Pada pertengahan Mei 2025, Cloudflare memblokir serangan DDoS terbesar yang pernah tercatat, yaitu serangan 7,3 terabita per detik (Tbps) yang mencengangkan. Hal ini terjadi tak lama setelah penerbitan laporan ancaman DDoS kami untuk Kuartal 1 2025 pada tanggal 27 April 2025, yang dalam laporan tersebut, kami menyoroti serangan yang mencapai 6,5 Tbps dan 4,8 miliar paket per detik (pps). Serangan 7,3 Tbps ini 12% lebih besar dari rekor kami sebelumnya dan 1 Tbps lebih besar dari serangan terbaru yang dilaporkan oleh reporter keamanan siber Brian Krebs di KrebsOnSecurity.
Rekor dunia baru: Serangan DDoS 7,3 Tbps diblokir secara otonom oleh Cloudflare
Serangan tersebut menargetkan pelanggan Cloudflare, sebuah penyedia hosting yang menggunakan Magic Transit untuk melindungi jaringan IP mereka. Makin banyak penyedia hosting dan infrastruktur penting Internet yang telah menjadi target serangan DDoS, sebagaimana yang kami laporkan dalam laporan ancaman DDoS terbaru kami. Gambar di bawah adalah kampanye serangan pada bulan Januari dan Februari 2025 yang melancarkan lebih dari 13,5 juta serangan DDoS terhadap infrastruktur Cloudflare dan penyedia hosting yang dilindungi oleh Cloudflare.
Kampanye serangan DDoS menargetkan infrastruktur Cloudflare dan penyedia hosting yang dilindungi oleh Cloudflare
Mari kita mulai dengan beberapa data statistik, lalu menyelami cara sistem kami mendeteksi dan memitigasi serangan ini.
Serangan 7,3 Tbps menghasilkan 37,4 terabita serangan dalam 45 detik
Angka 37,4 terabita bukan nilai yang mencengangkan dalam skala dewasa ini, tetapi menghasilkan 37,4 terabita serangan hanya dalam waktu 45 detik adalah hal yang luar biasa. Hal tersebut setara dengan membanjiri jaringan Anda dengan lebih dari 9.350 film HD berdurasi penuh, atau melakukan streaming 7.480 jam video definisi tinggi secara nonstop (hampir setara dengan satu tahun menonton film seri secara terus-menerus) dalam waktu hanya 45 detik. Jika seandainya data tersebut adalah musik, maka jumlah itu setara dengan mengunduh sekitar 9,35 juta lagu dalam waktu kurang dari satu menit, yang cukup untuk mengisi waktu pendengar selama 57 tahun berturut-turut. Bayangkan mengambil 12,5 juta foto beresolusi tinggi pada smartphone Anda dengan media penyimpanan yang tidak pernah habis. Jika Anda mengambil satu foto setiap hari, maka jumlah tersebut setara dengan pengambilan foto selama 4.000 tahun, tetapi dilakukan dalam 45 detik.
Serangan DDoS 7,3 Tbps yang memecahkan rekor menghasilkan 37,4 TB dalam 45 detik
Serangan tersebut membombardir rata-rata 21.925 port tujuan dari satu alamat IP yang dimiliki dan digunakan oleh pelanggan kami, dengan puncaknya pada 34.517 port tujuan per detik. Serangan tersebut juga berasal dari distribusi port sumber yang serupa.
Distribusi port tujuan
Serangan 7,3 Tbps adalah serangan DDoS multivektor. Sekitar 99,996% lalu lintas serangan dikategorikan sebagai banjir UDP. Namun, sisanya sebesar 0,004%, yang mencakup 1,3 GB lalu lintas serangan, diidentifikasi sebagai serangan pantulan QOTD, serangan pantulan Echo, serangan pantulan NTP, serangan banjir UDP Mirai, banjir Portmap, dan serangan amplifikasi RIPv1.
Vektor serangan selain banjir UDP
Perincian vektor serangan
Berikut detail tentang berbagai vektor serangan yang teridentifikasi dalam serangan ini, cara organisasi dapat menghindari menjadi peserta pemantulan dan amplifikasi serangan, serta rekomendasi cara untuk melindungi diri dari berbagai serangan ini sambil menghindari dampak terhadap lalu lintas yang sah. Pelanggan Cloudflare dilindungi dari serangan ini.
Serangan DDoS UDP
Tipe: Flood (Banjir data)
Cara kerjanya: Sejumlah besar paket UDP dikirim ke berbagai port yang acak atau spesifik pada satu atau beberapa alamat IP target. Serangan ini dapat berupaya membuat sambungan Internet menjadi jenuh atau membanjiri peralatan dalam jalur Internet dengan jumlah paket yang melebihi kemampuan penanganan peralatan tersebut.
Cara melindungi diri dari serangan: Sebarkan perlindungan DDoS volumetrik berbasis cloud, terapkan pembatasan tingkat yang cerdas pada lalu lintas UDP, dan buang seluruh lalu lintas UDP yang tidak diinginkan.
Cara menghindari dampak yang tidak diinginkan: Pemfilteran agresif dapat mengganggu layanan UDP yang sah seperti VoIP, konferensi video, atau game online. Terapkan ambang batas dengan hati-hati.
Serangan DDoS QOTD
Tipe: Pantulan + Amplifikasi
Cara kerjanya: Menyalahgunakan Protokol Quote of the Day (QOTD), yang aktif pada port UDP 17 dan merespons dengan kutipan atau pesan singkat. Penyerang mengirim permintaan QOTD ke server yang terekspos dari alamat IP yang dipalsukan sehingga menyebabkan korban dibanjiri oleh respons yang diamplifikasi.
Cara mencegah menjadi elemen pantulan/amplifikasi: Nonaktifkan layanan QOTD dan blokir port UDP/17 pada semua server dan firewall.
Cara melindungi diri dari serangan: Blokir lalu lintas masuk di UDP/17. Buang lonjakan permintaan UDP paket kecil yang tidak normal.
Cara menghindari dampak yang tidak diinginkan: QOTD adalah protokol diagnostik/debugging yang sudah usang dan tidak digunakan oleh aplikasi modern. Menonaktifkan layanan tersebut tidak akan berakibat negatif pada layanan yang sah.
Serangan DDoS Echo
Tipe: Pantulan + Amplifikasi
Cara kerjanya: Memanfaatkan protokol Echo (port UDP/TCP 7) yang membalas data yang diterima dengan data yang sama. Penyerang memalsukan alamat IP korban sehingga menyebabkan perangkat memantulkan kembali data tersebut sehingga mengamplifikasi serangan.
Cara mencegah menjadi elemen pantulan/amplifikasi: Nonaktifkan layanan Echo di semua perangkat. Blokir port UDP/TCP 7 di jaringan tepi.
Cara melindungi diri dari serangan: Nonaktifkan layanan Echo dan blokir port TCP/UDP 7 pada perimeter jaringan.
Cara menghindari dampak yang tidak diinginkan: Echo adalah alat diagnostik yang sudah usang; menonaktifkan atau memblokirnya tidak akan berakibat negatif pada sistem modern.
Serangan DDoS NTP
Tipe: Pantulan + Amplifikasi
Cara kerjanya: Menyalahgunakan protokol NTP (Network Time Protocol) yang digunakan untuk menyinkronkan waktu melalui Internet. Penyerang mengeksploitasi perintah monlist pada server NTP versi lama (UDP/123) yang mengembalikan daftar besar berisi koneksi terbaru. Permintaan yang dipalsukan menyebabkan amplifikasi pantulan.
Cara mencegah menjadi elemen pantulan/amplifikasi: Tingkatkan atau konfigurasikan server NTP untuk menonaktifkan monlist. Batasi permintaan NTP hanya untuk alamat IP yang dipercaya.
Cara melindungi diri dari serangan: Nonaktifkan perintah monlist, perbarui perangkat lunak NTP, dan filter atau batasi laju lalu lintas UDP/123.
Cara menghindari dampak yang tidak diinginkan: Menonaktifkan monlist tidak berpengaruh terhadap sinkronisasi waktu. Namun, pemfilteran atau pemblokiran UDP/123 dapat memengaruhi sinkronisasi waktu jika dilakukan terlalu meluas. Pastikan hanya sumber tidak tepercaya atau eksternal yang diblokir.
Serangan UDP Mirai
Tipe: Flood (Banjir data)
Cara kerjanya: Botnet Mirai, yang terdiri dari perangkat IoT yang telah dikuasai, membanjiri korban dengan menggunakan paket UDP acak atau yang spesifik untuk layanan tertentu (misalnya, DNS, layanan game).
Cara mencegah agar tidak menjadi bagian dari botnet: Amankan perangkat IoT Anda, ubah kata sandi default, tingkatkan firmware ke versi terbaru, lalu ikuti praktik terbaik keamanan IoT agar terhindar dari menjadi bagian botnet. Jika memungkinkan, pantau lalu lintas keluar untuk mendeteksi kejanggalan.
Cara melindungi diri dari serangan: Terapkan perlindungan DDoS volumetrik berbasis cloud dan pembatasan tingkat untuk lalu lintas UDP.
Cara menghindari dampak yang tidak diinginkan: Pertama, pahami jaringan Anda dan jenis lalu lintas yang Anda terima, khususnya protokol, sumbernya, dan tujuannya. Identifikasikan layanan yang berjalan melalui UDP yang perlu dilindungi dari dampak. Setelah mengidentifikasi layanan tersebut, Anda dapat menerapkan pembatasan tingkat dengan cara yang dapat mengecualikan berbagai titik akhir tersebut, atau memperhitungkan tingkat lalu lintas normal Anda. Jika tidak, pembatasan tingkat laju lalu lintas UDP secara agresif dapat berdampak terhadap lalu lintas sah Anda dan berdampak terhadap layanan yang berjalan melalui UDP seperti panggilan VoIP dan lalu lintas VPN.
Serangan DDoS Portmap
Tipe: Pantulan + Amplifikasi
Cara kerjanya: Menargetkan layanan Portmapper (UDP/111) yang digunakan oleh aplikasi berbasis Remote Procedure Call (RPC) untuk mengidentifikasi layanan yang tersedia. Permintaan yang dipalsukan menghasilkan respons pantulan.
Cara mencegah menjadi elemen pantulan/amplifikasi: Nonaktifkan layanan Portmapper jika tidak diperlukan. Jika diperlukan secara internal, batasi hanya untuk alamat IP yang dipercaya.
Cara melindungi diri dari serangan: Nonaktifkan layanan Portmapper jika tidak diperlukan, blokir lalu lintas masuk di port UDP/111. Gunakan Daftar Kontrol Akses (ACL/Access Control List) atau firewall untuk membatasi akses ke layanan RPC yang sudah diketahui.
Cara menghindari dampak yang tidak diinginkan: Menonaktifkan Portmapper dapat mengganggu aplikasi yang mengandalkan RPC (misalnya, protokol Network File System). Validasikan ketergantungan layanan sebelum dihapus.
Serangan DDoS RIPv1
Tipe: Pantulan + Amplifikasi (Rendah)
Cara kerjanya: Memanfaatkan protokol Informasi Perutean versi 1 (RIPv1), yaitu protokol perutean jarak-vektor model lama yang tanpa autentikasi dan menggunakan port UDP/520. Penyerang mengirimkan pembaruan perutean yang dipalsukan untuk membanjiri atau mengacaukan jaringan.
Cara mencegah menjadi elemen pantulan/amplifikasi: Nonaktifkan RIPv1 pada router. Gunakan RIPv2 dengan autentikasi apabila perutean diperlukan.
Cara melindungi diri dari serangan: Blokir lalu lintas masuk UDP/520 dari jaringan yang tidak tepercaya. Pantau pembaruan perutean yang tidak diharapkan.
Cara menghindari dampak yang tidak diinginkan: Sebagian besar RIPv1 sudah usang; penonaktifan protokol ini umumnya aman. Jika sistem lama mengandalkan protokol ini, validasikan perilaku perutean sebelum melakukan perubahan.
Semua rekomendasi di sini harus dipertimbangkan dengan konteks dan perilaku dari setiap jaringan atau aplikasi yang unik untuk menghindari dampak yang tidak diinginkan terhadap lalu lintas yang sah.
Serangan yang berasal dari 122.145 lebih alamat IP sumber yang mencakup 5.433 Sistem Otonom (AS/Autonomous System) di 161 negara.
Hampir separuh dari lalu lintas serangan berasal dari Brasil dan Vietnam, yang masing-masing berjumlah sekitar seperempat. Sepertiga lainnya, secara gabungan, bersumber dari Taiwan, Tiongkok, Indonesia, Ukraina, Ekuador, Thailand, Amerika Serikat, dan Arab Saudi.
Peringkat 10 teratas negara sumber lalu lintas serangan
Jumlah rata-rata alamat IP sumber yang unik per detik adalah 26.855 dengan nilai puncak 45.097.
Distribusi alamat IP sumber yang unik
Serangan bersumber dari 5.433 jaringan (AS) yang berbeda. Telefonica Brazil (AS27699) menyumbang porsi terbesar lalu lintas serangan DDoS, yakni bertanggung jawab atas 10,5% dari keseluruhan serangan. Viettel Group (AS7552) menyusul dengan angka yang mendekati, yaitu 9,8%, sedangkan China Unicom (AS4837) dan Chunghwa Telecom (AS3462) masing-masing menyumbang sebesar 3,9% dan 2,9%. China Telecom (AS4134) menyumbang 2,8% dari lalu lintas tersebut. ASN lainnya dalam peringkat 10 teratas meliputi Claro NXT (AS28573), VNPT Corp (AS45899), UFINET Panama (AS52468), STC (AS25019), dan FPT Telecom Company (AS18403), yang masing-masing menyumbang antara 1,3% dan 1,8% dari total lalu lintas serangan DDoS.
Peringkat 10 teratas sistem otonom sumber
Feed gratis tentang ancaman botnet
Untuk membantu para penyedia hosting, penyedia komputasi cloud, dan semua penyedia layanan Internet dalam mengidentifikasi dan menghentikan akun pelaku penyalahgunaan yang melancarkan berbagai serangan ini, kami memanfaatkan perspektif unik Cloudflare guna menyediakan Feed gratis tentang Ancaman Botnet DDoS bagi Para Penyedia Layanan. Lebih dari 600 organisasi di seluruh dunia telah mendaftar untuk feed ini. Feed ini memberikan daftar alamat IP penyerang kepada para penyedia layanan dari dalam Nomor Sistem Otonom (ASN) penyedia tersebut yang teridentifikasi oleh kami sebagai pelaku yang melancarkan serangan DDoS HTTP. Feed ini sepenuhnya gratis dan dapat diperoleh cukup dengan membuka akun gratis Cloudflare, melakukan autentikasi Nomor Sistem Otonom (ASN) melalui PeeringDB, kemudian mengambil feed melalui API.
Cara serangan dideteksi dan dimitigasi
Menggunakan sifat terdistribusi dari serangan DDoS untuk melawannya
Alamat IP yang diserang disiarkan dari jaringan Cloudflare menggunakan anycast global. Artinya, paket serangan yang menargetkan IP dirutekan ke pusat data Cloudflare yang terdekat. Dengan menggunakan anycast global, kami dapat menyebarkan lalu lintas serangan dan menggunakan sifat terdistribusi serangan untuk melawan serangan itu sendiri sehingga kami dapat memitigasi serangan di dekat node botnet sambil tetap melayani pengguna dari pusat data yang terdekat dengan pengguna. Dalam kasus serangan ini, serangan terdeteksi dan dimitigasi di 477 pusat data di 293 lokasi di seluruh dunia. Di lokasi dengan lalu lintas tinggi, kami hadir di beberapa pusat data.
Deteksi dan mitigasi DDoS otonom
Jaringan global Cloudflare menjalankan setiap layanan di setiap pusat data. Layanan tersebut mencakup sistem deteksi dan mitigasi DDoS kami. Artinya, serangan dapat dideteksi dan dimitigasi sepenuhnya secara otonom, terlepas dari sumber asal serangan.
Saat paket masuk ke pusat data kami, paket tersebut akan mengalami penyeimbangan beban secara cerdas ke server yang tersedia. Kami kemudian mengambil sampel paket secara langsung dari dalam kernel Linux, dari eXpress Data Path (XDP) dengan menggunakan program Berkley Packer Filter yang diperluas (eBPF) untuk mengarahkan sampel paket ke ruang pengguna tempat kami menjalankan analisis.
Sistem kami menganalisis sampel paket untuk mengidentifikasi pola yang mencurigakan berdasarkan mesin heuristik unik kami yang bernama dosd (denial of service daemon). Dosd mencari pola dalam sampel paket, seperti menemukan kesamaan di bidang header paket dan mencari anomali paket, serta menerapkan teknik eksklusif lainnya.
Diagram alir pembuatan sidik jari secara real-time
Bagi pelanggan kami, sistem sidik jari yang kompleks ini dienkapsulasi sebagai kelompok aturan terkelola yang mudah digunakan, Aturan Terkelola Perlindungan DDoS.
Saat pola dideteksi oleh dosd, sistem akan menghasilkan beberapa permutasi dari sidik jari tersebut untuk menemukan sidik jari paling akurat yang akan memiliki efektivitas dan akurasi mitigasi tertinggi, yaitu untuk mencoba mencocokkan secara tepat dengan lalu lintas serangan tanpa berdampak pada lalu lintas yang sah.
Diagram sistem Perlindungan DDoS Cloudflare
Kami menghitung berbagai sampel paket yang cocok dengan setiap permutasi sidik jari, lalu dengan menggunakan algoritma streaming data, kami menampilkan sidik jari dengan hit yang terbanyak. Ketika ambang batas aktivasi terlampaui, untuk menghindari positif palsu, aturan mitigasi yang menggunakan sintaksis sidik jari dikompilasi sebagai program eBPF untuk membuang paket yang cocok dengan pola serangan. Setelah serangan berakhir, aturan tersebut akan habis waktunya dan otomatis dihapus.
Sebagaimana yang kami sebutkan, setiap server mendeteksi dan memitigasi serangan secara otonom penuh sehingga menjadikan jaringan kami sangat efisien, tangguh, dan cepat dalam memblokir serangan. Selain itu, setiap server menyebarkan informasi (multicast) tentang permutasi sidik jari teratas di dalam pusat data, dan secara global. Pembagian intelijen ancaman real-time ini membantu meningkatkan efektivitas mitigasi di dalam pusat data dan secara global.
Sistem kami berhasil memblokir serangan DDoS 7,3 Tbps, yang memecahkan rekor, secara otonom sepenuhnya tanpa membutuhkan campur tangan manusia, tanpa memicu peringatan apa pun, dan tanpa menyebabkan insiden apa pun. Hal ini menunjukkan efektivitas sistem perlindungan DDoS kami yang terdepan di dunia. Kami membangun sistem ini sebagai bagian dari misi kami untuk membantu mengembangkan Internet yang lebih baik, dengan komitmen menyediakan perlindungan DDoS secara gratis tanpa batasan kuota.