Serangan DDoS hiper-volumetrik meningkat pesat: laporan ancaman DDoS Q2 2025 Cloudflare

Selamat datang di Laporan Ancaman DDoS Cloudflare edisi ke-22. Laporan yang diterbitkan setiap kuartal ini memberikan analisis komprehensif tentang perkembangan lanskap ancaman serangan Distributed Denial of Service (DDoS) berdasarkan data dari jaringan Cloudflare. Dalam edisi ini, kami fokus pada kuartal kedua tahun 2025. Untuk melihat laporan sebelumnya, kunjungi www.ddosreport.com.

Juni merupakan bulan tersibuk untuk serangan DDoS pada Q2 2025, mencakup hampir 38% dari seluruh aktivitas yang diamati. Salah satu target penting adalah outlet berita independen Eropa Timur yang dilindungi oleh Cloudflare, yang melaporkan serangan setelah meliput parade Pride lokal selama Bulan Pride LGBTQ.

• Serangan DDoS terus memecahkan rekor. Selama Q2 2025, Cloudflare secara otomatis memblokir serangan DDoS terbesar yang pernah dilaporkan, dengan puncaknya pada 7,3 terabit per detik (Tbps) dan 4,8 miliar paket per detik (Bpps).

• Secara keseluruhan, pada Q2 2025, serangan DDoS hiper-volumetrik meningkat pesat. Cloudflare memblokir lebih dari 6.500 serangan DDoS hiper-volumetrik, rata-rata 71 per hari. 

• Meskipun jumlah keseluruhan serangan DDoS turun dibandingkan kuartal sebelumnya — yang mengalami lonjakan belum pernah terjadi sebelumnya didorong oleh kampanye skala besar yang menargetkan jaringan Cloudflare dan infrastruktur Internet penting yang dilindungi oleh Cloudflare — jumlah serangan pada Q2 2025 masih 44% lebih tinggi daripada pada Q2 2024. Infrastruktur penting terus menghadapi tekanan berkelanjutan, dengan sektor Telekomunikasi, Penyedia Layanan, dan Operator kembali naik ke puncak sebagai industri yang paling banyak menjadi target.

Semua serangan dalam laporan ini secara otomatis terdeteksi dan diblokir oleh pertahanan otonom kami.

Untuk mempelajari lebih lanjut tentang serangan DDoS dan jenis ancaman siber lainnya, lihat Pusat Pembelajaran kami. Kunjungi Cloudflare Radar untuk melihat versi interaktif laporan ini tempat Anda dapat menelusuri lebih jauh. Radar juga menawarkan API gratis bagi mereka yang tertarik menyelidiki tren Internet. Anda juga dapat mempelajari lebih lanjut tentang metodologi yang digunakan dalam menyiapkan laporan ini.

Pada Q2 tahun 2025, Cloudflare mengurangi 7,3 juta serangan DDoS — turun tajam dari 20,5 juta pada Q1, ketika kampanye selama 18 hari terhadap infrastruktur Cloudflare sendiri dan infrastruktur penting lainnya yang dilindungi oleh Cloudflare, menghasilkan 13,5 juta serangan tersebut. 

^{Serangan DDoS per kuartal}

Kita baru saja melewati pertengahan tahun 2025, dan sejauh ini Cloudflare telah memblokir 27,8 juta serangan DDoS, setara dengan 130% dari semua serangan DDoS yang kami blokir sepanjang tahun kalender 2024.

^{Serangan DDoS berdasarkan tahun}

Jika dijabarkan lebih lanjut, serangan DDoS Layer 3/Layer 4 (L3/4) anjlok 81% kuartal ke kuartal menjadi 3,2 juta, sedangkan serangan DDoS HTTP naik 9% menjadi 4,1 juta. Perubahan dari tahun ke tahun tetap tinggi. Serangan secara keseluruhan 44% lebih tinggi dari Q2 2024, dengan serangan HTTP DDoS mengalami peningkatan terbesar sebesar 129% tahun ke tahun.

^{Serangan DDoS per bulan}

Pada Q2 2025, Cloudflare memblokir lebih dari 6.500 serangan DDoS hiper-volumetrik, dengan rata-rata 71 serangan hiper-volumetrik per hari. Serangan hiper-volumetrik mencakup serangan DDoS L3/4 yang melebihi 1 Bpps atau 1 Tbps, dan serangan DDoS HTTP yang melebihi 1 juta permintaan per detik (Mrps).

Jumlah serangan DDoS hipervolumetrik yang melampaui 100 juta paket per detik (pps) melonjak 592% dibandingkan kuartal sebelumnya, dan jumlah yang melampaui 1 miliar pps dan 1 terabit per detik (Tbps) berlipat ganda dibandingkan kuartal sebelumnya. Jumlah serangan HTTP DDoS yang melebihi 1 juta rps (rps) tetap sama yakni sekitar 20 juta secara total, rata-rata hampir 220.000 serangan setiap hari.

^{Serangan DDoS hiper-volumetrik pada Q2 2025}

Ketika ditanya siapa yang berada di balik serangan DDoS yang mereka alami pada Q2 2025, mayoritas (71%) responden mengatakan mereka tidak tahu siapa yang menyerang mereka. Dari 29% responden sisanya yang mengaku telah mengidentifikasi aktor ancaman, 63% menunjuk ke pesaing, sebuah pola yang umum khususnya dalam industri Gaming, Perjudian, dan Kripto. Sebanyak 21% lainnya mengaitkan serangan tersebut dengan aktor di tingkat negara atau yang disponsori negara, sementara 5% masing-masing mengatakan mereka secara tidak sengaja menyerang diri mereka sendiri (self-DDoS), menjadi sasaran pemeras, atau mengalami serangan dari pelanggan/pengguna yang tidak puas.

^{Aktor ancaman teratas yang dilaporkan pada Q2 2025}

Persentase pelanggan Cloudflare yang diserang yang melaporkan menjadi sasaran serangan DDoS Tebusan atau yang diancam meningkat sebesar 68% dibandingkan dengan kuartal sebelumnya, dan sebesar 6% dibandingkan dengan kuartal yang sama pada tahun 2024. 

^{Serangan DDoS Tebusan pada Q2 2025}

Jika kita tinjau lebih lanjut, serangan DDoS Tebusan meningkat pada bulan Juni 2025. Sekitar sepertiga responden melaporkan diancam atau menjadi sasaran serangan DDoS Tebusan.

^{Serangan DDoS Tebusan berdasarkan bulan Q2 2025}

Peringkat 10 lokasi paling banyak diserang pada Q2 2025 berubah secara signifikan. Tiongkok naik dua peringkat untuk merebut kembali posisi pertama, Brasil naik empat peringkat ke posisi kedua, Jerman turun dua peringkat ke posisi ketiga, India naik satu peringkat ke posisi keempat, dan Korea Selatan naik empat peringkat ke posisi kelima. Turki turun empat peringkat ke posisi keenam, Hong Kong turun tiga peringkat ke posisi ketujuh, dan Vietnam melonjak lima belas peringkat ke posisi kedelapan. Sementara itu, Rusia meroket empat puluh peringkat ke posisi sembilan, dan Azerbaijan melonjak tiga puluh satu peringkat untuk melengkapi sepuluh besar.

^{Lokasi yang paling banyak menjadi target serangan DDoS pada Q2 2025}

Penting untuk dicatat bahwa lokasi yang diserang ini ditentukan oleh negara penagihan pelanggan Cloudflare yang layanannya menjadi target — bukan negara tersebut sendiri yang diserang. Dengan kata lain, peringkat tinggi berarti lebih banyak pelanggan terdaftar kami di yurisdiksi penagihan itu yang ditargetkan oleh lalu lintas DDoS, daripada menyiratkan penargetan geopolitik langsung.

Peringkat 10 industri yang paling banyak diserang pada Q2 2025 juga memperlihatkan pergerakan yang signifikan. Telekomunikasi, Penyedia Layanan dan Operator naik satu peringkat ke posisi pertama, sementara sektor Internet naik dua peringkat ke posisi kedua. Teknologi Informasi & Layanan mempertahankan posisinya di posisi ketiga yang paling banyak diserang, dan Gaming naik satu peringkat ke posisi keempat. Perjudian & Kasino turun empat peringkat ke posisi kelima, dan industri Perbankan & Jasa Keuangan tetap berada di posisi keenam. Ritel naik satu peringkat ke posisi ketujuh, dan Pertanian naik drastis 38 peringkat ke posisi kedelapan. Perangkat Lunak Komputer naik dua peringkat ke posisi kesembilan, dan Pemerintah naik dua peringkat untuk melengkapi sepuluh industri yang paling banyak diserang.

^{Industri yang paling banyak diserang DDoS pada Q2 2025}

Peringkat 10 sumber serangan DDoS terbesar pada Q2 2025 juga mengalami beberapa perubahan dibandingkan dengan kuartal sebelumnya. Indonesia naik satu peringkat ke posisi pertama, Singapura naik dua peringkat ke posisi kedua, Hong Kong turun dua peringkat ke posisi ketiga, Argentina turun satu peringkat ke posisi keempat, dan Ukraina bertahan sebagai sumber serangan DDoS terbesar kelima. Rusia melonjak enam peringkat sebagai sumber terbesar keenam, diikuti oleh Ekuador yang melonjak tujuh peringkat. Vietnam naik satu peringkat sebagai sumber terbesar kedelapan. Belanda naik empat peringkat sebagai sumber serangan DDoS terbesar kesembilan, dan Thailand turun tiga peringkat sebagai sumber serangan DDoS terbesar kesepuluh.

^{Sumber utama serangan DDoS pada Q2 2025}

Penting untuk dicatat bahwa peringkat "sumber" ini mencerminkan lokasi node botnet, proksi, atau titik akhir VPN — bukan lokasi sebenarnya dari pelaku ancaman. Untuk serangan DDoS L3/4, di mana pemalsuan IP merajalela, kami melakukan geolokasi setiap paket ke pusat data Cloudflare yang pertama kali menyerap dan memblokirnya, memanfaatkan kehadiran kami di lebih dari 330 kota untuk akurasi yang benar-benar terperinci.

ASN (Nomor Sistem Otonom/Autonomous System Number) adalah pengenal unik yang ditetapkan ke jaringan atau sekelompok jaringan IP yang beroperasi di bawah kebijakan perutean tunggal di Internet. Digunakan untuk bertukar informasi perutean antara sistem yang menggunakan protokol seperti BGP (Border Gateway Protocol).

Untuk pertama kalinya dalam sekitar satu tahun, jaringan Hetzner (AS24940) yang berbasis di Jerman turun dari posisi pertama sebagai sumber serangan HTTP DDoS terbesar ke posisi ketiga. Sebagai gantinya, Drei (AS200373) yang berkantor pusat di Austria naik 6 peringkat sebagai sumber serangan HTTP DDoS nomor satu terbesar. DigitalOcean (AS14061) yang berkantor pusat di AS naik satu peringkat ke posisi kedua.

^{10 sumber ASN (Nomor Sistem Otonom) teratas serangan HTTP DDoS}

Seperti yang dapat dilihat pada bagan di atas, 8 dari 10 ASN yang terdaftar menawarkan mesin virtual (VM), hosting, atau layanan cloud yang menunjukkan penggunaan umum botnet berbasis VM. Botnet ini diperkirakan 5.000x lebih kuat dari botnet berbasis IoT. Hanya Drei (AS200373) dan ChinaNet Backbone (AS4134) yang terutama merupakan Penyedia Layanan Internet atau operator telekomunikasi tanpa penawaran VM/cloud publik yang signifikan.

^{Botnet berbasis IoT versus botnet berbasis VM}

Untuk membantu para penyedia hosting, penyedia komputasi cloud, dan semua penyedia layanan Internet dalam mengidentifikasi dan menghentikan akun pelaku penyalahgunaan yang melancarkan berbagai serangan ini, kami memanfaatkan perspektif unik Cloudflare guna menyediakan Umpan Ancaman Botnet DDoS gratis bagi Para Penyedia Layanan. Lebih dari 600 organisasi di seluruh dunia telah mendaftar untuk umpan ini, dan kami telah melihat kolaborasi hebat di seluruh komunitas untuk menghancurkan node botnet. Hal ini dimungkinkan berkat umpan ancaman yang memberikan penyedia layanan ini daftar alamat IP yang melanggar dari dalam Nomor Sistem Otonom mereka yang kami lihat meluncurkan serangan HTTP DDoS. Ini sepenuhnya gratis dan yang diperlukan hanyalah membuka akun Cloudflare gratis, mengautentikasi ASN melalui PeeringDB, dan kemudian mengambil intelijen ancaman melalui API.

Dengan panggilan API sederhana, penyedia layanan bisa mendapatkan daftar IP yang melanggar dari dalam jaringan mereka. Contoh respons tersedia di bawah ini.

{
  "result": [
    {
      "cidr": "127.0.0.1/32",
      "date": "2024-05-05T00:00:00Z",
      "offense_count": 10000
    },
    // ... other entries ...
  ],
  "success": true,
  "errors": [],
  "messages": []
}

^{Contoh respons dari API Umpan Ancaman Botnet DDoS Penyedia Layanan Internet gratis}

Pada Q2 2025, mayoritas (71%) serangan HTTP DDoS diluncurkan oleh botnet yang dikenal. Deteksi cepat dan pemblokiran berbagai serangan ini dimungkinkan sebagai hasil dari pengoperasian jaringan yang sangat besar dan pengamatan terhadap berbagai jenis serangan dan botnet. Dengan memanfaatkan intelijen ancaman waktu nyata, sistem kami mampu memberatkan botnet DDoS dengan sangat cepat, berkontribusi pada mitigasi yang lebih efektif. Bahkan jika botnet DDoS telah diinkriminalisasi saat hanya menargetkan satu situs web atau alamat IP, seluruh jaringan dan basis pelanggan kami segera terlindungi terhadapnya. Sistem intelijen ancaman waktu nyata ini beradaptasi dengan botnet saat mereka mengubah dan mengganti node.

^{Vektor serangan HTTP DDoS teratas: Q2 2025}

Pada Q2 2025, serangan banjir DNS merupakan vektor serangan L3/4 teratas yang mencakup hampir sepertiga dari semua serangan DDoS L3/4. Banjir SYN merupakan vektor serangan paling umum kedua, turun dari 31% di Q1 menjadi 27% di Q2. 

Di tempat ketiga, banjir UDP juga tumbuh secara signifikan, naik dari 9% di Q1 menjadi 13% di Q2. Banjir RST, bentuk lain serangan DDoS berbasis TCP, yang mencakup 5% dari semua serangan L3/4, merupakan vektor keempat yang paling umum. Melengkapi lima teratas, banjir SSDP naik ke posisi kelima pada 3% meskipun menurun dari 4,3% pada kuartal terakhir, tetapi cukup untuk menyingkirkan serangan Mirai yang sebelumnya lazim (yang turun dari 18% pada Q1 menjadi hanya 2% pada Q2) keluar dari lima teratas secara keseluruhan.

^{Vektor serangan DDoS L3/4 teratas: Q2 2024}

Rincian 3 vektor serangan DDoS L3/4 teratas

Berikut rincian mengenai 3 serangan DDoS L3/4 yang paling umum. Kami memberikan rekomendasi tentang bagaimana organisasi dapat menghindari menjadi elemen refleksi dan amplifikasi, dan juga rekomendasi tentang cara mempertahankan diri terhadap serangan ini sambil menghindari dampak pada lalu lintas yang sah. Pelanggan Cloudflare dilindungi dari serangan ini.

Serangan Banjir DNS

• Tipe: Flood (Banjir data)

• Cara kerjanya: Banjir DNS bertujuan untuk membanjiri server DNS dengan sejumlah besar kueri DNS—baik yang valid, acak, atau cacat—untuk menguras CPU, memori, atau bandwidth. Tidak seperti serangan amplifikasi, ini adalah banjir langsung yang ditujukan untuk menurunkan kinerja atau menyebabkan pemadaman, sering kali melalui port UDP 53, tetapi terkadang juga melalui TCP (terutama untuk zona yang mendukung DNS-over-TCP atau DNSSEC ).

• Cara mempertahankan diri terhadap serangan: Gunakan Cloudflare DNS sebagai utama atau sekunder, Cloudflare DNS Firewall dan/atau Cloudflare Magic Transit untuk menyerap dan mengurangi banjir kueri sebelum mencapai asal Anda. Jaringan global Cloudflare menangani puluhan juta permintaan DNS per detik dengan penyaringan DDoS bawaan dan caching, memblokir lalu lintas yang cacat atau berlebihan sambil menjawab permintaan yang sah.

• Cara menghindari dampak yang tidak diinginkan: Hindari memblokir semua lalu lintas DNS atau menonaktifkan port UDP 53, yang akan merusak resolusi normal. Andalkan perlindungan khusus DNS Cloudflare seperti Advanced DNS Protection, dan terapkan perlindungan yang mendukung DNSSEC untuk menangani banjir kueri berbasis TCP dengan aman.

Serangan Banjir SYN

• Tipe: Flood (Banjir data)

• Cara kerjanya: Dalam banjir SYN, pelaku ancaman mengirim sejumlah besar paket TCP SYN—sering kali dengan alamat IP palsu—untuk memulai koneksi yang tidak pernah selesai. Hal ini menyebabkan sistem target memiliki koneksi setengah terbuka, menghabiskan memori dan sumber daya pelacakan koneksi, berpotensi menghabiskan batas server dan mencegah klien sebenarnya terhubung.

• Cara bertahan terhadap serangan: Gunakan Cloudflare Magic Transit untuk mencegat dan mengurangi banjir TCP SYN di tepi jaringan. Cloudflare memanfaatkan cookie SYN, pelacakan koneksi, dan analisis perilaku untuk membedakan klien asli dari sumber palsu atau berbahaya, memastikan koneksi TCP yang sah diselesaikan dengan sukses. Menggunakan layanan CDN/WAF Cloudflare atau Cloudflare Spectrum yang keduanya merupakan layanan proxy terbalik untuk HTTP atau TCP. Menggunakan proksi terbalik pada dasarnya menghilangkan kemungkinan dampak serangan DDoS berbasis TCP.

• Cara menghindari dampak yang tidak diinginkan: Memblokir semua lalu lintas SYN atau menerapkan batas waktu yang agresif dapat memblokir pengguna sebenarnya. Sebaliknya, andalkan sistem perlindungan TCP Lanjutan Cloudflare, yang menggunakan pembentukan laju SYN, deteksi anomali, dan penyaringan paket untuk mengurangi serangan tanpa memengaruhi koneksi klien asli.

Serangan DDoS UDP

• Tipe: Flood (Banjir data)

• Cara kerjanya: Sejumlah besar paket UDP dikirim ke berbagai port yang acak atau spesifik pada satu atau beberapa alamat IP target. Ia mungkin berupaya memenuhi sambungan Internet atau membanjiri peralatan internalnya dengan paket yang lebih banyak daripada yang dapat ditanganinya guna menimbulkan gangguan atau pemadaman.

• Cara mempertahankan diri terhadap serangan: Terapkan perlindungan DDoS berbasis cloud yang dapat melacak sidik jari lalu lintas serangan secara waktu nyata seperti Cloudflare Magic Transit atau Cloudflare Spectrum, terapkan pembatasan tingkat cerdas pada lalu lintas UDP, dan hentikan lalu lintas UDP yang tidak diinginkan secara menyeluruh dengan Magic Firewall.

• Cara menghindari dampak yang tidak diinginkan: Pemfilteran agresif dapat mengganggu layanan UDP yang sah seperti VoIP, konferensi video, atau game online. Terapkan ambang batas dengan hati-hati.

Di antara ancaman DDoS L3/4 yang muncul pada Q2 2025, banjir Teeworlds mengalami lonjakan terbesar. Serangan ini melonjak 385% QoQ, diikuti oleh banjir RIPv1 yang melonjak sebesar 296%. Banjir RDP meningkat sebesar 173%, dan banjir Demon Bot meningkat sebesar 149%. Bahkan banjir VxWorks yang terhormat kembali terjadi, naik 71% dari kuartal ke kuartal. Peningkatan dramatis ini menyoroti eksperimen berkelanjutan para pelaku ancaman dengan protokol lama dan kurang dikenal untuk menghindari pertahanan standar.

^{Ancaman-ancaman utama yang muncul pada Q2 2025}

Rincian ancaman utama yang muncul

Berikut rincian tentang ancaman yang muncul pada Q2 2025, sebagian besar merupakan daur ulang vektor serangan yang sangat lama. Kami memberikan rekomendasi tentang bagaimana organisasi dapat menghindari menjadi elemen refleksi dan amplifikasi, dan juga rekomendasi tentang cara mempertahankan diri terhadap serangan ini sambil menghindari dampak pada lalu lintas yang sah. Pelanggan Cloudflare dilindungi dari serangan ini.

• Tipe: Flood (Banjir data)

• Cara kerjanya: Teeworlds adalah game tembak-menembak multipemain 2D bertempo cepat dan bersumber terbuka yang menggunakan protokol berbasis UDP khusus untuk permainan waktu nyata. Pelaku ancaman membanjiri server permainan target dengan paket UDP palsu atau berlebihan yang meniru tindakan dalam permainan atau upaya koneksi. Hal ini dapat membebani sumber daya server dan menyebabkan kelambatan atau pemadaman.

• Cara bertahan terhadap serangan: Gunakan Cloudflare Spectrum atau Cloudflare Magic Transit untuk melindungi server. Cloudflare secara otomatis mendeteksi dan mengurangi jenis serangan ini menggunakan sidik jari waktu nyata, memblokir lalu lintas serangan namun tetap memperbolehkan pemain sungguhan untuk masuk. Magic Transit juga menyediakan kemampuan firewall tingkat paket, Magic Firewall yang dapat digunakan untuk membuat perlindungan khusus.

• Cara menghindari dampak yang tidak diinginkan: Saat membuat aturan khusus, hindari memblokir atau melakukan pembatasan tingkat port UDP 8303 secara langsung karena dapat mengganggu permainan secara keseluruhan. Sebaliknya, andalkan layanan deteksi dan mitigasi cerdas untuk menghindari dampak pada pengguna yang sah.

^{Tangkapan Layar Teeworlds Jungle. Sumber: Wikipedia}

Serangan DDoS RIPv1

• Tipe: Pantulan + Amplifikasi (Rendah)

• Cara kerjanya: Memanfaatkan protokol Informasi Perutean versi 1 (RIPv1), yaitu protokol perutean jarak-vektor model lama yang tanpa autentikasi dan menggunakan port UDP/520. Pelaku ancaman mengirimkan pembaruan perutean palsu untuk membanjiri atau membingungkan jaringan.

• Cara mencegah menjadi elemen pantulan/amplifikasi: Nonaktifkan RIPv1 pada router. Gunakan RIPv2 dengan autentikasi apabila perutean diperlukan.

• Cara melindungi diri dari serangan: Blokir lalu lintas masuk UDP/520 dari jaringan yang tidak tepercaya. Pantau pembaruan perutean yang tidak diharapkan.

• Cara menghindari dampak yang tidak diinginkan: Sebagian besar RIPv1 sudah usang; penonaktifan protokol ini umumnya aman. Jika sistem lama mengandalkan protokol ini, validasikan perilaku perutean sebelum melakukan perubahan.

Serangan DDoS RDP

• Tipe: Pantulan + Amplifikasi

• Cara kerjanya: Protokol Desktop Jarak Jauh (RDP) digunakan untuk akses jarak jauh ke sistem Windows dan biasanya berjalan melalui port TCP 3389. Pada beberapa pengaturan yang salah konfigurasi atau lama, RDP dapat merespons upaya koneksi yang tidak diautentikasi, sehingga memungkinkan penyalahgunaan untuk refleksi atau amplifikasi. Pelaku ancaman mengirim paket inisiasi RDP palsu ke server yang terekspos, menyebabkan mereka membalas ke korban, sehingga menghasilkan lalu lintas yang tidak diinginkan dalam jumlah besar.

• Cara bertahan terhadap serangan: Gunakan Cloudflare Magic Transit untuk melindungi infrastruktur jaringan Anda. Magic Transit menyediakan perlindungan DDoS L3/L4, menyaring lalu lintas RDP palsu atau cacat sebelum mencapai asal Anda. Untuk penyalahgunaan lapisan aplikasi yang ditargetkan, Cloudflare Gateway atau Akses Jaringan Zero Trust (ZTNA) dapat membantu mengamankan akses desktop jarak jauh di balik terowongan yang diautentikasi.

• Cara menghindari dampak yang tidak diinginkan: Jangan blokir TCP/3389 secara global jika RDP digunakan secara aktif. Sebaliknya, batasi akses RDP ke IP yang diketahui atau jaringan internal, atau gunakan Cloudflare Tunnel dengan Akses Jaringan Zero Trust untuk menghilangkan paparan publik sepenuhnya sambil mempertahankan akses aman bagi pengguna yang sah.

Serangan DDoS DemonBot

• Tipe: Banjir berbasis Botnet

• Cara kerjanya: DemonBot adalah jenis perangkat lunak berbahaya yang menginfeksi sistem berbasis Linux—terutama perangkat IoT yang tidak aman—melalui port terbuka atau kredensial yang lemah. Setelah terinfeksi, perangkat menjadi bagian dari botnet yang dapat meluncurkan banjir UDP, TCP, dan lapisan aplikasi bervolume tinggi. Serangan biasanya didorong oleh perintah dan kontrol (C2) dan dapat menghasilkan lalu lintas volumetrik yang signifikan, sering kali menargetkan layanan gaming, hosting, atau perusahaan. Untuk menghindari infeksi, manfaatkan perangkat lunak antivirus dan penyaringan domain. 

• Cara bertahan melawan serangan: Gunakan Cloudflare Magic Transit untuk menyerap dan menyaring banjir lapisan jaringan skala besar sebelum mencapai infrastruktur Anda. Analisis lalu lintas waktu nyata dan deteksi berbasis tanda tangan Cloudflare menetralkan lalu lintas yang berasal dari perangkat yang terinfeksi DemonBot. Untuk layanan Lapisan aplikasi, perlindungan DDoS Cloudflare dan WAF dapat mengurangi banjir HTTP yang ditargetkan dan penyalahgunaan koneksi.

• Cara menghindari dampak yang tidak diinginkan: Daripada memblokir jenis lalu lintas atau port secara luas, andalkan mitigasi adaptif Cloudflare untuk membedakan antara pengguna yang sah dan lalu lintas botnet. Kombinasikan dengan penyaringan reputasi IP, pemblokiran geografis, dan pembatasan tingkat untuk mengurangi positif palsu dan menjaga ketersediaan layanan.

Serangan DDoS Banjir VxWorks

• Tipe: Banjir (berbasis IoT)

• Cara kerjanya: VxWorks adalah sistem operasi waktu nyata (RTOS) yang digunakan dalam jutaan perangkat tertanam dan IoT (misalnya, router, pengontrol industri). Perangkat yang menjalankan versi VxWorks yang kedaluwarsa atau salah konfigurasi dapat disusupi dan digunakan untuk meluncurkan serangan DDoS. Setelah terinfeksi — sering kali melalui eksploitasi publik atau kredensial yang lemah — mereka mengirimkan lalu lintas UDP, TCP, atau ICMP dalam jumlah besar untuk membanjiri target, mirip dengan botnet IoT tradisional.

• Cara bertahan melawan serangan: Gunakan Cloudflare Magic Transit untuk memblokir lalu lintas volumetrik di tepi jaringan. Cloudflare menggunakan sidik jari waktu nyata dan heuristik hak milik untuk mengidentifikasi lalu lintas dari perangkat VxWorks yang disusupi dan memitigasinya secara waktu nyata. Untuk layanan aplikasi,layanan mitigasi DDoS dan Gateway Cloudflare memberikan perlindungan tambahan terhadap penyalahgunaan tingkat protokol.

• Cara menghindari dampak yang tidak diinginkan: Hindari pemblokiran lalu lintas UDP atau ICMP yang berlebihan, karena dapat mengganggu diagnostik yang sah atau layanan waktu nyata. Sebaliknya, gunakan alat penyaringan cerdas Cloudflare, pembatasan tingkat, dan reputasi geo/IP untuk mengurangi serangan dengan aman sekaligus menghindari dampak pada lalu lintas yang sah.

^{Alur pembuatan sidik jari waktu nyata Cloudflare}

Sebagian besar serangan DDoS berukuran kecil dan pendek. Pada Q2 2025, 94% serangan DDoS L3/4 tidak melebihi 500 Mbps. Demikian pula, sekitar 85% serangan DDoS L3/4 tidak melebihi 50.000 pps. Mayoritas serangan HTTP DDoS juga kecil, 65% tetap di bawah 50K rps. Namun, “kecil” adalah istilah relatif.

Server modern rata-rata biasanya mengacu pada mesin fisik atau virtual serbaguna dengan sekitar 4–8 inti CPU (misalnya Intel Xeon Silver), RAM 16–64 GB, dan NIC 1 Gbps, menjalankan OS Linux seperti Ubuntu atau CentOS dengan NGINX atau perangkat lunak serupa. Pengaturan ini dapat menangani ~100.000–500.000 pps, throughput hingga ~940 Mbps, dan sekitar 10.000–100.000 rps untuk konten statis atau 500–1.000 rps untuk aplikasi dinamis yang didukung basis data, tergantung pada penyetelan dan beban kerja.

Dengan asumsi server tidak dilindungi oleh layanan perlindungan DDoS berbasis cloud, jika server menjadi sasaran serangan DDoS "kecil" selama tingkat lalu lintas puncak, kemungkinan besar server tidak akan mampu mengatasinya. Bahkan serangan DDoS “kecil” dapat menyebabkan dampak signifikan pada server yang tidak terlindungi.

^{Ukuran dan durasi serangan DDoS pada Q2 2025}

Meskipun sebagian besar serangan DDoS berukuran kecil, serangan DDoS hipervolumetrik meningkat dalam ukuran dan frekuensi. 6 dari setiap 100 serangan HTTP DDoS melampaui 1 juta rps, dan 5 dari setiap 10.000 serangan L3/4 DDoS melampaui 1 Tbps — peningkatan 1.150% QoQ.

^{Serangan terbesar di dunia: 7,3 Tbps}

Sebagian besar serangan DDoS berdurasi pendek, bahkan yang terbesar dan paling intens sekalipun. Pelaku ancaman sering kali mengandalkan ledakan singkat lalu lintas terkonsentrasi — kadang-kadang berlangsung hanya 45 detik seperti yang terlihat pada serangan DDoS 7,3 Tbps yang monumental — dalam upaya untuk menghindari deteksi, membanjiri target, dan menyebabkan gangguan maksimum sebelum pertahanan dapat sepenuhnya aktif. Taktik serangan singkat dan berintensitas tinggi ini membuat deteksi dan mitigasi lebih menantang dan menggarisbawahi perlunya perlindungan yang selalu aktif dan waktu nyata. Untungnya, pertahanan DDoS otonom Cloudflare segera aktif.

Di Cloudflare, kami memiliki misi untuk membantu membangun Internet yang lebih baik. Bagian dari misi tersebut adalah menawarkan perlindungan DDoS gratis dan tak terbatas, tanpa memandang ukuran, durasi, dan kuantitas. Kami tidak hanya bertahan terhadap serangan DDoS. Pertahanan terbaik adalah serangan yang baik, dan dengan menggunakan Umpan Ancaman Botnet ISP gratis kami, kita berkontribusi pada penghapusan botnet. 

Meskipun masih banyak yang menerapkan perlindungan secara reaktif atau mengandalkan solusi yang sudah ketinggalan zaman, data kami menunjukkan keamanan yang proaktif dan selalu aktif jauh lebih efektif. Didukung oleh jaringan global dengan kapasitas 388 Tbps di lebih dari 330 kota, kami menyediakan pertahanan otomatis, in-line, dan teruji dalam pertempuran melawan semua jenis serangan DDoS.