Cloudflare meldt nieuw ddos-record van 5,6Tbit/s

Cloudflare zegt eind oktober een nieuw ddos-record te hebben meegemaakt, bij een aanval met een piek van 5,6Tbit/s aan UDP-verkeer. Het vorige record was 3,8Tbit/s. De aanval duurde 80 seconden en werd door Cloudflares systemen verijdeld.

De ddos-aanval gebruikte UDP-pakketjes die vanuit 13.000 iot-apparaten werd verstuurd, zegt Cloudflare. Die iot-apparaten werden door een botnet aangestuurd dat een variatie van de Mirai-malware gebruikte. De aanval was gericht tegen een internetprovider in Zuidoost-Azië, al geeft Cloudflare verder geen details over deze klant.

De aanval werd automatisch door Cloudflares systemen ontdekt en tegengegaan, en vereiste geen menselijke interventies. Cloudflare zegt dat de aanval ook geen impact had op de snelheid van de dienst. Andere klanten hadden er dus ook geen last van. Van de 13.000 IP-adressen waren er per seconde zo'n 5500 uniek. Elk IP-adres leverde gemiddeld 1Gbit/s aan dataverkeer, met pieken van onder de 8Gbit/s. Het vorige record werd begin oktober gemeld, met 3,8Tbit/s.

Cloudflare zegt vaker zulk soort hyper-volumetric network layer-ddos-aanvallen te zien, waarbij er meer dan 1Tbit/s aan dataverkeer is. In het laatste kwartaal van 2024 waren er 420 van dit soort aanvallen, 1885 procent meer in vergelijking met een kwartaal eerder. Cloudflare zegt op dit moment een wereldwijde netwerkcapaciteit van 321Tbit/s te hebben en dat bijna 20 procent van alle websites Cloudflare-klant is. In 2024 werden 21,3 miljoen ddos-aanvallen verijdeld, 53 procent meer dan een jaar eerder.

Reacties (105)

Luchtbakker 22 januari 2025 10:22

iot apparaten dat gemiddeld 1gbit aan pakketten verstuurd. Iets zegt me dat dit niet helemaal klopt.

Charlie_Root @Luchtbakker • 22 januari 2025 10:38

Lijkt me ook sterk als je naar de top 3 source networks kijkt. Definitie van IOT door Cloudflare:

Internet of Things (IoT) is a catchall phrase for all the various Internet-connected devices that are not traditional computers. This includes everything from fitness trackers and smart watches to smart refrigerators, headphones, cameras, washing machines, cars, traffic lights, airplane engines, and home security systems.

Citaat uit het rapport:

The AS that we saw the most HTTP DDoS attack traffic from in 2024 Q4 was German-based Hetzner (AS24940). Almost 5% of all HTTP DDoS requests originated from Hetzer’s network, or in other words, 5 out of every 100 HTTP DDoS requests that Cloudflare blocked originated from Hetzner.

In second place we have the US-based Digital Ocean (AS14061), followed by France-based OVH (AS16276) in third place.

De top 3 goedkope hosting partijen van de wereld.

[Reactie gewijzigd door Charlie_Root op 22 januari 2025 10:39]

d3burt

@Charlie_Root • 22 januari 2025 15:20

Wat ik vermoed is dat Mirai zich inmiddels ook PHP via websites kan verspreiden. Ik zie een verbluffende hoeveelheid aanvallen waarin een PHP webshell als POST data wordt meegegeven, en het gebrek aan targetting lijkt heel erg op hoe Mirai ongerichte aanvallen doet. En kennelijk werkt het...

Dus ja, het zou Mirai kunnen zijn, en nee, Hetzner, Digital Ocean en OVH hosten beslist geen koelkasten.

Charlie_Root @d3burt • 22 januari 2025 16:19

Ze hebben zelf de user-agent gemeld in het zelfde artikel, dus dat lijkt me sterk.

Dus ja, het zou Mirai kunnen zijn, en nee, Hetzner, Digital Ocean en OVH hosten beslist geen koelkasten.

Gelukkig maar, anders betaalde ik echt te veel daar

[Reactie gewijzigd door Charlie_Root op 22 januari 2025 16:19]

dasiro @Luchtbakker • 22 januari 2025 13:44

Het is fout geïnterpretteerd door de redactie

The average contribution of each IP address per second was around 1 Gbps

Je kan veel meer traffic laten genereren:

Memcached DDoS attacks saw the largest growth, with a 314% QoQ increase. Memcached is a database caching system for speeding up websites and networks. Memcached servers that support UDP can be abused to launch amplification or reflection DDoS attacks. In this case, the attacker would request content from the caching system and spoof the victim's IP address as the source IP in the UDP packets. The victim will be flooded with the Memcache responses, which can be up to 51,200x larger than the initial request.

ultimasnake @Luchtbakker • 22 januari 2025 12:39

Dat gevoel krijg ik ook even 1Gbit/s aan data genereren doe je ook niet op een goedkoop "esp-32" chipje, krijg je vervolgens ook niet over de brakke wifi chip gepompt en daarna moet ook nog eens de netwerk en de internet connectie het toelaten.

Als daarnaast er wordt gesproken over een gemiddelde van 1Gbit/s betekend het dat er in theorie ook enorme lage snelheden tussen zaten maar ook connecties van meer dan 1Gbit/s... En ook dat verbaast me want bovenstaande maar dan met bijv 5Gbit/s lijkt me nog minder aannemelijk.

Ik snap dat IOT alles omvat wat niet een "PC" is maar heel aannemelijk vind ik het toch niet die cijfers.. Maar het is wel een aanval van jewelste.

-Colossalman- @ultimasnake • 22 januari 2025 22:19

Daarom gebruiken ze vaak amplification attacks. 1 verzoek met een waslijst aan resultaten die naar het gespoofde ip(doelwit) gestuurd worden.

https://www.cloudflare.co...mplification-ddos-attack/

ultimasnake @-Colossalman- • 23 januari 2025 13:34

Dank! Even snel doorgelezen maar vanavond wat leuk leesvoer op se bank!

JackBol @Luchtbakker • 22 januari 2025 12:49

In Azië is een IP-adres tekort In Azië is het algehele IP tekort extra hoog omdat ze daar historisch nooit mega IP allocaties hebben gekregen. Daar zitten nu hele steden achter CGNat. Er kunnen prima 10.000 klanten 1 extern IP adres delen daar.

[Reactie gewijzigd door JackBol op 22 januari 2025 12:50]

beerse @Luchtbakker • 22 januari 2025 13:32

De bandbreedte van 1Gbit valt mij meer op. Dat is volgens mij een huisaansluiting met glasvezel. Dat vullen met verkeer vanuit alle iot apparatuur die daar achter staat moet wel te doen zijn.

Jan Smit @Luchtbakker • 23 januari 2025 17:31

[Reactie gewijzigd door Jan Smit op 23 januari 2025 17:32]

Yzord 22 januari 2025 09:34

Mooi huh, IoT devices van Aliexpress? Ok, dit is een aanneming van mij welke ik niet kan onderbouwen momenteel, maar het lijkt mij sterk dat het hier om gerenomeerde merken gaat zoals Asus, Belkin, Netgear of wat dan ook.

Ik vermoed eerder tokkiewokkie merken met gare firmwares welke half chinees en krom engels een eigen omgeving hebben en welke eenmaal opgehangen vergeten worden (camera’s, routers etc.) kijk dus uit wat je op Ali koopt in deze.

dehulk @Yzord • 22 januari 2025 09:48

Meerdere producten van Aliexpress gekocht en onderzocht. Meest aparte vond ik een Android TV Set-Top box die ik had gekocht. Deze probeerde op random momenten vanuit port 25 mail te sturen van en naar verdachte addressen. Ook probeerde het apparaat over verschillende porten naar servers in China te connecten welke bekend stonden om malware verspreiding. De SMTP honeypot draait nog om te kijken wat er per mail verstuurd wordt vanuit m'n testnetwerk.

xoniq @dehulk • 22 januari 2025 10:22

Ik haal bewust geen spul van Ali die je aan t netwerk hangt. Enige wat ik ooit kocht, een camera waarvan ik wist dat er een open source custom firmware was, en die helemaal de moeder geflashed tot de bootloader aan toe.

Als het een gesloten systeem is of op Android draait komt t hier niet binnen uit dat land.

24hourpartypal @xoniq • 22 januari 2025 22:48

Met IOT spul maakt dat toch verder helemaal niet uit als je goede netwerk segmentatie hebt? Misschien zou ik met een camera wel 2x nadenken, maar in principe zou een beveiligingscamera ook niet op gevoelige plekken gericht moeten staan. Dat geld overigens voor alle IOT-meuk en niet alleen Ali spul, data vergaren gebeurt hier net zo goed, of zal er vroeg of laat iets van een exploit ergens gevonden worden, dus is het sowieso een goed idee om dat soort apparaten als de weakest link te zien en het netwerk daar op in te richten. Eigen subnet, apparaten kunnen niet met elkaar praten, robuste routing rules, standaard geen internet toegang, etc. Allicht een losse VLAN voor trusted devices die je wel met elkaar wilt laten praten, ik heb zelfs mn smartphone op zo'n vlan omdat ik de boel toch niet zo vertrouw en zo toch kan laten praten met mn chromecast of remote app voor smartTV e.d. Zero trust is eigenlijk belangrijker in een wereld van consumer devices dan zakelijk.

Fugitive2008 @dehulk • 22 januari 2025 10:21

Mijn LG Oled C7 begint een beetje traag (op leeftijd lijkt me niet) te worden wanneer we NLZiet, plex of Youtube kijken en was aan het kijken naar een Thomson 270 streaming box alleen van dit soort verhalen, deze box komt uit China, houdt me enigzins nog even tegen mbt aanschaf.
Linus TT heeft hier een filmpje aan gewijd

Nog verder niet heel diep onderzoek gedaan dus wellicht weerleggen anderen dit of hebben ze betere ideeen

[Reactie gewijzigd door Fugitive2008 op 22 januari 2025 10:24]

Snippo @Fugitive2008 • 22 januari 2025 10:35

Waarom niet gewoon de Google TV Streamer (4K)? Niet dat Google zaligmakend is, maar je zit toch min of meer vast aan Android TV.

Fugitive2008 @Snippo • 22 januari 2025 10:38

Ook zeker een goede optie, al is de eerste de beste normaal leverbare google streamer 50e duurder dan de Thomson 270

[Reactie gewijzigd door Fugitive2008 op 22 januari 2025 10:43]

Snippo @Fugitive2008 • 22 januari 2025 10:50

Dat zou inderdaad kunnen. Die TV Streamer is helaas een stuk duurder dan de Chromecast, die ook prima voldeed.

PaulHelper @dehulk • 22 januari 2025 11:10

Ja android set top boxes zijn wel het meeste kwaadaardige ongeveer. LTT had daar keer onderzoek naar gedaan en kwam volgens mij uit dat 4/5 idd remote control achtige firmware hadden. Die kon dus wanneer gewild waarschijnlijk binnen uitvoeren die je zelf echt niet wilde (op de achtergrond).

L0g0ff

@dehulk • 22 januari 2025 20:39

Maar dan de vraag. Is er iemand heel slim geweest die het productieproces van jouw geteste apparaten kon beïnvloeden of zet zo'n leverancier er bewust malware op.

Het is namelijk wel een verschil of ze zelf slachtoffer zijn of aanvaller.

Overigens wel leuke hobby dit soort apparaten in je vrije tijd onderzoeken. Of doe je dat uit nieuwsgierigheid als je vreemd gedrag in je netwerk ziet?

dehulk @L0g0ff • 23 januari 2025 09:20

Dit is vooral uit nieuwsgierigheid gekomen en daarbij heb ik ooit zo'n apparaat in m'n netwerk aangesloten en toen stonden we ineens op de blacklist. Hierna zorgvuldig onderzoek gestart en nu is het een soort hobby geworden

Met als uitkomst dat het schrikken is wat voor sh1t je tegenkomt vanuit China. Mijn gevoel en zorgen zijn dat een normaal huishouden zonder enige Technische/IT kennis dit in huis heeft en deel neemt aan een botnet onopgemerkt en/of nog erger.

L0g0ff

@dehulk • 23 januari 2025 17:44

Dat verklaart wel dit soort enorm grote DDoS aanvallen

Onoffon @dehulk • 23 januari 2025 09:05

Interessant, ben je er al achter wat er dan precies verstuurd word?

dehulk @Onoffon • 23 januari 2025 09:28

Hier een voorbeeld wat er voorbij komt. Het is ook totaal niet consuquent en de ene keer komt er ieys langs als die aan gaat en de andere keer niks.

[2025-01-13 07:18:30] Client connected from 10.0.0.234:51764
[2025-01-13 07:18:30] Received: EHLO 116.193.87.25
[2025-01-13 07:18:30] Sent: 250-Hello
[2025-01-13 07:18:31] Received: MAIL FROM:<lperrotta2010@adelphia.net>
[2025-01-13 07:18:31] Sent: 250 OK
[2025-01-13 07:18:33] Client disconnected

[2025-01-07 21:52:30] Client connected from 10.0.0.234:55992
[2025-01-07 21:52:31] Received: ehlo testingserver.com.local
[2025-01-07 21:52:31] Sent: 250 OK
[2025-01-07 21:52:44] Client disconnected

Een eml nog niet echt afgevangen want ze breken de sessie nu af, ik heb de honeypot hier en daar nog wat getweaked en het is dus maar weer afwachten. Mocht er meer uitkomen laat ik het jullie weten.

dixet @Yzord • 22 januari 2025 09:44

Want die gerenommeerde merken hebben nooit security bugs? En hou er rekening mee dat een groot deel van de mensen nooit de firmware van hun IoT apparaten updatet.
Asus: https://www.cybersecurity...cal-vulnerability/719523/
Belkin: https://thehackernews.com...atched-vulnerability.html
Netgear: https://www.nccgroup.com/...a-playground-for-hackers/

Kees BOFH

Ddos

@dixet • 22 januari 2025 10:22

Gerenomeerde merken zullen in elk geval niet bewust onveilige apparaten leveren of besmetten met malware

Elminster @Kees • 22 januari 2025 10:31

Cisco vergeten? Of is dat geen gerenomeerd merk?

Als je de code niet kan inzien & binaries herbouwen, dan kan je 't niet vertrouwen.
</Alu-hoedje af>

dehardstyler @Elminster • 22 januari 2025 10:50

Oeeeh leuke angle. Nou wachten op een reactie!

MarcMK2 @Elminster • 22 januari 2025 11:02

en elke andere USA partij met backdoors voor NSA/CIA

Haribo112 @Elminster • 22 januari 2025 11:20

Met zo'n instelling zijn er maar weinig dingen die je WEL kan vertrouwen...

Elminster @Haribo112 • 22 januari 2025 12:11

Inderdaad. En meerdere partijen hebben al meerdere keren ons vertrouwen geschonden.

Trust, but verify.

musiman

@Elminster • 22 januari 2025 11:40

@Kees zoals @Elminster zegt. En wat dacht je van Lenovo Caught (3rd Time) Pre-Installing Spyware on its Laptops?

Hardware supply chain attacks vormen een reëel gevaar. De Overheid in de Verenigde Staten is hier al wat meer mee bezig dan de onze, zoals bij dit voorbeeld. En met Donald Trump aan het roer zal dat in de VS alleen nog maar strenger gereguleerd gaan worden.

lenwar

Cloudflare
Beveiliging en antivirus

@Kees • 22 januari 2025 14:08

Bewust ligt er net aan hoe je het verwoord.

Op een gegeven moment stopt een fabrikant (ook Siemens/AEG/Miele/enz.) met het ondersteunen van een appliance. Die apparaten hangen dan nog steeds aan het internet met alle gevolgen van dien.

Dekar @dixet • 22 januari 2025 09:57

En daarbij komt natuurlijk ook een groot scala aan mensen die nooit een firmware update doet en/of een oud en compromised device gebruikt.

Mijn router is ook 10 jaar oud. Doet het nog en ik heb geen wifi 6 of 7 devices in huis. Voorlopig is een upgrade nog niet nodig.

dehardstyler @Dekar • 22 januari 2025 11:20

Voorlopig is een upgrade nog niet nodig.

Nou ja, ik zou zeggen dat die upgrade wel nodig is, als je netwerkapparatuur geen updates meer krijgt. Maar ieder zijn ding!

Dekar @dehardstyler • 22 januari 2025 12:11

Dat vind ik ook.
Heeft er laatst nog 1 gehad. Asus is wel goed met support.

jurroen @Yzord • 22 januari 2025 09:48

Dat is een incorrecte aanname gebaseerd op een onderbuik gevoel. Wat betreft crappy Chinese firmware, daar heb je een punt. Maar: een beetje Tweaker flasht die firmware naar Tasmota of zet het in een internetloos VLAN. Neemt niet weg dat er genoeg exposed aan internet hangen.

Maar Westerse merken als hetgeen wat jij noemt zijn niet beter. Er hangen een redelijk aantal Netgear ReadyNAS apparaten aan internet, met hun management interface exposed - die al jaren EOL zijn. Binnen een middag zou ik ze in een botnet kunnen hebben hangen.

Maar ik kies ervoor dat niet te doen en probeer contact te krijgen met de "eindgebruikers", door de providers te mailen en te kijken of ik het kan herleiden tot de daadwerkelijke abonnee op basis van bijvoorbeeld een domeinnaam, etc. Veel beter om dit op te lossen in plaats van actief deel te zijn van het probleem.

Arfman @jurroen • 22 januari 2025 11:01

Voor elke Tweaker die een Tuya device in een apart VLAN hangt zonder internettoegang, zijn er 10.000 mensen die dat ding op hun WiFi netwerk connecten en er nooit meer naar omkijken.

cricque @Arfman • 22 januari 2025 13:34

Denk dat je daar nog een 0 mag achter zetten hoor. Denk zelfs dat het merendeel dat hier regelmatig aanwezig is dit niet doet

jurroen @Arfman • 22 januari 2025 22:23

Ja, helaas. Maar wat @cricque aangeeft, ik ben bang dat dat aantal veel hoger ligt

wica @Yzord • 22 januari 2025 09:57

Meeste iot device, zijn een soort van plug and forget. In de zin van de meeste (99,99%) worden nooit geüpdatet. Denk daarbij, dat ze meestal gewoon in een netwerk hangen zonder een uitgaande firewall. Maakt het, dat ze een interessante target zijn om te misbruiken.

Ik denk dat het langzaam wel tijd wordt, dat de consumenten routers. Wat meer gaan doen, dan enkel het router van het verkeer naar Internet. Zoals default het beperken van uitgaan verkeer en de service te gaan bieden om het interne netwerk te scannen op risico's.
Het zou helemaal mooi zijn, als er een optie zou zijn. Om iot devices te gaan blokkeren, als ze EOL zijn.
Ja, ik snap dat de support druk op de ISP dan gaat toe nemen.

Hans1990 @Yzord • 22 januari 2025 10:24

Het ''voordeel'' van C-merken kan zijn dat er zoveel verschillende fabrikanten van zijn dat ze niet altijd op dezelfde manier kwetsbaar hoeven te zijn EN niet groot/bekend genoeg om in zo'n aanval meegenomen te worden.
Tenzij natuurlijk die bug in een oude gemeenschappelijke package zoals SSH zit. Veel van die merken zullen het spul ook niet al te best configureren, dus ik zou mijn vingers er nog steeds niet aan branden.

En dan heb je nog bekende B-merken zoals TP-Link (of vloek ik nu in de kerk?) die een lange historie hebben met grote ongedichte lekken. Waarschijnlijk worden die deze apparaten daarom ook in de VS verboden.

Tenslotte heb je ook nog aardig wat ISPs met aangepaste firmwares die er een zooitje van maken.

[Reactie gewijzigd door Hans1990 op 22 januari 2025 10:26]

Marctraider @Yzord • 22 januari 2025 11:09

Of kijk uit wat je op je eigen netwerk doorlaat. Dit is een perfect voorbeeld van onwetende gebruikers waarbij apparatuur zomaar wat doet. Deze gebruikers gebruiken de apparatuur ook (gevoelsmatig) lokaal, maar alles gaat gewoon over de klaut.

protected22 22 januari 2025 11:03

Het lastige met dit soort dingen is dat 98% van de mensen hun IOT apparaten nooit updated, niet weet hoe of al dusdanig oud is dat het device EOL is. Alles moet laatste tijd aan het internet verbonden worden. Van je deurbel tot aan je broodrooster en lamp. Gemakkelijk te infecteren en een botnet geplaatst.

Marctraider @protected22 • 22 januari 2025 11:14

99% van die 98% weet niet hoe networking werkt en dat ze er voor kunnen kiezen om niet zomaar alles het www op te sturen.

Je kan hier 1000 iot apparaten op mijn netwerk verbinden, maar geen enkele zal ooit een buitenserver kunnen bereiken.

Je kan het ook zo formuleren, van de mensen met IOT apparaten:

98% update ze nooit (Niet dat dit je veiliger maakt)
99% heeft netwerk beveiliging niet op orde
85% weet niet dat alles via de klaut gaat, ook al zijn ze thuis.
99% boeit het ook niet.

[Reactie gewijzigd door Marctraider op 22 januari 2025 11:18]

protected22 @Marctraider • 22 januari 2025 13:02

Klopt. Zelf val ik helaas ook onder die groep die niet weet hoe je dat kan doen.

GerritGekke @Marctraider • 22 januari 2025 13:25

Je kan hier 1000 iot apparaten op mijn netwerk verbinden, maar geen enkele zal ooit een buitenserver kunnen bereiken.

Dit is ook precies wat ik doe. Blokkeer op MAC/IP de connectie met internet. Probeer altijd spul te zoeken welke ik local kan bedienen en niet afhankelijk ben van externe server.

jurgen1976 @Marctraider • 22 januari 2025 16:30

Klopt helaas helemaal, maar kan je natuurlijk ook niet verwachten. Koop een nieuwe wasmachine volg de handleiding, installeer de app en het ding hangt aan het internet. Waarschijnlijk realiseert het gros van de mensen zich eens dat hij nu aan het internet gekoppeld is, laat staan dat ze hem moeten updaten.

Kortom lijkt mij een taak voor fabrikanten en niet voor de gemiddelde consument

CB3ROB @protected22 • 22 januari 2025 11:19

jonge je wasmachine hoeft ook geen 'updates'. een deurbel is (als het goed is) gewoon een schakelaar met een microcontroller die wat packets stuurt als iemand op het knoppie drukt en hoeft verder helemaal -niets- te kunnen. gewoon de goeie hardware kiezen (die verder niets kan, ook geen 'updates' want dan kan er andere code in gezet worden die wel wat anders kan

en de code in 1 keer goed doen en klaar. er is geen 'end of life' op fieldbus spul. gewoon omdat je het 1 keer in je gebouw schroeft en het blijft zitten tot het gebouw gesloopt wordt. 100 jaar later ofzo.

so far for 'iot rommel'. lichtknoppies, deurbellen, relay drivers, etc hoeven helemaal geen volledige ip stack of 'os' of kernel te hebben. en al helemaal geen backdoor om er 'andere code' in te schuiven ('updates'

vastschroeven, aanzetten, base-t1l of poe ethernet dr in en draaien met dat ding. die hele 'kom we pakken voor alles een arm of risc-v core met linux' generatie gaat maar eens leren hoe machinecode werkt ofzo. lol. tis verder nix nieuws ofzo. dat had men in de jaren 70 ook al. toen liep het alleen over rs-485 ofzo. en nu poept het ethernet frames uit met doorgaans iets dat net volstaat om als ip header herkend te worden door 'andere computers' als stubje. lol. en ja je -kan- ook een stroomslurpende arm core of esp-32 ofzo pakken. niet dat je dat wil op 20000 lichtknoppies en 20000 relaiskasten qua stroomverbruik. en al helemaal niet qua 'bijkomende security issies' omdat dat dan wel 'linux' draait

je pic 16F met 256 -bytes- ram en 1kb rom ofzo kan -ook- prima een lang genoege psuedo udp packet genereren of parsen die een computer met een normale ip stack dan gewoon met sockets kan afhandelen (as opposed to raw packets). als je er 'meer' van maakt komt dat met alle risicos van een normale linux of wintendo machine.

as for 'de andere verzie' (consumenten crap als 'ring deurbellen' enzo

ik denk dat die vaak genoeg 'updates' krijgen als ze weer eens voor onduidelijke redenen gewoon niet werken

usually the first thing people try. maar die rommel praat hoe dan ook met netwerken en servers die niet van jou zijn (wil jij dat wat americanen kunnen zien wie er bij jou voor de deur staat, lijkt me dat je die server gewoon in je eigen kelder wil maargoed

dat spul gaat ook -zo vaak stuk- dat je je over die 'updates' ook niet druk hoeft te maken want unlike properly designed custom stuff haalt het zeer zeker de 40-100 jaar niet. mischien 1 jaar

als het niet te koud of te warm is buiten haha

zijn 'updates' werkelijk een 'issue' op dingen die al niet meer werken als de leverancier van 5 jaar terug failliet ging en de servers online zijn en het daardoor allleen al niets meer doet, provided dat die crappy hardware het zo 'lang' zou uithouden? al die ring rommel. everything android based, etc. gewoon vuilnis dat het at most 3 maanden uithoudt, in goed weer met de verwarming aan haha.

beetje onderscheid tussen dingen als 'metasys' 'plc's op ethernet/ip based fieldbus' etc. en gewoon outright consumenten vuilnis met een 'wifi' interface (lol) is prettig denk ik

die 2e zijn feitelijk gewoon 'grote stappen snel klaar gooi dr gewoon een halve linux pc in' maar idd, dan met half gare software en 'updates' needed to patch it up. maar die 2e houden het ook geen jaar uit in the wild.

daarbij. zijn 'ddos attacks' uberhaupt nog echt een 'probleem' ? alle transit komt toch gewoon op 100ge pijpies en is flatrate nowadays. neem er gewoon 20 ofzo. who cares. tis niet alsof het nog miljarden zou kosten zoals 30 jaar terug. 'koop grotere pijp'.

dat je hele netwerk op zn gat lag met 30mbit is uit de ouwe doos.

weet je waarom die chinezen zich er niet zo druk over maken? omdat hun internet er altijd al op ingericht is

tis daar gewoon min of meer een cultureel verschijnsel om de hele dag te proberen al je concurrenten plat te gooien... dat als je wat chinezen over laten we zeggen de amsix gaat routeren dat ze gaan huilen daar

LOL. zijn ze niet gewend. (Die arme moffen die toen ff dachten onze prefixes te hijacken voor hun domme seizure banner 'goh dr komt 90gbit/s aan attacks op binnen de hele dag' JOH ECHT.

hoe zag de router er uit waar je het -van voor- gehijacked hebt ? lol.

[Reactie gewijzigd door CB3ROB op 22 januari 2025 11:38]

storeman 22 januari 2025 09:32

Hoe kan een geïnfecteerd IoT device nu zoveel traffic genereren? Een gemiddeld IoT device bevat een soort van ESP32. De WiFi van zo'n chip is hier niet snel genoeg voor

Marve79 @storeman • 22 januari 2025 09:35

Wellicht meerdere IoT devices achter NAT? Ze zeggen ook 13.000 apparaten 5500 unieke IP's. Dat zou dus gemiddeld zo'n 2 apparaten per IP zijn.

Maar dan nog lijkt het mij vrij veel, zeker als er gesproken wordt over 1 tot 8 gbit/s.

CH4OS @Marve79 • 22 januari 2025 10:03

Nee, ze zeggen niet dat er 5500 unieke IP-adressen waren in totaal. Per seconde zagen ze gedurende de aanval 5500 unieke IP-adressen voorbij komen (van de 13000 requests per seconde). Dit betekend dat elk IP-adres in dit botnet gemiddeld en per seconde zo'n 2,3 verzoeken deed.

Dit betekend dus ook dat niet elk device op exact hetzelfde moment een verzoek deed. Over het totaal van IP-adressen gebruikt in de aanval zegt het artikel in elk geval niets, maar dat zullen er waarschijnlijk zelfs meer zijn.

EDIT:
Ik heb het bron artikel er even bij gepakt (gelinkt in het artikel), daar schrijft men het volgende:

While the total number of unique source IP addresses was around 13,000, the average unique source IP addresses per second was 5,500.

Men zag dus 13000 IP-adressen in totaal, van die 13000 adressen zag men gemiddeld 5500 IP-adressen per seconde voorbij komen. Elk IP-adres deed dan 1Gb/sec gemiddeld met pieken tot onder 8Gb/sec.

Niet vergeten dat men niet kan zien hoeveel apparaten per verbinding dat zijn. Zij zien immers alleen op netwerk niveau vele verzoeken binnen komen die afgewimpeld werden.

[Reactie gewijzigd door CH4OS op 22 januari 2025 12:16]

Munters @CH4OS • 22 januari 2025 11:49

Ja, dat klopt natuurlijk wat u schrijft.
Maar in het artikel staat ook "Elk IP-adres leverde gemiddeld 1Gbit/s aan dataverkeer, met pieken van onder de 8Gbit/s." en dat is natuurlijk opmerkelijk.
Gezien de rare verwoording achter de komma ('met pieken van onder ..."), vermoed ik eigenlijk een slechte, niet kloppende vertaling.

CH4OS @Munters • 22 januari 2025 11:53

Nou ja, in NL zijn verbindingen sneller dan 1Gb/sec ook gewoon intussen mogelijk, als je dan meerdere apparaten hebt die door de malware infected zijn, is het niet ondenkbaar of onmogelijk om dat soort hoeveelheden data per seconde af te vuren op Cloudflare.

EDIT:
In de bron (het cloudflare artikel die ook gelinkt is in het artikel) schrijft men het volgende:

We also saw a similar number of unique source ports per second. In the graph below, each line represents one of the 13,000 different source IP addresses, and as portrayed, each contributed less than 8 Gbps per second. The average contribution of each IP address per second was around 1 Gbps (~0.012% of 5.6 Tbps).

Het is dus gewoon een prima vertaling.

[Reactie gewijzigd door CH4OS op 22 januari 2025 11:58]

lenwar

Cloudflare
Beveiliging en antivirus

@CH4OS • 22 januari 2025 13:56

Dan nog is 1Gbit wel heel erg veel. Er is best een boel rekenkracht nodig om zoveel data te verwerken. De meeste IoT-apparaten die ik over de jaren voorbij heb zien komen, puilen niet uit van performance

. Dat is normaal gezien ook niet nodig.

Een wasmachine/kookplaat/ventilator hoeft maar een paar kB te versturen eens in de zoveel tijd. Een zware chip/netwerkkaart is compleet zinloos in zo'n apparaat.

Dit incident bevestigd overigens wederom dat we (wereldwijd) veel selectiever moeten zijn met wat we met het internet laten praten (of überhaupt IP). Het is veel logischer als iedereen die erin geïnteresseerd is, een domoticahubje in huis haalt (van enige aard), en dat alles via Zigbee/Zwave/Thread gaat. Die hubjes zijn vaak wel oké beveiligd tegen een of ander. (geen 100%-score natuurlijk). Er is redelijkerwijs geen reden dat een koelkast/kookplaat/ventilator direct met het internet communiceert. (met iets als een mediastreamer wordt dat al lastiger)

Nathan07 @CH4OS • 23 januari 2025 16:01

Het is hoogstwaarschijnlijk dat dit achter CG-NAT gebeurt. Wie weet hoeveel huishoudens er achter één IP-adres zitten

Calamor @storeman • 22 januari 2025 09:42

Dit is misschien te versimpelt.
Maar alleen een Hallo te zeggen kost voor zo apparaat niet veel en lijk mij dat niet alles op wifi zit. Een router, bedrijfsprinter of beveilings camera zit meestal op een netwerk kabel, die kunnen dan wel veel verkeer maken.

willieverhoef @Calamor • 22 januari 2025 09:46

Maar het feit dat een IOT apparaat op een verbinding zit met meer dan 1gb vind ik dan wel opvallend.

dev-random @willieverhoef • 22 januari 2025 09:59

Misschien zegt dit meer iets over wat we kennen en normaal achten in West Europa.

Er zijn zat landen in de wereld waar consumenten sneller internet tot hun beschikking hebben. Misschien niet in iedere uithoek en al zo lang als hier, maar wat er aan infra ligt is daardoor vrij modern en gaat richting de Gigabit.

Dan nog vraag ik me af welke IOT devices de compute power hebben om een Gigabit aan data naar buiten te duwen.

Scriptkid @dev-random • 22 januari 2025 10:05

vergeet je niet de amplification,

Meeste DDOs gebruiken een soort van amplification techniek zeker als je een goede hebt kunnen die wel tot 8x amplifien,

of te wel je IOT hoeft maar 125 Mbit te doen om 1Gb utilisation aan de target kant te veroorzaken.

musiman

@Scriptkid • 22 januari 2025 11:28

Inderdaad. Er zijn heel veel soorten UDP amplification attacks, waarvan de bekendste wel de DNS versie betreft. Maar je hebt ook NTP amplification en nog vele anderen (zie de link hierboven).

Gisteren had ik nog een discussie met een paar van mijn cursisten over IoT apparaten die je thuis kunt hebben en wat een consument (met weinig kennis van IT) zou kunnen doen om te voorkomen dat zijn/haar verlichting/oven/wasmachine/ander-smart-apparaat onderdeel gaat worden van zo'n botnet. Tja, lastig. Je kunt natuurlijk deze apparaten geen toegang geven tot het internet, maar dan verlies je een groot deel van de smart features. Als IT'er weet ik wel wat dingetjes, maar die zijn niet uit te voeren door een consument zonder enige IT technische kennis.

Scriptkid @musiman • 22 januari 2025 11:59

maar devices die alleen outbound openstaan zouden denk ik toch niet het isseu moeten zijn.

Denk dat vooral inbound FW poorten die geopend zijn of Upnp devices die impacted zijn.

daarvoor zou je wel kunnen zeggen zet UPNP uit. dan heb je alleen nog outbound traffic en kan een aanvaller alleen via een al compromised apparaat verder hoppen.

En geen admin GUI van routers exposen op Inet.

Calamor @willieverhoef • 22 januari 2025 10:31

Mij niet, vroeger was 100mb/s normaal maar veel hebben al 1Gb/s verbinding.

In het buitenland kan je voor ons begrippen erg goedkoop internet krijgen met hoge snelheden.
Voor in landen die niet zo welvarend waren hebben goedkoper en sneller internet omdat ze niks hadden en gelijk op glasvezel aangesloten worden.
Weet van Letland dat het daar denk 10jaar geleden 1Gb/s normaal was.
Laatst was er een bericht op Tnet over : nieuws: Nieuwe Belgische provider DIGI maakt prijzen bekend: 20 euro voor 10G...
Komt uit Roemenië en zijn actief in Spanje, Italië en Portugal.

Heb het niet nodig, maar voor die prijs zou ik het ook wel nemen. Hoop dat ze ook snel in Nederland zullen komen. Dat gaat echt de markt openbreken.

wiseger @Calamor • 22 januari 2025 14:23

Dat zal allemaal wel meevallen. Zodra je over de 1Gbit heen gaat, krijg je met andere beperkingen te maken zoals je lokale netwerk, de netwerkpoorten van je apparaten, je lokale Wifi.

Dus dat openbreken van de markt, dat zal wel meevallen.

Intergalactic Testlabcoördinator @willieverhoef • 22 januari 2025 10:00

Met hoe breed de term "IOT" is, kunnen dit een hele hoop apparaten zijn die gewoon een gigabit verbinding hebben.smart tv's vallen er ook gewoon onder.

Yzord @storeman • 22 januari 2025 09:35

Zat devices met PoE.

CH4OS @Yzord • 22 januari 2025 10:01

Maar Power over Ethernet doet geen DDoS aanvallen en draait zeker niet de bewuste malware.

MrDrako @CH4OS • 22 januari 2025 17:38

Waarom zou een via poe aangesloten device geen onderdeel uit kunnen maken van een botnet?

CH4OS @MrDrako • 22 januari 2025 18:02

De devices aangesloten op/met PoE wel inderdaad, maar PoE als standaard an sich, kan dat simpelweg niet.

pietje63 @storeman • 22 januari 2025 10:08

Ziet hier niet vaak een vermengigvuldiging op? Slim pakket dat 10 bits is, door de isp wordt hier nog iets aan toegevoegd (?) en het antwoord kost 100 bits?

Zie bijv https://www.cloudflare.co...mplification-ddos-attack/

ManIkWeet 22 januari 2025 09:44

Wat voor IoT apparaten hangen aan 1Gbit+ lijnen? Camera's in bedrijfspanden ofzo?

cadsite @ManIkWeet • 22 januari 2025 09:47

Tegenwoordig zijn er meer en meer mensen met zo'n lijnen thuis.
Dus zo eigenaardig is dit toch niet?

watercoolertje @cadsite • 22 januari 2025 10:09

Wel als de gemiddelde snelheid 1gbit is, dat die lijnen er ook tussen zitten is niet meer dan logisch maar bij gemiddeld moet bijna iedereen 1Gbit hebben (4 en 8gbit is echt enorm schaars)...

Dit zijn de top 5 snelste (internet) landen, de snelste is gemiddeld 279.55mbit/s:
https://www.cable.co.uk/b...d/worldwide-speed-league/

[Reactie gewijzigd door watercoolertje op 22 januari 2025 10:10]

Scriptkid @watercoolertje • 22 januari 2025 12:32

Is dat niet de bandbreedte na amplification.

Geen enkele ddos op die schaal doet dat zonder amplification attack

watercoolertje @Scriptkid • 22 januari 2025 12:41

Dat zal het inderdaad moeten zijn, maar was niet perse onderdeel van de discussie.

Scriptkid @watercoolertje • 22 januari 2025 12:46

Volgensmij wel, want als het gied is kun je dus met 100mbit een 1gb lijn dicht trekken als je 8x amp haalt.

Maw die iot kan lagere lijn hebben

Charlie_Root @cadsite • 22 januari 2025 11:25

IoT devices hebben toch vaak gewoon WIFI of 100Mbps? Welke IoT devices hebben een eigen 1Gbps verbinding?

Pedek 22 januari 2025 11:38

Weet iemand of er een eenvoudige manier is om te testen of je zelf een device hebt dat deel uitmaakt van zo'n botnet?

Munters @Pedek • 22 januari 2025 12:02

Je kunt beginnen je ip adres in te voeren op shodan.io of censys.io, dan kun je eenvoudig zien of er veel open staat op jouw aansluiting.

Pedek @Munters • 22 januari 2025 13:18

Super! Dit is tenminste een praktische tip waar ik wat mee kan. In tegenstelling tot vele websites waar je een lange uitleg krijgt om uiteindelijk te concluderen dat het 'gecompliceerd' is.
Dankjewel!

brambo123 @Pedek • 23 januari 2025 10:05

Nou, het is ook gecompliceerd.
Als zo'n website aangeeft dat er niets is gevonden betekend het niet dat er niets aan de hand is.
Een apparaat hoeft helemaal niet open te staan om deel uit te maken van een botnet.
Alleen als boel open staat is die makkelijker te hacken van buitenaf.

Calamor 22 januari 2025 09:50

Ben eigenlijk wel benieuwd naar de mediaan van de internet snelheid.
Als je ongeveer de gemiddelde neem is het nu ongeveer een 1 Gbit/s verbinding per uniek IP adres.

Zouden ze ook een website hebben met was mijn IP ook in de ddos aanval. Is wel handig voor internet providers om te melden dat iets op hun netwerk mee doet met een ddos aanval.

NietZomaar 22 januari 2025 09:58

Geeft Cloudflare de ip-adressen door aan de betrokken ISP's zodat die op hun beurt hun klanten inlichten en die op hun beurt actie kunnen ondernemen?

PaulHelper @NietZomaar • 22 januari 2025 11:12

Wat wil je doen dan? Niet alle op adressen die gebruikt worden voor DDoS zijn echt kwaadaardig. Juist zijn vaak dit soort nets puur door malware op echte apparaten van mensen die verder niks fout willen doen.
Als je erachter komt wie het initieert dan heb je wat maar dat is vaak niet zo 1,2,3 gedaan.

SqyD

@PaulHelper • 22 januari 2025 15:51

Ik wil dat die mensen die onbedoeld deelnemer geworden zijn van een kwaadaardig botnet geholpen worden om dat op te lossen. Dat kan en gebeurt ook meer dan je denkt. Ik weet dat in ieder geval een aantal nederlandse ISP's hier tijd en kennis in investeren. Ik heb alleen geen idee of Cloudflare en andere vergelijkbare partijen zelf ook die abuse meldingen naar ISP's uitsturen

Charlie_Root @NietZomaar • 22 januari 2025 16:20

Cloudflare stuurt zeker abuse meldingen. Verbaas me dan ook wel dat Hetzner op #1 staat aangezien die juist heel fel zijn met die meldingen opvolgen.

sircampalot 22 januari 2025 11:10

Hier een Foscam VD1 deurbel, die niet op internet mag.
Hij mag echter wel DNS requests doen aan de lokale PiHole, en ging na recente update volledige beserk met requests, met name naar security-device-access.ivyiot.io.
Gemeld aan fabrikant, maar die werd er niet warm van.
Het het uiteindelijk 'opgelost' door een dns record te maken waarmee de VD1 voor dat domein '127.0.0.1' als antwoord krijgt.

Maverick2001

22 januari 2025 11:12

Dit zijn wel echt ongelooflijke getallen. Cloudflare heeft het allemaal wel heel goed voorelkaar. Veel mensen blijven heel naïef mbt hun apparatuur, de noodzaak van updaten en beveiligen is nog steeds iets waar heel veel mensen niet bewust van zijn. Zelfs sterke (unieke) wachtwoorden is bij de mensen in mijn omgeving nog steeds een drama.

Op dit item kan niet meer gereageerd worden.

Cloudflare meldt nieuw ddos-record van 5,6Tbit/s

Lees meer

Reacties (105)

Sorteer op:

Weergave: