Toename aan DDoS-aanvallen in Q1 van 2025

De belangrijkste bevindingen zijn:

• Q1 2025 evenaart bijna het totale DDoS-totaal van 2024: de autonome systemen van Cloudflare hebben het afgelopen kwartaal 20,5 miljoen DDoS-aanvallen gemitigeerd, bijna gelijk aan het totale aantal DDoS-aanvallen van 21,3 miljoen in 2024.

• Hypervolumetrische aanvallen worden de nieuwe norm: Ongeveer 700 aanvallen waren hypervolumetrisch in Q1, met een snelheid van ruim 1 miljard pakketten per seconde (pps) of 1 Tbps, gemiddeld ongeveer 8 aanvallen per dag.

• DDoS-aanvallen op netwerklaag nemen sterk toe: DDoS-aanvallen op de netwerklaag kenden de meest dramatische stijging met 16,8 miljoen aanvallen, wat neerkomt op een stijging van 509% op jaarbasis en een stijging van 397% op kwartaalbasis.

• Duitsland is gekroond tot nieuw DDoS-doel: er was een grote verschuiving in de meest aangevallen locaties, waarbij Duitsland het meest aangevallen land werd en vier plaatsen steeg ten opzichte van het vorige kwartaal. Turkije maakte een dramatische sprong van 11 plaatsen naar de tweede plaats, terwijl China naar de derde plaats zakte.

• Aan de andere kant werd Hongkong de belangrijkste bron van DDoS-aanvallen, gevolgd door Indonesië en Argentinië.

• Wedden op chaos: in het eerste kwartaal van 2025 sprong de gok- en casinosector naar de toppositie als meest getroffen sector door DDoS-aanvallen, met een stijging van vier plaatsen. Telecommunicatie zakte naar de tweede plaats, gevolgd door informatietechnologie en -diensten.

• De lucht- en ruimtevaartsector maakte de grootste sprong van allemaal, met een stijging van 40 plaatsen, waarmee het de tiende meest aangevallen sector werd.

Analyse DDoS-aanvallen

In het eerste kwartaal van 2025 heeft Cloudflare 20.5 miljoen DDoS-aanvallen afgezwakt. Dat is een toename van 358% in vergelijking met het eerste kwartaal van 2024. De grootste toename was bij DDoS-aanvallen op het netwerkniveau. In het eerste kwartaal van 2025 heeft Cloudflare 16,8 miljoen DDoS-aanvallen op netwerkniveau afgezwakt. Dat is een stijging van 397% ten opzichte van het vorige kwartaal en een stijging van 509% ten opzichte van 2024. Ongeveer een derde van de netwerkaanvallen, 6,6 miljoen, was direct gericht op Cloudflare’s infrastructuur, als onderdeel van een 18 dagen durende multi-vectoraanval. Deze bestond onder andere uit SYN flood, Mirai-generated en SSDP amplification aanvallens, om enkele te noemen. Deze aanvallen, net als alle 20,5 miljoen, zijn autonoom gedetecteerd en afgezwakt door Cloudflare’s DDoS-verdediging.

In het eerste kwartaal van 2025 was er een toename van 3488% ten opzichte van het vorige kwartaal in CLDAP-reflectie-/amplificatieaanvallen. CLDAP (Connectionless Lightweight Directory Access Protocol) is een variant van LDAP (Lightweight Directory Access Protocol). Het wordt gebruikt voor het bevragen en wijzigen van directoryservices die via IP-netwerken lopen.

CLDAP is verbindingsloos en benut UDP in plaats van TCP, waardoor het sneller maar minder betrouwbaar is. Omdat het UDP gebruikt, is er geen handshake vereist, waardoor aanvallers het IP-adres kunnen vervalsen en het kunnen misbruiken als reflectievector. Bij deze aanvallen worden kleine query's verzonden met een vervalst bron-IP-adres (IP-adres van het slachtoffer), waardoor servers grote antwoorden naar het slachtoffer sturen en het slachtoffer overbelasten. Beperking bestaat uit het filteren en monitoren van ongebruikelijk CLDAP-verkeer.

Meer informatie over alle DDoS-aanvallen in het eerste kwartaal van 2025 en een uitgebreidere analyse daarvan is te lezen in de blog van Cloudflare.