Cloudflare weerstaat ddos-record van 37,4TB aan data in 45 seconden

Cloudflare heeft in mei de grootste ddos-aanval ooit op zijn platform afgeweerd. De aanval genereerde ongeveer 7,3Tbit/s aan internetverkeer en verstuurde in 45 seconden 37,4TB aan data. Het laatste record was in oktober 2024.

Cloudflare

De aanval was gericht op één IP-adres van een klant, waarbij er gedurende de aanval gemiddeld 21.925 poorten tegelijk werden aangevallen. Op het hoogtepunt van de aanval werden volgens Cloudflare 34.517 toegangspoorten van hetzelfde IP-adres aangevallen.

Het ging volgens het internetbedrijf om een multivector-ddos-aanval: dat is een ddos-aanval waarbij verschillende aanvalstechnieken worden gebruikt. In 99,996 procent van de gevallen was er sprake van zogenaamde UDP-floods. Bij dergelijke aanvallen wordt een hoog aantal UDP-pakketten naar willekeurige poorten van een IP-adres verstuurd. UDP staat voor User Datagram Protocol en is een internetprotocol dat voornamelijk in real time internetapplicaties wordt gebruikt, zoals videobellen of online gamen. Bij dit protocol wordt er geen uitgebreide geverifieerde verbinding opgezet. Het protocol is daardoor sneller dan het veelgebruikte Transmission Control Protocol dat doorgaans bij internetverbindingen wordt gebruikt, maar ook minder betrouwbaar.

De aanval kwam volgens Cloudflare voort uit meer dan 122.145 IP-adressen, verspreid over 5433 autonome systemen in 161 landen. Ongeveer de helft van de aanvallen was afkomstig uit Brazilië en Vietnam. Een derde van de aanvallen kwam uit Taiwan, China, Indonesië, Oekraïne, Ecuador, Thailand, de Verenigde Staten en Saudi-Arabië. Cloudflare heeft de aanval kunnen afweren door de binnengelopen UDP-pakketten van de ddos-aanval om te leiden naar de datacenters die het dichtst bij het bron-IP-adres lagen. De Cloudflare-software analyseert daar de binnengekomen pakketten en probeert vervolgens verdachte patronen te identificeren waardoor het kwaadaardige UDP-pakketten kan filteren.

Het is niet de eerste keer dat Cloudflare melding maakt van grote ddos-aanvallen. Het bedrijf had in oktober van 2024 nog een ddos-aanval afgeslagen met een piek van 5,6Tbit/s aan UDP-verkeer. Dat was volgens Cloudflare toen een nieuw ddos-record.

Reacties (76)

TheProst 23 juni 2025 11:25

Cloudflare heeft de aanval kunnen afweren door de binnengelopen UDP-pakketten van de ddos-aanval om te leiden naar de datacenters die het dichtst bij het bron-IP-adres lagen.

Dus hij stuurt de UDP-pakketten gewoon terug? Wordt hierdoor hun eigen DC niet over laden?

GrooV @TheProst • 23 juni 2025 11:35

Nee dit is gewoon Anycast, je krijgt altijd de dichtstbijzijnde Cloudflare DC in de buurt (dat is de kracht van Cloudflare).Cloudflare heeft zo veel DC's inmiddels dat een globale DDOS automatisch verspreid wordt over hun netwerk

TheProst @GrooV • 23 juni 2025 11:47

Oke, dus de UPD-pakketten worden gewoon van de klant omgeleid naar een DC van cloudflare.

Gwaihir @TheProst • 23 juni 2025 12:04

Niet zozeer omgeleid, maar onderweg onderschept.

Stel, jij wil naar Den Haag deze week om bij een zekere top de boel op stelten te zetten. Kom je daar, dan wordt je vast 'omgeleid'. Maar blijkt dat op voorhand uit het een of ander, dan wordt je ook al vóór Den Haag onderschept, zonder enige impact op wat er in Den Haag gebeurt. En roepen groepen uit Finland en Frankrijk dat, dan vindt dat onderscheppen waarschijnlijk al plaats op de luchthavens en / of hoofdwegen aldaar.

Elke route naar een Cloudflare server loopt door een Cloudflare data center. En wel eentje zo dicht mogelijk bij jouw eigen locatie.

MrFax @Gwaihir • 23 juni 2025 12:26

Precies. Je moet het gewoon zien als 100 auto's die een snelweg wil blokkeren, maar dat je kleine groepjes auto's al eerder tegenhoudt. 100 auto's kan zo'n server vastleggen, maar als je ervoor zorgt dat die 100 auto's niet bij elkaar komen, dan blijft de weg open. En dat kan, omdat je zo'n groot globaal netwerk.

Als ik het goed begrijp in ieder geval is het zo hoe het gaat.

[Reactie gewijzigd door MrFax op 23 juni 2025 12:28]

GrooV @TheProst • 23 juni 2025 11:50

Nee er wordt niks geredirect, hier staat het uitgelegd https://blog.cloudflare.c...f-ddos-attacks-against-it

Er wordt het woord "routed" gebruikt wat niet het zelfde is als redirecten, routed is het zelfde als routeren

Hier is meer uitleg over hoe Anycast werkt https://www.cloudflare.co...glossary/anycast-network/ https://blog.cloudflare.c...ure-eliminating-single-p/

[Reactie gewijzigd door GrooV op 23 juni 2025 11:52]

TheProst @GrooV • 23 juni 2025 12:18

eerste artikel heeft alles opgehelderd. dankuwel $_/-\o_$

Vaatdoek82 @TheProst • 23 juni 2025 11:30

Stel ze zouden vanaf een EC2 van Google een DDOS aanval plegen (of een andere VPS hosting o.i.d.) Die kunnen niet altijd wat doen aan een dergelijk feit zou je zeggen.

Dreamvoid @Vaatdoek82 • 23 juni 2025 16:02

Voor een datacenter is het niet zo moeilijk - die zien dat soort botnet verkeer vanuit een EC2 direct, en kunnen die instance wissen en de eigenaar inlichten en evt extra kosten in rekening brengen als het vaker gebeurt.

Probleem is meer bij particulieren - je kan als provider niet binnen het netwerk van oma een gehackte speaker firewallen, en het schiet ook niet op om een mailtje sturen ("wij zagen op Maandag 23 Juni 9:06 op UDP port 12345 verdacht verkeer, check je router logs en haal dat endpoint offline"). Oma helemaal afsluiten is een te drastische move, daarmee raak je de klant ook permanent kwijt.

[Reactie gewijzigd door Dreamvoid op 23 juni 2025 16:10]

Tigitaal

@Dreamvoid • 24 juni 2025 19:54

Ik vind dat mailtje eigenlijk helemaal niet zo’n slecht idee. Als tweaker kan ik daar wat mee. Dan wordt je tenminste ingelicht dat er iets aan de hand is. Oma heeft daar natuurlijk niks aan, maar die kan misschien haar handige zoon vragen om dat op te lossen.

YGDRASSIL

@TheProst • 23 juni 2025 11:36

Ik lees dit als dat ze de inkomende data voor dit destination ip dynamisch routeren naar eigen datacenters in de buurt van waar het pakket vandaan komt en daar packetanalysis doen en filteren. Dan verdeel je die inspectieload over meer hardware en is alles wat weggefiltered wordt ook minder lang in je eigen systemen.

servicedb @TheProst • 23 juni 2025 12:16

CloudFlare heeft 330 locaties en 13000 netwerken aangesloten, verdeeld over deze locaties. 1 IP adres die aanvalt, komt bij één van deze 13000 netwerken vandaan en op één van de locaties. Daar wordt het IP geblokkeerd (op de edge) in plaats van verderop in het netwerk. Het verkeer van deze IP's komt eigenlijk niet eens in het netwerk van CF.

Met weren wordt vaak blokkeren bedoeld en vaak negeer je dit verkeer. Hierdoor belast je inderdaad het netwerk een stuk minder. Overigens heb je nog vele andere plekken waar veiligheidchecks in zit. CloudFlare heeft verder in het proces (lees: het proces waar je een website opent) ook nog blokkade punten wat al een stuk verder in het netwerk wordt behandeld.

MrFax @servicedb • 23 juni 2025 12:23

Cloudflare heeft zo wel veel macht, maar wel handig om DDoS te weren als je zo makkelijk kan gaan filteren vlak bij de bron, waardoor je dus de hele groep aan Tbit/s niet op 1 plek kan krijgen.

[Reactie gewijzigd door MrFax op 23 juni 2025 12:24]

ANONYMOUES0607 @servicedb • 23 juni 2025 20:14

Niet om een of ander maar het zijn de "Loadbalancers" in dit geval 1000% zeker de F5 die het filteren doet en ZEKER NIET een edge router.... die wil je dat ook helemaal niet laten doen.... de F5 is hier explicit op grote schaal voor gebouwd.... Daarbij Cloudflare gebruikt zogennoemde wasstraat technieken om verkeer af te werpen. En akamai heeft gwn brute kracht (capaciteit) en routeerd alle troep gwn over de DC's en die zijn zoo groot dat je geen impact krijgt....

servicedb @ANONYMOUES0607 • 24 juni 2025 09:58

Ik heb het ook niet over de router. Ik heb het over de locaties en netwerken met de mitigatie die CloudFlare zelf toegelicht heeft. Je kan POP locaties hebben waar je simpel verkeer doet. Of je kan op elke locatie ook echt wat doen, iets wat CloudFlare wel lijkt te doen.

Ick @ANONYMOUES0607 • 25 juni 2025 08:47

Cloudflare gebruikt geen F5, maar gebruikt worden ontwikkelde software load balancing en routing.

ABC1234 @TheProst • 23 juni 2025 13:17

Het was in elk geval een erg korte aanval - ze duren doorgaans veel langer. Mooie reclame wel. Bijna te mooi.

Ruffian 23 juni 2025 11:42

Maar is dit bewust op 1 bedrijf dan gericht of is dit om Cloudflare te zieken?
En kunnen ze niet achterhalen wie de groepering is die dit doet, zoveel apparaten lijkt mij een gigantische organisatie die ook toegang heeft tot veel 'huishoudens'.

Blasterxp @Ruffian • 23 juni 2025 11:47

Goede vraag! Ik vrees alleen niet dat ze vertellen welke klant de DDOS op zijn kop kreeg.

Ruffian @Blasterxp • 23 juni 2025 12:00

Omwille AVG zou ik dit ook niet denken maar dan moet er wereldwijd toch iemand heel boos op je zijn.
Dan zou dit om een Microsoft achtig (grootheid) bedrijf gaan lijkt mij?

Dreamvoid @Ruffian • 23 juni 2025 12:24

Hoeft niet, kan bv ook mensenrechten organisaties zijn of onafhankelijke media.

Cybje @Ruffian • 23 juni 2025 12:44

Nu met de NAVO top kan het ook gewoon een aanval op kritieke infrastructuur zijn. Sowieso hebben DDoS aanvallen steeds vaker politieke redenen.

Maar goed, in essentie heb je gelijk, iemand is dan erg boos op het doelwit

SPee @Ruffian • 23 juni 2025 16:56

AVG gaat niet over bedrijven of bedrijfsnamen.

Het wordt niet genoemd omwille van geheimhouding (van hun klanten).

ccnl @Blasterxp • 23 juni 2025 13:18

Staat in de bron

De aanval was gericht op een Cloudflare-klant, een hostingprovider die Magic Transit gebruikt om zijn IP-netwerk te verdedigen.

dipje2 @ccnl • 23 juni 2025 13:39

weet je nog steeds niet heel veel.. Een cloudflare-klant, een hostingprovider. Meer weet je niet

ccnl @dipje2 • 23 juni 2025 14:37

Maar daarmee zijn speculaties met politieke verdenking uit de lucht zoals "NAVO-top, mensenrechten organisaties of onafhankelijke media"
Een hosting-provider is b.v. strato of mijndomein.

Ruffian @ccnl • 23 juni 2025 15:12

Ooit bij een hosting provider gezeten die 1 klant had waar ze het continue op gemunt hadden en daardoor alles plat ging. Dus het kan nog steeds.

PdeBie @Ruffian • 23 juni 2025 11:48

De laatste vind ik een heel interessante vraag. Voor hetzelfde geldt maken de daders misbruik van allerlei IoT apparatuur (denk aan smart lampen, smart rookmelders, smart ...... stofzuigers!) waarmee ze dit soort gigantische aanvallen kunnen uitvoeren.

Ruffian @PdeBie • 23 juni 2025 12:03

Dit lijkt mij ook en is het dan geen optie om de providers aan te schrijven die moeten deze data ook voorbij zien komen en kunnen misschien de gebruiker inlichten dat zij mee doen aan criminele activiteiten (niet beboeten!) want ik ga er van uit dat de gebruiker van zo'n IoT apparaat het niet (kan) weten.

Dreamvoid @Ruffian • 23 juni 2025 12:53

Zoals je in dit artikel kan lezen komen de meeste aanvallen uit Brazilie en Thailand, het zal dus van die providers moeten komen.

Maar idd, ik zou graag horen van mijn provider als er verdacht verkeer uit mijn netwerk komt.

[Reactie gewijzigd door Dreamvoid op 23 juni 2025 12:56]

Bongoan @Dreamvoid • 23 juni 2025 13:50

Ik weet niet of dit nog gebeurt, maar ik herinner mij mailtjes van @home wanneer er verdacht gedrag/ mogelijk geïnfecteerde apparaten waren op je thuis netwerk.

SunnieNL

@Dreamvoid • 23 juni 2025 15:08

Jij wilt dat weten en kan er ook iets mee. Maar stel je weet nauwelijks iets van IT, maar die chinese prullen die je gebruikt krijg je wel online (lampen, koelkasten, camera's, goedkope deurbellen, huisdier feeders, slimme katteluiken, etc). Die persoon krijgt nu zo'n mailtje van zijn provider... en dan? Wat gaat hij er mee doen, hoe gaat die er aan beginnen? Wat als die vervolgens de provider belt, hoe gaat de helpdesk hem dan helpen?

Het lost niets op door dat door te geven aan 95% van alle consumenten die een internetverbinding hebben.

Ruffian @SunnieNL • 23 juni 2025 15:14

Elk klein beetje kan helpen, is dan ook geen oplossing?
Het is wel waar wat je zegt als ze de provider gaan lastig vallen met dit soort dingen maar misschien kunnen ze direct verwijzen naar de lokale IT-er op de hoek die dan een extra centje kan verdienen?

PdeBie @Ruffian • 23 juni 2025 12:54

Ik denk dat het gros van de gebruikers het niet weet. Alles lekker smart, goedkope chinese spullen, in huis halen en uiteraard nooit de firmware bijwerken.

3raser @Ruffian • 23 juni 2025 13:46

Ik vraag me af of dit allemaal huishoudens zijn. Als je de piek van 7,3Tbps deelt door het aantal IP adressen zou je op een gemiddelde van 60Mbps uit komen. Zijn Brazilië en Vietnam goed vertegenwoordigd in de breedbandmarkt of komt dit toch meer uit gehackte servers in datacenters?

Dreamvoid @3raser • 23 juni 2025 15:52

Zal wel voornamelijk particulieren zijn ja - als datacenter zie je precies welke VMs meedoen, die trek je dan direct offline. Idem met bedrijfsnetwerken.

Het is niet zo eenvoudig, bij huishoudens kan je als provider geen individuele devices uitschakelen, en sluit je de hele aansluiting af dan raak je als provider je eigen portemonnee (en lopen je klanten naar de volgende provider, waar dezelfde geinfecteerde devices de draad weer oppikken).

En vergeet niet dat dit ook inclusief gehackte telefoons is, die hebben ook behoorlijk veel bandbreedte.

[Reactie gewijzigd door Dreamvoid op 23 juni 2025 15:57]

Kevinp @Ruffian • 23 juni 2025 14:25

Tja misschien toch goed om wat kleinere bedrijven te hebben.

De grote mega bedrijven zijn misschien sterk. Maar als het mis gaat dan gaat het ook goed mis.

Dreamvoid @Kevinp • 23 juni 2025 15:58

Juist als klein bedrijf ben je kwetsbaar, die hebben meestal niet het budget om dit soort DDoS aanvallen af te slaan.

Kevinp @Dreamvoid • 24 juni 2025 07:34

Lees mijn commentaar.

Ja klopt, maar als cloudfare onderuit gaat werkt het halve internet niet meer.

Of als er een uitspraak komt om bv thepiratebay te blokeren (of brein verzind weer een IP adres) dan kan je bij de helft er niet meer op.

Dreamvoid @Kevinp • 24 juni 2025 11:02

Cloudflare heeft daar weinig mee te maken - als client gaat je uitgaand verkeer sowieso niet via Cloudflare, en niemand gaat Pirate Bay servers hosten via Cloudflare.

Kevinp @Dreamvoid • 24 juni 2025 11:11

en toch gebeuren gerelateerde zaken:

nieuws: Ziggo blokkeerde onterecht torrentsite EZTV nadat deze op filterlijst...

Dreamvoid @Kevinp • 24 juni 2025 11:13

Dit is Ziggo, de provider, niet Cloudflare, de CDN.

BlaDeKke @Ruffian • 23 juni 2025 17:09

Zo’n korte aanvallen zijn vaak proof of concept. Om aan potentiële afnemers van de DDOS dienst te tonen dat ze de capaciteit hebben om een grote aanval uit te voeren.

Verder is er best wat software te vinden om een botnet als dit te maken. En met alle ongeupdate consumenten routers en iot brol is het vandaag misschien wel gemakkelijker dan ooit om dit te doen.

[Reactie gewijzigd door BlaDeKke op 23 juni 2025 17:22]

PaulHelper @BlaDeKke • 24 juni 2025 14:18

Uhm, een proof of concept wat een record breekt? Ik denk niet dat dit zo willekeurig was. Ik denk eerder dat dit echt iets doelgerichts was

BlaDeKke @PaulHelper • 24 juni 2025 16:42

Hoeft absoluut niet te zijn.

henk717 @Ruffian • 23 juni 2025 17:22

Het gaat om "Een hosting partij die gebruik maakt van het magic transit product".

mr_evil08 23 juni 2025 12:05

Zou de Navotop hier iets mee te maken hebben?
Om de zaak te verstoren.

dipje2 @mr_evil08 • 23 juni 2025 13:19

het gaat om een aanval in mei staat in de eerste zin geloof ik

meneerdeuil 23 juni 2025 14:58

37 terabyte in drie kwart minuut, dat is geen ddos meer maar een datatsunami. Knap dat Cloudflare dit überhaupt heeft afgeslagen, maar ergens ook zorgelijk: dit soort aanvallen worden niet alleen groter, maar ook geraffineerder. Je moet tegenwoordig een wereldwijd netwerk hebben om een beetje overeind te blijven. Succes als je een kleiner bedrijf bent…

PaulHelper @meneerdeuil • 24 juni 2025 14:20

Als je een klein bedrijf bent en je bent belangrijk genoeg dat je een DDOS van deze grootte krijgt zul je ook de middelen hebben om bijvoorbeeld Cloudflare te gebruiken en voor je applicaties te zetten.
Verder zorg je er natuurlijk altijd voor dat cruciale dingen waar mogelijk überhaupt niet zonder credentials of specifieke data/headers etc benadert kan worden.

GrooV 23 juni 2025 11:32

Ik snap dat Tweakers tegenwoordig ander publiek aantrekt maar om nu UDP nog uit te gaan leggen gaat me wel ver. Als je dan toch uitleg geeft , geef dan aan waarom er UDP gebruikt wordt ipv TCP.

Verder mag gewoon benoemd worden dat Cloudflare Anycast gebruikt, hier wordt helemaal geen netwerk verkeer omgeleid naar specifieke DC's maar dit is gewoon een netwerk protocol waarbij een IP adres vanaf meerdere locaties bereikbaar is, clients gebruiken altijd de kortste route, en dus een DC in de buurt.

TheVivaldi @GrooV • 23 juni 2025 11:59

Dus als Tweakers geen uitleg geeft, is er kritiek dat het artikel te kort en te vaag is, en als Tweakers wel uitleg geeft, is er kritiek dat het artikel niet voor techneuten is geschreven… Lijkt me momenteel lastig om redacteur te zijn. Des te meer respect voor @JayStout, die mijns inziens toch altijd nette, diepgaande artikelen schrijft, vaak zelfs buiten de reguliere werktijden.

[Reactie gewijzigd door TheVivaldi op 23 juni 2025 12:01]

GrooV @TheVivaldi • 23 juni 2025 12:00

Oke maar waarom wordt er dan UDP gebruikt? Dat maakt het relevant

DeFeCt @GrooV • 23 juni 2025 12:13

Volgens mij staat dat er vrij duidelijk?

Bij dergelijke aanvallen wordt een hoog aantal UDP-pakketten naar willekeurige poorten van een IP-adres verstuurd. UDP staat voor User Datagram Protocol en is een internetprotocol dat voornamelijk in real time internetapplicaties wordt gebruikt, zoals videobellen of online gamen. Bij dit protocol wordt er geen uitgebreide geverifieerde verbinding opgezet. Het protocol is daardoor sneller dan het veelgebruikte Transmission Control Protocol dat doorgaans bij internetverbindingen wordt gebruikt, maar ook onveiliger.

grrfield @DeFeCt • 23 juni 2025 21:09

Ik ben geen techneut, maar tot een tijd geleden moest je altijd en nog deels manueel twee poorten openzetten voor games. 1 x TCP en 1 x UDP. Bij de UDP-poort sprak men altijd van (tenzij ik mij vergis) "broadcast", wat volgens mij gewoon wou zeggen dat er geen terugkoppeling was door de ontvanger om de data te verifiëren. Dat maakt het gewoon sneller. TCP werd dan gebruikt voor meer essentiële zaken, zoals het confirmeren van een kill bvb (ik vind maar iets uit hoor). Dit laatste is uiteraard belangrijk omdat alle spelers bij voorkeur een gelijke score zien in hun tabellen.

Die vogel die bijvoorbeeld over het scherm vliegt doet er dan waarschijnlijk niet meer toe.

Waarschijnlijk allemaal zeer slechte voorbeelden, maar dat is hetgeen ik ervan begrijp. Het gaat dus om snelheid op het einde van de rit.

PaulHelper @grrfield • 24 juni 2025 14:21

Voor games als je LAN over internet wilde doen of wat bedoel je want ik heb dit nooit hoeven doen.

grrfield @PaulHelper • 29 juni 2025 00:31

Of als je een servertje opzet over het internet, niet alleen LAN

[Reactie gewijzigd door grrfield op 29 juni 2025 00:32]

SPee @GrooV • 23 juni 2025 17:14

HTTP3 en QUIC zijn nieuwe versies van het HTTP protocol en die gebruiken UDP voor communicatie.

Voor UDP kun je gewoon je data verzenden, zonder dat er een tweewegsverbinding hoeft opgezet te worden. Je kunt gewoon je data versturen en de server krijgt het toegestuurd, ookal zou hij er niet naar luisteren. Als DDOS aanval zorgt dit voor verstopping van de beschikbare bandbreedte naar de server.
Kan zijn dat de betreffende server alleen de nieuwe HTTP protocollen ondersteund en geen TCP meer gebruikt. Of ze hebben voldoende bescherming tegen DDOS op TCP niveau. Bij een DDOS aanval via TCP dan reageert de client niet (of laat) op de bevestiging van de server, waardoor de server teveel (wachtende) verbindingen heeft openstaan, geen nieuwe kan ontvangen en dus nieuwe verbindingen niet kan verwerken.

IlIlIllII @GrooV • 23 juni 2025 11:49

Want iedere bezoeker op een tech-forum heeft automatisch verstand van alles wat met technologie te maken heeft, of wat is je punt precies? Ieder z'n eigen interesses en kennisgebieden, denk ik maar altijd. Bij mij is dat bijvoorbeeld game development en videobewerking. Van online dataverkeer heb ik geen kaas gegeten, dus een uitleg bij termen zoals UDP wordt zeer gewaardeerd.

CPV @IlIlIllII • 23 juni 2025 12:11

We hadden bij ons een data analist, net afgestudeerd. Na wat uitleg maakte hij de mooiste analyses en rapporten over ons netwerk. Toen eens bij een nieuwe opdracht de term DHCP viel, had hij daar nog nooit van gehoord.
Iedere techneut heeft zijn eigen specialisatiegebied en je hebt geen basiscertificaat IP nodig om op Tweakers te mogen inschrijven.

droofx 23 juni 2025 11:47

Gaan we nu ook al records bijhouden van criminele activiteiten? Meeste plofkraken op 1 dag, meeste overvallen per uur, meeste pinpassen van bejaarden gestolen op 1 dag, etc

maevian @droofx • 23 juni 2025 12:06

Gaat over het verijdelen van een misdaad, toch ook genoeg nieuws artikelen over record vangsten cocaïne in de haven?

merijnvogel @droofx • 23 juni 2025 12:08

Dit is een tech aanval op tech infrastructuur op een tech nieuws site. En een heule dikke aanval. En succesvol afgeslagen. Dat is nieuwswaardig, toch? Dit nieuws staat zover ik kan zien niet op de site van mijn krant. En als het nu.nl haalt is dat omdat het op tweakers staat...

Honza63 23 juni 2025 20:30

Cloudfare?
Da's toch dat bedrijf dat er voor zorgt dat je gewone website niet kan bereiken, simpelweg omdat je even in het buitenland bent?
Een simpel forum v/e Frans automerk? Onbereikbaar... En zo heb ik ellenlange ervaringen.
En ze raden je dan aan contact te zoeken met iemand die je niet kan bereiken want...cloudfare.

PaulHelper @Honza63 • 24 juni 2025 14:25

Kun je beter voorbeelden geven, bedoel je de ik ben geen robot/turnstile? Ik gebruik altijd een VPN en ja heb regelmatig dat ze het vragen maar bij de lage risico dingen kom ook ik er normaal doirheen zonder memory te spelen. En bij high risk dingen moet ik inderdaad 2 keer plaatjes zoeken.
Maar helemaal inbreken aar weet ik niet wat je bedoelt.

servicedb 23 juni 2025 11:20

Knap van ze.

Update: na verder rondneuzen en comments van Tweakers hier onder, lijkt het er op dat de communicatie skills van CloudFlare op zijn zachtst gezegd zwak is. Het bleek dat het draaien van een Casino niet toegestaan is bij CloudFlare, tenzij je een enterprise plan hebt met eigen IP's. De reden hiervan is dat de IP-adressen van CloudFlare standaard gedeeld zijn en bepaalde landen blokkeren casino's. Er zijn wel hier en daar wat voorbeelden, zoals van @Kees: Kees in 'Cloudflare weerstaat ddos-record van 37,4TB aan data in 45 seconden'

@bigoldie heeft hier wat extra voorbeelden.

Oorspronkelijk:

Toch jammer dat een bedrijf die zo krachtig op het internet is nare handelspraktijken heeft. Zie Theo t3.gg. Artikel: https://robindev.substack.com/p/cloudflare-took-down-our-website

TL; DR: Het ging om een casino website die mogelijk geblokkeerd zou worden. Omdat CloudFlare zijn IP-adressen gedeeld zijn met anderen, zou het ook andere klanten blokkeren. Daarom moesten ze naar een ander IP-adres toe.

In YouTube: So, Cloudflare Responded... kom je meer voorbeelden tegen waar CF deze houding heeft.

Aan de andere kant zijn ze snel en transparant over problemen.

Dit geeft toch een dubbel gevoel.

edit:

TL;DR er bij, artikel er bij en tekst aangepast.

edit 2:
Na verder zoeken lijkt het toch wel edge cases te zijn waar het fout gaat. Het is wel duidelijk dat CF communicatieproblemen heeft.

[Reactie gewijzigd door servicedb op 23 juni 2025 13:13]

GrooV @servicedb • 23 juni 2025 11:36

Kan je wat info geven ipv te linken naar een door de concurrent gesponsorde YouTuber?

bigoldie @GrooV • 23 juni 2025 11:52

TL;DR:

We've been on the Cloudflare Business plan ($250/month) for years. They suddenly contacted us and asked us to either pay them $120k up front for one year of Enterprise within 24 hours or they would take down all of our domains. While this escalated up our business we had 3 sales calls with them, trying to figure out what was happening and how to reach a reasonable contract in a week. When we told them we were also in talks with Fastly, they suddenly "purged" all our domains, causing huge downtime in our core business, sleepless nights migrating away from CF, irreparable loss in customer trust and weeks of ongoing downtime in our internal systems.

https://robindev.substack.com/p/cloudflare-took-down-our-website

FYI: Ik zit nu het filmpje te bekijken en het klinkt plausible. Echter het is wel een eenmalige post. Dus weet niet hoe betrouwbaar.

[Reactie gewijzigd door bigoldie op 23 juni 2025 11:53]

Kees BOFH

Ddos

@bigoldie • 23 juni 2025 12:08

Ehm ja, maar wel even een paar hele grote kanttekeningen bij dat verhaal en wat er in die blogpost mist:

Het is een online casino-site die wereldwijd aan diverse wetgeving moet voldoen, maar wel op een $250,- cloudflare account zaten waardoor cloudflare er zelf hinder van ondervond, want hun (gedeelde) IP's werden nu in een aantal landen geblocked omdat dat casino er op zat.

Hierdoor hadden andere klanten van Cloudflare daar last van. Vandaar de urgency en even later de purge. Als ze dat niet hadden gedaan dan was waarschijnlijk een groot deel van alle cloudflare klanten offline geweest in een aantal landen.

Vandaar ook dat ze naar een enterprise account moeten, niet omdat ze dan meer betalen, maar omdat daar het 'bring your own IP' deel in zit. Dat kan cloudflare dan inzetten voor die site en rustig laten blokkeren in een aantal landen zonder dat andere klanten daar last van hebben.

Is het netjes opgepakt door Cloudflare? Nee, er lijkt wat miscommunicatie te zijn geweest tussen verschillende teams, waarbij het 'trust and safety' team niet goed met het sales team heeft gepraat over waarom deze klant naar een enterprise account moest en de urgentie ervan. Maar deze klant wilde ook wel voor een dubbeltje op de eerste rij zitten en overtrad ook de voorwaarden van Cloudflare.

[Reactie gewijzigd door Kees op 23 juni 2025 12:08]

bigoldie @Kees • 23 juni 2025 12:33

Er zijn meerdere klachten op YCombinator:

Kees BOFH

Ddos

@bigoldie • 23 juni 2025 12:48

Cloudflare is zeker niet heilig, maar ik reageerde even direct op die casino site die voor een dubbeltje op de eerste rij wilde zitten.

Ik heb zelf ook een klacht vergelijkbaar met drie van de vier links die je geeft. Dus ik ben toen gewoon niet met cloudflare verder gegaan. Ook bij mij was het verhaal: we kunnen je geen pro plan geven, je moet een enterprise account hebben voor $3k per maand. Twee mailtjes later was dat al gezakt naar $1k/maand.

En een maand later zat ik voor $400/maand bij AWS.

servicedb @Kees • 23 juni 2025 12:38

100% mee eens. Communicatie is key en daar geeft dit ook een vertekend beeld van. Ik ben er wat meer in gedoken en merk dat de casino vaak als voorbeeld aangehaald wordt. Het lijkt minder groot zijn dan wat ik eerst mee kreeg, weer wat geleerd.

Heeft iemand nog een Europees alternatief wat in de buurt komt van CloudFlare? NaWas is niet vergelijkbaar met CF (afhankelijk van je use case natuurlijk).

GrooV @bigoldie • 23 juni 2025 11:59

Het betreft een online casino wat sowieso niet toegestaan was op de type abonnement waar ze op zaten, daar begint het natuurlijk mee

Olaf van der Spek @GrooV • 23 juni 2025 12:03

daar begint het natuurlijk mee

De KYC van CF is dus niet zo goed?

servicedb @GrooV • 23 juni 2025 12:07

Staat gewoon onder de video:

https://robindev.substack.com/p/cloudflare-took-down-our-website

Er is een vervolg, zie YouTube: So, Cloudflare Responded...

Het is niet een éénmalig item. Als je verder zoekt, dan kom je dit soort dingen vaker tegen. Overigens, in de enterprise wereld is het wat minder gebruikelijk om open op het internet te posten. Veel van dit soort gesprekken zijn gesloten en worden niet gepubliceerd3

Ik heb mijn bericht aangepast met een kleine TL;DR.

[Reactie gewijzigd door servicedb op 23 juni 2025 12:08]

Op dit item kan niet meer gereageerd worden.

Cloudflare weerstaat ddos-record van 37,4TB aan data in 45 seconden

Lees meer

Reacties (76)

Sorteer op:

Weergave: