekenhuizen en andere zorginstellingen. De aanvallers zouden daar andere methodes voor gebruiken. Ook zegt Cloudflare dat de aanval niets te maken heeft met de Superbowl, die dit weekend in Amerika plaatsvond.

Cloudflare ddos

Experts zien al jaren een toename in niet alleen het aantal ddos-aanvallen, maar ook de groottes daarvan. Die worden onder andere groter omdat botnets professioneler worden opgezet, zodat die beter kunnen scannen op iot-apparaten die worden meegenomen voor een aanval. Cloudflare zegt dat ddos-aanvallen steeds vaker voorkomen als afpersingsmethode. Dat zou volgens het bedrijf in het laatste kwartaal van 2022 zijn toegenomen. Experts waarschuwen al jaren voor ddos-aanvallen die als alternatief voor ransomware worden ingezet, maar vanwege de vaak korte duur en de betere afweermethodes tegen ddos-aanvallen komt dat in de praktijk minder vaak voor dan systeemversleuteling of datadiefstal.

Reacties (93)

3raser 14 februari 2023 11:33

Er zijn natuurlijk veel verschillende iot-apparaten, maar hebben die niet vaak een beperkte CPU capaciteit? Zijn die in staat zijn om ruim 2.000 connecties per seconde te maken? Of moet je het zo zien dat er meerdere iot-apparaten in 1 huishouden worden gehackt en dat die gezamenlijk over 1 IP adres de aanval uitvoeren?

IskaRiot @3raser • 14 februari 2023 11:45

71 milj requests van standaard max 8kb gedeeld door 30k ip is uit het hoofd ongeveer 19mb per seconde per ip adres.
Het is niet exact maar het lijkt me wel doenbaar gemiddeld, er van uit gaan dat er apparaten zijn meer en minder zullen halen dan het gemiddelde van 2367 rps per ip (71milj/30k).

Maar het kan inderdaad goed zijn dat er niet naar subnet masks gekeken wordt in deze analyse

edit: webrequest is standaard maximum 8kb, niet gemiddeld 8kb.
Dus de werkelijke load zal allicht veel lager liggen bij dit soort aanvallen dan wat ik hier boven schreef. Dit is bij benadering de maximum load bij een standaard http config van 8kb per request, aannemend dat een botnet efficiënter zal werken met kleinere request sizes.

[Reactie gewijzigd door IskaRiot op 23 juli 2024 09:53]

Kees BOFH

Ddos

@IskaRiot • 14 februari 2023 12:27

Ik wou net zeggen, een webrequest kan al zo eenvoudig zijn als:

GET / HTTP/1.1\r\n
Host: domein.nl\r\n
\r\n

Dat zijn maar 35 bytes in ascii (en http/2 is binair, dus met nog minder bytes), en de connectie is al open. Een aangezien cloudflare ze al vrij snel blocked zal er ook wel niet al te veel data terugkomen.

IskaRiot @Kees • 14 februari 2023 14:52

Terecht opgemerkt, mea culpa. Had snel even de max size opgezocht om de zwaarst mogelijke load te bereken. Een typo is snel gebeurd he, toont het belang maar eens aan van het nalezen van je post

Zeker in deze tijden waar de minste inaccurate info in je uitleg vaak genoeg is om de hele uitleg te negeren. Vandaar dat ik ook aangaf dit het resultaat is van snel, maar niet zeer accuraat hoofdrekenen.

Wielink @Kees • 15 februari 2023 07:12

Ik snap je punt niet. Alle data is binair?

Kees BOFH

Ddos

@Wielink • 15 februari 2023 10:10

Helemaal gelijk, alle data is binair, maar wat ik bedoel is dat met oudere http-protocollen, de requests gewoon in platte tekst over de lijn gaan. Mijn voorbeeld was dus exact wat je in een tcpdump zou zien.

Met http/2 is het mogelijk om er compressie op te zetten, en in plaats van ~36 bruikbare tekens heb je dan ineens 254 waardoor de request in bytes meestal kleiner is. Daarnaast kun je headers hergebruiken, dus na de eerste request zoals ik hem uittype, kun je de volgende request reduceren tot 'GET /'

[Reactie gewijzigd door Kees op 23 juli 2024 09:53]

xbeam @IskaRiot • 14 februari 2023 16:19

Het probleem is ook niet de hoeveelheid data maar de hoeveelheid open staande niet afgeronde connecties waardoor je webserver CPU’s over zijn nek gaat
https://www.youtube.com/watch?v=XiFkyR35v2Y

[Reactie gewijzigd door xbeam op 23 juli 2024 09:53]

IskaRiot @xbeam • 14 februari 2023 17:53

Het gaat in 3raser zijn vraag over de hoeveelheid requests die verzonden kunnen worden door iot devices en andere client devices in het botnet, niet de requests ontvangen door de webserver waar jij op doelt vermoed ik?

TheDudez @3raser • 14 februari 2023 11:37

Dat niet alleen de batterij iot devices zouden ook zo leeg zijn. Ik vraag mij ook af wat voor iot devices precies. Ik denk vooral webcams.

[Reactie gewijzigd door TheDudez op 23 juli 2024 09:53]

Luchtbakker @TheDudez • 14 februari 2023 14:09

Webcams, hubs, thermostaten, camera's.

Alles wat geen laptop, computer, smartphone of server is, is het een iot device.

Dreamvoid @Luchtbakker • 14 februari 2023 14:32

Televisies, printers, routers, wifi extenders.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 09:53]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@TheDudez • 14 februari 2023 12:44

Dat niet alleen de batterij iot devices zouden ook zo leeg zijn.

Lang niet alle iot devices zijn battery powered natuurlijk. Daarbij, hoe erg is het wanneer de batterij leeg raakt? Het device hoeft het maar zo lang vol te houden als de aanval duurt. Wanneer je erg veel devices hebt merk je het leeg raken (en het vervangen van de batterij door een niets vermoedende eigenaar) mogelijk in het geheel niet eens.

Iblies @3raser • 14 februari 2023 11:41

Ping of death 👀👀

Als je een iot-apparaat hebt in welke vorm dan ook, moet je eens de log-bestanden eens bekijken (en beperken indien mogelijk al dan niet via je router). Dergelijke apparaatjes versturen aan de lopende band controle signaaltjes af en maakt onderdeel uit van het systeem.

Het is niet echt complex om daar misbruik van te maken.

Dreamvoid @Iblies • 14 februari 2023 15:07

Beter idd om dat soort apparaten heel strikt te firewallen.

Iblies @Dreamvoid • 14 februari 2023 15:28

Dat is ook gelijk een probleem,
verschillende “goedkope” varianten knallen alles over poort 22, 443 of soms zelfs 80 als je ze op afstand wilt bedienen/bekijken en die staan standaard open op elke router.

Je hoeft niet veel moeite te doen om via internet bepaalde beelden te kijken omdat iemand zijn camera niet goed heeft afgebakend.

IOT moeten op hardware niveau worden beperkt en transparant zijn weke functies open zijn waarbij de ROM goed beveiligd is en niet zomaar van buiten (via netwerk) met een update kan worden aangepast zonder dat de eigenaar dat in de gaten heeft wat ook gelijk de hiaat is. Je wilt dat die apparaten up-to-date blijven.

Dreamvoid @Iblies • 14 februari 2023 17:04

Veel connected apparaten (printers, wifi extenders, WiFi speakers, etc) hebben geen internet toegang nodig, die kan je volledig blokkeren.

De meeste connected apparaten die wel internet nodig hebben, verbinden maar naar hooguit een handvol IP addressen/subnets. Whitelist die en drop alle andere destinations. Het is jammer dat de meeste routers niet een eenvoudige gebruikersvriendelijke interface hebben om dat soort dingen te doen.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 09:53]

CPM @Iblies • 14 februari 2023 22:53

verschillende “goedkope” varianten knallen alles over poort 22, 443 of soms zelfs 80 als je ze op afstand wilt bedienen/bekijken en die staan standaard open op elke router.

Je hoeft niet veel moeite te doen om via internet bepaalde beelden te kijken omdat iemand zijn camera niet goed heeft afgebakend.

Waar heb je het precies over? Inbound?Outbound?
En op elke router serieus? Volgens mij klopt jouw verhaal niet.

Tegenwoordig staat alles standaard dicht van buiten naar binnen.
En als zo'n ding een verbinding opzet dan is het vaak naar een server, die je vervolgens benaderd met een app (bijv cheapy Ali cam).

Dat 22, 443 en 80 bij alle routers tegenwoordig openstaan van buiten naar binnen is echt onzin.

[Reactie gewijzigd door CPM op 23 juli 2024 09:53]

Dreamvoid @CPM • 15 februari 2023 09:59

Hij bedoelt ws outbound. Dat is namelijk ook het probleem hier met botnets: IoT apparaten die outbound allerlei connecties opzetten.

Dat is alleen te beteugelen door outbound verkeer te filteren op bestemming: idealiter moet een Google IoT apparaat alleen maar connecties naar Google op kunnen zetten, niet naar een DDoS target.

Helaas is dat op de meeste consumenten routers niet heel eenvoudig in te stellen.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 09:53]

Kees BOFH

Ddos

@3raser • 14 februari 2023 11:47

Er zullen wel meerdere apparaten gemiddeld achter een ip hangen. Daarnaast is het via http/2, dus dat is 1 keer een connectie openenen en daarna blazen, tenzij cloudflare die connectie dichtzet vanwege de ddos.

Dat meerdere apparaten via 1 ip gaan wil niet zeggen dat het 1 huishouden is. In Nederland wellicht wel, maar in veel landen zijn er (soms meerdere lagen) CGNAT waardoor er veel mensen achter 1 ip kunnen zitten (wat blokkeren ook lastiger maakt).

En het zijn lang niet allemaal iot-apparaten, ik vermoed dat het merendeel toch gewoon desktops/laptops zijn, want zoals je terecht opmerkt hebben de meeste iot apparaten een beperkte cpu.

En het hoeft ook helemaal niet perse via malware te zijn, helaas genoeg gebruikers die je eenvoudig kan overhalen om 'een gedeelte van je internetverbinding te verkopen' waarbij jij dan elke maand een klein beetje geld aan ze geeft in ruil voor gebruik van hun internet verbinding.

[Reactie gewijzigd door Kees op 23 juli 2024 09:53]

The Zep Man

Beveiliging en antivirus

@Kees • 14 februari 2023 12:23

Dat meerdere apparaten via 1 ip gaan wil niet zeggen dat het 1 huishouden is. In Nederland wellicht wel, maar in veel landen zijn er (soms meerdere lagen) CGNAT waardoor er veel mensen achter 1 ip kunnen zitten (wat blokkeren ook lastiger maakt).

Bij consistent misbruik kan Cloudflare overwegen om na de benodigde abuse-meldingen bij de betreffende ISP's, om gebruikers te herleiden naar een pagina die omschrijft waarom ze geblokkeerd worden en waar ze kunnen klagen (contactgegevens van de betreffende ISP). Een goede ISP gaat over op individueel abonnees aanspreken en (zonodig) afsluiten.

Helaas gaat het bovenstaande in tegen de kortetermijnbelangen van Cloudflare's klanten, waardoor het niet zo wordt aangepakt.

En het zijn lang niet allemaal iot-apparaten, ik vermoed dat het merendeel toch gewoon desktops/laptops zijn, want zoals je terecht opmerkt hebben de meeste iot apparaten een beperkte cpu.

Voor DDoS heb je niet veel CPU-kracht nodig. Je begint sessies waar je niets verder mee doet.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 09:53]

batjes @The Zep Man • 14 februari 2023 17:20

Voor DDoS heb je niet veel CPU-kracht nodig. Je begint sessies waar je niets verder mee doet.

Als de DDOS niet een pure data bombardement is om een lijn gewoon vol te gooien Sturen ze vaak juist zo klein mogelijke requests mee die aan de host kant zo veel mogelijk werk opleveren. Zoals bijvoorbeeld zoekresultaten of pagina's die veel informatie bevatten die niet ergens gecached worden opvragen.

Alleen de verbinding open zetten is veelal niet genoeg. Al heb je met 71miljoen requests per seconde daar allicht wel voldoende aan.

D0phoofd @3raser • 14 februari 2023 14:51

Je kan ook er voor kiezen om het artikel (van CloudFlare) te lezen. Daar staat dat het namelijk voornamelijk vanuit (andere) cloud-providers afkomstig was...

sebastienbo @3raser • 15 februari 2023 13:26

Er zijn natuurlijk veel verschillende iot-apparaten, maar hebben die niet vaak een beperkte CPU capaciteit? Zijn die in staat zijn om ruim 2.000 connecties per seconde te maken?

DDOS verreist geen 1:1 cpu power.

Stel dat je 10.000 cores hebt die een ddos aanval uitvoeren, dan kan de resultaat van de ddos een meervoud van cores nodig hebben om de ddos aanval te kunnen meesteren

Connecties opzetten is helemaal niet resource intensief, maar voor de receiving servers, moet er ram voorzien worden, een sessie opgebouwd worden,backend scripts draaien,etc. nog voor dat de eerste reply terug gestuurd kan worden.
.
Je hebt dus zeker niet veel bandwidth nodig of veel cpu kracht.
Alles hangt af wat voor ddos aanval je doet, en hoe snel in de stack je ze kan afslaan (zodat er zo weinig mogelijk resources gebruikt worden voor een inkomende connectie).

[Reactie gewijzigd door sebastienbo op 23 juli 2024 09:53]

sdziscool 14 februari 2023 11:35

Ik heb al tijden geen echt effectieve DDoS aanval meer mee mogen maken, goed nieuws maar ik ben wel een beetje bang dat we nog niet hebben gezien waar alle grote spelers zoals complete landen echt toe in staat zijn. Vraag me af of DDoS langzaam zal verdwijnen.

CH4OS @sdziscool • 14 februari 2023 11:49

Via https://www.digitalattackmap.com kun je zien van waar uit en waar heen DDoS aanvallen gaande zijn geweest, gezien de tool werkt op basis van historische data, die gedeeld is met Arbor Networks / Google Ideas.

[Reactie gewijzigd door CH4OS op 23 juli 2024 09:53]

SG_de_Baas @CH4OS • 14 februari 2023 11:59

Leuke pagina om het e.e.a inzichtelijk te krijgen, maar klopt het dat er dan alleen ddos aanvallen zijn geweest tussen 22 september 2016 en 17 mei 2021?

CH4OS @SG_de_Baas • 14 februari 2023 12:02

Hoe dat exact zit, geen idee, wel werkt het inderdaad op basis van historische data en is het dus sowieso niet bedoeld als real time tool, zie ook hun about pagina:

The tool surfaces anonymous attack traffic data to let users explore historic trends and find reports of outages happening on a given day.

Ik zal mijn bericht hier verder op verduidelijken. Daarnaast ook:

The Digital Attack Map presents data gathered and published by Arbor Networks ATLAS® global threat intelligence system. ATLAS sources its data worldwide from 330+ ISP customers with 130Tbps of global traffic visibility who have agreed to share anonymous network traffic and attack statistics. Data is updated hourly and can also be found in Arbor's ATLAS Threat Portal. DDoS data ©2013, Arbor Networks, Inc.

In de FAQ: https://www.digitalattackmap.com/faq/ (de eerste vraag).

CC: @I_IBlackI_I

[Reactie gewijzigd door CH4OS op 23 juli 2024 09:53]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@SG_de_Baas • 14 februari 2023 12:22

maar klopt het dat er dan alleen ddos aanvallen zijn geweest tussen 22 september 2016 en 17 mei 2021?

Natuurlijk niet. Die pagina is hopeloos outdated en lang niet compleet. Laatste update 16 mei 2021; bijna 2 jaar oud dus.

[Reactie gewijzigd door Bor op 23 juli 2024 09:53]

CH4OS @Bor • 14 februari 2023 12:25

In about en de faq geeft men gewoon aan hoe de vork in de steel steekt. Men is afhankelijk van geanonimiseerde statistieken die men ontvangt van derde partijen. Als die er mee stoppen, dan is het inderdaad een logisch gevolg dat er minder te zien is. Ook geven ze aan dat de soorten aanvallen veranderen en daardoor niet altijd meer zichtbaar is óf een aanval wel een DDoS aanval is of niet.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CH4OS • 14 februari 2023 12:26

Er is niet minder te zien; er is al bijna 2 jaar niets meer te zien. De data die je nu ziet is totaal irrelevant gezien de situatie in de wereld enorm is veranderd, niet in de laatste plaats omdat er een behoorlijk impactvolle oorlog bij is gekomen waarbij o.a. DDOS wordt ingezet als digitaal wapen. De soort aanvallen evolueren ook gewoon. Er komen nieuwe technieken bij.

CH4OS @Bor • 14 februari 2023 12:28

Dat zeg ik toch? Niet iedereen levert data aan en in de statistieken is het lastiger om DDoS aanvallen hede ten dage uit die statistieken te halen. Dus ik snap even niet wat het ount is dat je maken wilt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CH4OS • 14 februari 2023 12:30

Niet iedereen levert data aan? Er is helemaal geen data meer sinds begin 2021; een eeuwigheid in de cyber security wereld. Dat maakt de kaart nogal nutteloos. En nee, het is niet lastiger dan eerder om DDOS aanvallen uit statistieken te halen. Hoe denk je dat o.a. Cloudflare dat doet?

CH4OS @Bor • 14 februari 2023 12:36

Ze geven zelf aan dat 330+ van hun klanten data aanlevert/aanleverde en dat de DDoS aanvallen veranderd zijn en daardoor niet altijd naar boven komen bij het (geautomatiseerd?) filteren en dus niet worden weergegeven op de website. Ik zuig het niet uit mijn duim of zo, check de about pagina en de FAQ. Je zegt zelf immers ook dat er veel veranderd is in 2 jaar tijd? CloudFlare baseert het filteren op de hedendaagse kennis en kan daardoor dus gerichter filteren en ziet het wel. De website die ik link ziet het dus niet. Tja, wat wil je dat ik er dan van maak?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CH4OS • 14 februari 2023 12:38

Niemand zegt dat je iets uit de duim zuigt. De FAQ is ook gewoon outdated zo te zien. Er is geen enkele data meer sinds begin 2021, ook niet een beetje. Dat geldt voor de hele website. Het project lijkt geheel dood te zijn. Het is o.a. ontstaan uit Google Ideas wat al lang niet meer bestaat / zo heet.

Je weet ook dat Arbor zelf anti DDOS maatregelen levert? Ze zouden dus juist goed in staat moeten zijn de juiste info te filteren.

[Reactie gewijzigd door Bor op 23 juli 2024 09:53]

kryptonice @CH4OS • 14 februari 2023 12:02

Grappig, maar het laatste wat ik zie is 16 mei 2021?

CH4OS @kryptonice • 14 februari 2023 12:07

De tool werkt op basis van anoniem gedeelde statistieken bij een 330+ providers die producten gebruiken van Arbor Networks. Het is dus sowieso niet realtime, laat staan alles. Je kijkt dus sowieso niet real time, maar om inzichtelijk te krijgen of DDoS aanvallen nog steeds een ding zijn, geeft het enigszins een beeld.

[Reactie gewijzigd door CH4OS op 23 juli 2024 09:53]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CH4OS • 14 februari 2023 12:23

Je kijkt niet realtime maar ook niet naar enigszins recente data. De data is namelijk bijna 2 jaar oud en daardoor irrelevant ten opzichte van de huidige stand in de wereld

I_IBlackI_I @CH4OS • 14 februari 2023 12:01

Helaas zo te zien data tot mei 2021. Dus niet echt live en up to date.

Dark Angel 58 @CH4OS • 14 februari 2023 12:21

of Google ddos attack map
sommige sites hebben erg goede mappen en actueel / live map.

aanvulling:
https://norse-corp.com/map/ (links van de mappen)

[Reactie gewijzigd door Dark Angel 58 op 23 juli 2024 09:53]

Forte @sdziscool • 14 februari 2023 11:52

Partijen als Cloudflare worden natuurlijk ook steeds beter in het tegenhouden van zulke aanvallen. Bedrijf waar ik werk hebben we denk ik wekelijks wel een aanval op onze website en Cloudflare slaat deze 9/10 goed af. Welke aanvallen wel lastiger zijn is als er gebruik wordt gemaakt van honderden verschillende (prive) IP adressen in plaats van enkele server IP's, maar ik merk dat Cloudflare daar ook beter in wordt gelukkig. Paar jaar terug toch wel paar dagen per maand down door aanvallen, dat is nu nog maar een enkele dag per jaar.

GrooV @Forte • 14 februari 2023 12:06

Cloudflare heeft inmiddels ook heel veel opties om te zorgen dat verkeer niet bij jou origin komt. Moet zeggen dat het echt goed werkt.

Helaas is er amper competitie of een Europees alternatief.

CPV @GrooV • 14 februari 2023 13:12

Doet Akamai ook niet zoiets?

RienBijl @CPV • 14 februari 2023 14:16

Ja, en er zijn wel meer alternatieven, zoals Fastly. De meeste grote cloud aanbieders (GCP, Azure, AWS) hebben ook een soortgelijk alternatief (Cloudfront + AWS Shield, Azure CDN + Azure DDOS Protection, GCP CDN + GCP Armor).

Cloudflare daarentegen is veel toegankelijker. De technische hindernissen die je moet ondergaan zijn kleiner en het is veel voordeliger, met bijvoorbeeld een gratis pakket en een pakket van €20. Nadeel daarvan is ook dat je als gratis gebruiker bijna alleen blunt-force middelen hebt om zelf een aanval te mitigeren (vandaar de 'checking your browser'-berichten op veel websites).

Wat dat betreft heeft Cloudflare een gigantische voorsprong op de concurrentie. Best wel een probleem omdat dat het internet centraliseert.

KoffieAnanas @GrooV • 14 februari 2023 12:19

Gevaar bij gebrek aan concurrentie is inderdaad dat als Cloudflare een keer problemen heeft, een groot deel van het internet plat ligt.

bazzi

@GrooV • 15 februari 2023 07:13

Serverius doet iets vergelijkbaars met qbine en hun ddos wasstraat. Hoe dat precies zit qua max aanvallen weet ik niet

sebastienbo @sdziscool • 15 februari 2023 13:34

Ik heb al tijden geen echt effectieve DDoS aanval meer mee mogen maken, goed nieuws maar ik ben wel een beetje bang dat we nog niet hebben gezien waar alle grote spelers zoals complete landen echt toe in staat zijn. Vraag me af of DDoS langzaam zal verdwijnen.

DDOS zal nooit verdwijnen, het is namelijk inherent aan de functionaliteit van een applicatie om verbindingen te ontvangen. Iets dat een verbinding moet ontvangen heeft altijd een heleboel resources dat het moet opzetten om correct te kunnen antwoorden of om de request te verwerken/evalueren.
DDOS maakt daar gebruik van omdat je dus minder kracht nodig hebt om gewoon een connectie op te zetten, dan een hele stack van zaken op te starten voor je app om te antwoorden. Het enige doel van ddos is gewoon je service onbereikbaar te maken.
De vraag is wat heb je uitgespookt dat er voor zorgt dat ze willen dat jij niet bereikbaar word? dat kan vanalles zijn concurrenten die hun concurrenten onbetrouwbaar willen maken, of voor politieke en religieuze redenenen, of zelf voor oorlog..

Er zal dus altijd een ddos gemaakt kunnen worden en ook altijd mensen zijn die een reden hebben om een ddos op jou te willen uitvoeren

Ik heb vooral schrik van de rol van ai in toekomstige ddos aanvallen, die veel slimmer zeroday exploits kunnen vinden, die phishing efficienter uitvoeren,of aanvallen performanter maken, etc..

SirNixon 14 februari 2023 11:39

Hoe kom je er eigenlijk achter of 1 van je apparaten thuis in zo'n botnet zit? Ik kan me voorstellen dat je het niet 'ziet'. Maar zou t zo kunnen zijn dat mijn slimme thermometer stiekem in zo'n botnet zit?

johnny2000 @SirNixon • 14 februari 2023 11:41

Dan zou je misschien shodan.io kunnen checken. Maar ik denk ook dat je provider je wel gaat aanschrijven bij overlast of je parkeren in een speciaal vlan

[Reactie gewijzigd door johnny2000 op 23 juli 2024 09:53]

Gamebuster @johnny2000 • 14 februari 2023 12:07

Je overschat providers.

Ik werd geplaagd door DDOS aanvallen (zonder dat ik dat wist) op mijn IP adres omdat ik thuis een minecraft server hostte en ik had iemand boos gemaakt (blijkbaar).

KPN had geen idee en stuurde gewoon monteur langs, gaf me nieuwe router. Fixte het probleem niet natuurlijk. Ik had later door dat het om een DDOS aanval ging omdat iemand zei dat "iemand die hij kent maar zegt niet wie" de server (mijn thuis-IP) DDOS't.

Server verhuist naar een provider met speciale anti-DDOS meuk en het was klaar.

johnny2000 @Gamebuster • 14 februari 2023 12:17

Ze zullen/kunnen dit waarschijnlijk niet actief monitoren. Maar als je ISP een abuse ontvangt zullen ze echt wel actie ondernemen (in NL dan). Misschien dat ze zelf iets van RPZ gebruiken om dit automatisch te kunnen doen.

sfc1971 @johnny2000 • 14 februari 2023 16:17

Zijn situatie is natuurlijk andersom, zijn server was het slachtoffer van een DDOS. Er zal dus geen abuse klacht bij KPN komen anders dan van hem zelf. En om een huis verbinding onderuit te trekken is niet veel nodig. Meeste huis routers worden al warm bij normaal internet verkeer.

Caelestis @Gamebuster • 14 februari 2023 13:15

Het gaat om wat je wil betalen. Ik heb wel eens een berichtje van XS4ALL gehad dat er problemen ontdekt waren met mijn verbinding en daarom werd het tijdelijk geblokkerd.
Ik had het zelf al door en het probleem net opgelost toen ik het melding kreeg.
Bevindingen en fix teruggekoppeld en binnen 5 min weer online.
Dat loopt gewoon over het network van KPN.
Daarom betaal je ook meer voor "premium".

Aldy @Gamebuster • 14 februari 2023 16:48

Je schrijft dat je voor een DDOD-aanval iemand boos moet hebben gemaakt. Kan het niet gewoon pesten zijn? Kan mij voorstellen dat als je aan een bedrijf een hekel hebt, dat je die wil platleggen, maar volgens mij is het vaak willekeurig en echt niets meer dan pesten.
Misschien kan iemand mij uitleggen wat de lol daarvan is.

Gamebuster @Aldy • 14 februari 2023 16:51

Ik heb een vermoeden wie het was; een tiener die ik een ban had gegeven omdat-ie x-ray mod gebruikte. Hij joinde daarna met een ander account (zelfde IP) en die bande ik ook direct.

De dagen erna joinde hetzelfde IP met meerdere verschillende accounts die allemaal rare links postte, die ik natuurlijk allemaal bande.

Even later begonnen de "storingen"

[Reactie gewijzigd door Gamebuster op 23 juli 2024 09:53]

Aldy @Gamebuster • 14 februari 2023 16:57

Grote kans dat die het was.

Gamebuster @Aldy • 14 februari 2023 17:47

Uiteraard, maar weten doe je het niet he. Dit soort gebeurtenissen zijn niet bepaald zeldzaam in minecraft server land

Madshark

@SirNixon • 14 februari 2023 11:48

Een goede firewall/router gebruiken dat laat zien welke interne host met welke externe host heeft gecommuniceerd.
Dan weet je nog niet direct alles, maar dan zou je alvast kunnen nagaan of dat verkeer naar eigen verwachting logisch is geweest.
Een IoT device wat geen clouddiensten gebruikt zou eigenlijk geen connectie buiten je netwerk mogen maken, hooguit een NTP (port 123) sessie om de interne klok te synchroniseren. NEST apparatuur zou alleen met Google IP adressen moeten verbinden, dus niets naar het oosten (China etc). Enz.enz.

[Reactie gewijzigd door Madshark op 23 juli 2024 09:53]

canonball @SirNixon • 14 februari 2023 12:00

niet antwoord op jouw vraag, maar ze melden: "Volgens Cloudflare werden de botnets aangestuurd vanaf 'vele cloudproviders', ". Ik ga er dus vanuit dat de sources niet (alleen) iot aparaten waren, maar ook dat Amazon of andere gebruikt is als source van de ddos. Zij ze opzich heel goed voor gebruiken, en hoeft ook niet veel te kosten.

supersnathan94

@canonball • 14 februari 2023 12:47

Amazon AWS heeft ook een IoT edge gateway. Kan dus zijn dat IoT devices daarmee direct naar het internet kunnen communiceren als dit niet goed is dichtgezet.

Groningerkoek @SirNixon • 14 februari 2023 13:08

Je zou in de router kunnen kijken of daar rare dingen passeren. Als je oven elke seconde een request uitstuurt weet je dat daar wat fout gaat.

Dreamvoid @SirNixon • 14 februari 2023 14:16

Consumenten routers hebben daar op het moment vrij weinig tools voor. Een makkelijk toegankelijk dashboard of een push-bericht naar een app dat een specifiek device op je netwerk bijvoorbeeld veel meer netwerkactitviteit genereert dan normaal, dat is in principe technisch niet heel moeilijk, maar je ziet het nog nauwelijks. Ik verwacht dat internet providers dit de komende jaren wel gaan toevoegen.

sebastienbo @SirNixon • 15 februari 2023 13:38

Hoe kom je er eigenlijk achter of 1 van je apparaten thuis in zo'n botnet zit? Ik kan me voorstellen dat je het niet 'ziet'. Maar zou t zo kunnen zijn dat mijn slimme thermometer stiekem in zo'n botnet zit?

Outgoing traffic in het oog houden, de meeste apparaten hebben een gekende patroon van verbindingen, bijvoorbeeld een hue bridge zal zich verbinden met hue servers and dns servers en vaak binnen je continent blijven als destination. Als je dan plotseling outgoing connection naar china ziet gaan dan weet je dat er iets niet klopt. Of als je ziet dat er een soort ping gedrag is (call home ping naar het botnet) dan weet je ook dat er iets pluis is. En als een hue bridge plotseling continue outgoing data heeft dan klopt er ook iets niet (dat is niet zijn normaal gedrag)

ps: ik gaf een philips hue bridge als voorbeeld, maar het kan eender welke device zijn. het principe is dat outgoing data vaak je beste vriend is om een anomalie te detecteren. Bij mij op mijn thuis adres is standaard alles geblokkeerd dat naar andere continenten wil gaan behalve US&Canada

ik surf toch nergens anders naartoe en ik heb geen services/apparaten dat verbindingen moeten maken buiten mijn toegelaten ip ranges (geoip)

[Reactie gewijzigd door sebastienbo op 23 juli 2024 09:53]

Santoryu 14 februari 2023 13:07

Zit er verder nog een nut achter een ddos aanval behalve systemen onderuit trekken en daardoor chaos veroorzaken?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Santoryu • 14 februari 2023 13:27

Het veroorzaken van downtime kan een reden zijn. Het wordt ook gebruikt rond afpersing of om een echte hack / aanval te maskeren (het is erg moeilijk je te focussen op de vraag of er meer aan de hand is wanneer je actief wordt aangevallen middels een DDOS). Je kan een DDOS ook inzetten om reputatieschade te veroorzaken of uit bijvoorbeeld activistisch oogpunt.

SinergyX @Santoryu • 14 februari 2023 16:01

Genoeg redenen. Cancel, uitstel, demo, ego strelen/bekendheid, ophef, chaos, zal me niet verbazen concurrentie, statement, troll en simpel 'omdat het kan'.

Groningerkoek @Santoryu • 14 februari 2023 16:41

Het verschilt echt van kattenkwaad, tot mensen die elkaars bedrijf onbereikbaar willen maken, tot protestacties maar je kunt ook de boel overbelasten en dan proberen het toch al overbelaste systeem binnen te dringen, sommige systemen zijn daar gevoelig voor.

__gerrit 14 februari 2023 12:20

Persoonlijk vind ik het bestaan van een dergelijk commercieel bedrijf met zoveel macht als Cloudflare een levensgevaarlijke ontwikkeling. Iemand met toegang tot de interne systemen van Cloudflare kan in één klap waarschijnlijk 80% van de wereldwijde digitale economie uitschakelen.

Nu vindt iedereen het prachtig dat ze voor een luttel bedrag zich kunnen beschermen tegen DDOS. En Cloudflare heeft er alleen maar baat bij om nieuws naar buiten te brengen over grote aanvallen, omdat er dan weer meer mensen zich zullen willen beschermen via hen. In feite zijn zelfs veel DDOS aanbieders gehost op Cloudflare omdat ze anders onder vuur genomen worden door andere DDOS aanbieders (of moet ik zeggen stresstesters?)

Waar we daardoor met zijn allen naartoe bewegen is dat straks één Amerikaanse onderneming (die geen enkele verantwoording hoeft af te leggen naar het publiek, en ook geen enkele communicatie mogelijkheid biedt) en geleid wordt door een bekende libertariër een ijzeren greep heeft op het volledige publieke internet. Ze hebben zelfs ook de volledige controle over Whatsapp omdat ze een geverifieerde distributie functionaliteit aanbieden voor store apps, omdat dit zogenaamd heel handig is. Als ze een versie van Whatsapp neerzetten die stiekem een backdoor bevat, dan is dat voor iemand met toegang een simpele handeling.

Zolang Cloudflare een goedkope optie heeft, ontbreekt ook de incentive om problemen met trust en beveiliging op internet beter aan te pakken, want dan neem je toch gewoon een goedkoop Cloudflare abonnement? Het is dus een vicieuze cirkel waarbij steeds meer macht gecentraliseerd wordt bij één onderneming die uiteindelijk volledig handelt uit eigen motieven en niet uit algemeen belang.

Dat betekent dat ik ieder nieuw bericht over de goedertierenheid van Cloudflare met lede ogen voorbij zie komen.

Dit is overigens de manier waarop Cloudflare ook zijn klauwen in Whatsapp heeft gekregen.
https://vpnoverview.com/n...rivacy-and-cybersecurity/

[Reactie gewijzigd door __gerrit op 23 juli 2024 09:53]

Defspace @__gerrit • 14 februari 2023 12:39

Centralisatie op een gedecentraliseerd netwerk is inderdaad niet handig. Toch, als je je setup goed doet, kan je bij problemen met cloudflare vrij snel weer online zijn (of online blijven), wanneer cloudflare eruit ligt.

__gerrit @Defspace • 14 februari 2023 12:45

Tja, dan moet Cloudflare je wel weer de controle over je DNS teruggeven... En in een geval van opzet, denk ik dus van niet.

Persoonlijk ga ik er sowieso vanuit dat de Amerikaanse inlichtingendienst zijn eigen toegang heeft tot Cloudflare, en dat heel veel informatie die anders voor hen encrypted zou zijn, dus gewoon toegankelijk is.

supersnathan94

@__gerrit • 14 februari 2023 12:50

Iemand met toegang tot de interne systemen van Cloudflare kan in één klap waarschijnlijk 80% van de wereldwijde digitale economie uitschakelen.

Ik mag aannemen (en dat doe ik ook) dat een belangrijke speler als CloudFlare zijn zaken soort van een beetje op orde heeft en er dus niet 1 iemand ff de hele boel om zeep kan helpen. Dus 4-eye principle, 2FA, segregatie en segmentering en allerlei screenings en audits.

Ze hebben zelfs ook de volledige controle over Whatsapp omdat ze een geverifieerde distributie functionaliteit aanbieden voor store apps, omdat dit zogenaamd heel handig is. Als ze een versie van Whatsapp neerzetten die stiekem een backdoor bevat, dan is dat voor iemand met toegang een simpele handeling.

Nee want CF kan die applicaties niet signen. Ze doen alleen de hosting, maar ondertekenen kunnen ze niet. Dergelijke apps worden dus door de stores al afgekeurd.

[Reactie gewijzigd door supersnathan94 op 23 juli 2024 09:53]

__gerrit @supersnathan94 • 14 februari 2023 12:55

Ik ga er wel vanuit dat normale beveiligingsmaatregelen gevolgd worden. De Cloudflare organisatie zal heus willen voorkomen dat een rancuneuze vertrekkende werknemer "het internet" uitschakelt.

Echter waar ik je op wil wijzen is dat je geen enkel idee hebt van de onderliggende motieven van de Cloudflare organisatie en van welke partijen er in het geheim bij betrokken zijn. Tegelijkertijd doet iedereen net als met Exchange online alsof er geen risico bestaat in het vrijwillig centraliseren van wat eigenlijk decentraal had moeten zijn.

Sylvia @__gerrit • 14 februari 2023 22:46

Het is zeker zeer verstandig om zeer kritische vragen te blijven stellen bij een bedrijf als dit. We zouden zulke grote bedrijven gewoon niet moeten willen.

__gerrit @Sylvia • 16 februari 2023 10:40

En dat is voor mij een probleem bij CloudFlare. Communicatie bij hen is één richting. Zij vertellen je wat je moet doen en er is geen enkele communicatie de andere kant op. Voor mij is het een black box zonder enige noemenswaardige publieke aansprakelijkheid, die steeds grotere delen van het internationale webverkeer opzuigt.

mr.Millenarian 14 februari 2023 11:44

Omdat Cloudflare geen informatie geeft op wie deze aanvallen gericht waren of waar ze vandaan komen, lijkt het meer op een reclame voor hun eigen bedrijf dan echt nuttige informatie.

johnny2000 @mr.Millenarian • 14 februari 2023 11:46

Vaak met dit soort incidenten is het niet handig om gelijk details te delen omdat je mogelijk aanvallers daar mee helpt. Wellicht zijn ze bezig met een gezamelijke actie (law-enforcing en andere betrokken partijen) wat schade toe brengt.

Ik ken CF als een zeer open partij dus mogelijk komen ze nog met een uitgebreidere verklaring.

moonlander @mr.Millenarian • 14 februari 2023 11:53

Je wilt ook geen toekomstige aanvallers op ideeen brengen toch?

vinkjb 14 februari 2023 12:53

Ik heb er werkelijk geen verstand van maar kan je zo'n aanval terugsturen naar waar het vandaan komt en zo de aanvaller lam leggen?

Nielsvr @vinkjb • 14 februari 2023 13:02

Dat wil je niet, want de aanvaller heb je daar niet mee. Het zijn vaak legitieme computers en apparaten die slechts overgenomen zijn voor dit doel. Als je het terugkaatst, dan heb je dus 2x zoveel verkeer. Daarmee breng je providers in de problemen en ook bedrijven en instanties die slachtoffer zijn van het misbruik.

Dreamvoid @Nielsvr • 14 februari 2023 14:21

Je zou naar een wetgeving kunnen waar Cloudflare de kosten van DDoS verkeer in rekening kan brengen bij de netwerken waar het vandaan komt ("de vervuiler betaalt"), al is dit wel controversieel: willen we werkelijk je oma een dikke rekening sturen omdat haar gehoortoestel in een botnet zit? En waarom zou een Chinese internet provider zo'n rekening willen betalen?

Maar als het meeste verkeer inderdaad vanaf anoniem gekochte VPSen bij cloudproviders vandaan komt, dan is het zinnig om die financieel wakker te schudden.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 09:53]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@vinkjb • 14 februari 2023 12:59

Nee dat kan niet en dat wil je ook niet. Een DDOS is namelijk strafbaar. Dat ben jij wanneer je het verkeer naar een ander punt zou kunnen wijzen ook.

harakiri576 @Bor • 15 februari 2023 07:42

Eigenlijk moet je ook de ddos clients gaan straffen. Nu zit er voor de gewone mens helemaal niks in up-to-date houden van zijn apparaaten, security opschroeven, alleen van betrouwbare fabrikanten kopen. Natuurlijk gaan er heeeel veel makkelijk overneembare clients voor de ddos service beheerders.

moonlander 14 februari 2023 11:35

Dat is 2366 requests p/s per ipadres. Dat valt in principe nog mee als je het zo bekijkt. En dan gaat het nu over 30k ip adressen wat ook nog relatief weinig is met het aantal devices wat tegenwoordig gekoppeld is aan het internet.

Wel knap dat ze het kunnen stoppen!

supersnathan94

14 februari 2023 11:42

Maar. De vraag rijst bij mij hoeveel data dat dan netto genereert. HTTP/2 heeft minder overhead op transport laag dus device kunnen meer requests doen.

xbeam @supersnathan94 • 14 februari 2023 17:14

Nee je wil juist minder request doen. De truc is om zo langzaam mogelijk te communiceren. Door steeds minder request te versturen tot dat de connectie dropped/ time-out. Dat is de grens waar je net boven /opzitten gaat zitten met je requests en dan ga je aantal connecties opvoeren totdat de cpu of het geheugen van webserver over zijn nek gaat. Hoe minder request en netto data genereert hoe succesvoler de DDOS

supersnathan94

@xbeam • 14 februari 2023 19:03

Mag je me even nog een keer uitleggen, want ik begrijp het niet helemaal.

xbeam @supersnathan94 • 14 februari 2023 20:13

https://www.youtube.com/watch?v=XiFkyR35v2Y

CH4OS 14 februari 2023 11:42

Nu ben ik afgelopen weekend bezig geweest om mijn DNS om te zetten van TransIP naar CloudFlare, zodat ik Let's Encrypt WildCard certificaten kon krijgen via mijn Traefik container. Ik moet zeggen dat ik hiervan niets gemerkt heb, noch ergens van weet dat ik iets gedaan heb.

Best wel knap gedaan van een dienst als CloudFlare dus om zo'n grote aanval weten af te slaan.

[Reactie gewijzigd door CH4OS op 23 juli 2024 09:53]

Op dit item kan niet meer gereageerd worden.

Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien

Lees meer

Reacties (93)

Sorteer op:

Weergave: