Welkom bij de 24e kwartaaleditie van het Cloudflare DDoS Threat Report. In dit rapport biedt Cloudforce One een uitgebreide analyse van het veranderende dreigingslandschap van Distributed Denial of Service (DDoS)-aanvallen, op basis van de gegevens uit het Cloudflare-netwerk. In deze editie richten we ons op het vierde kwartaal van 2025 en delen we ook algemene gegevens voor 2025.
Het vierde kwartaal van 2025 werd gekenmerkt door een ongekende aanval van het Aisuru-Kimwolf-botnet, die de bijnaam 'The Night Before Christmas' DDoS-aanval kreeg. De campagne was gericht op zowel Cloudflare-klanten als het Cloudflare-dashboard en de Cloudflare-infrastructuur met hypervolumetrische HTTP DDoS-aanvallen die snelheden van meer dan 200 miljoen verzoeken per seconde (rps) overschreden, slechts enkele weken na een recordbrekende aanval van 31,4 Terabits per seconde (Tbps).
DDoS-aanvallen namen in 2025 met 121% toe en gemiddeld werden elk uur 5.376 aanvallen automatisch tegengehouden.
In het laatste kwartaal van 2025 steeg Hongkong 12 plaatsen en werd daarmee de op één na meest door DDoS-aanvallen getroffen plek ter wereld. Het Verenigd Koninkrijk maakte ook een opvallende sprong van 36 plaatsen en kwam uit op de zesde plaats van meest aangevallen landen.
Geïnfecteerde Android-tv's – onderdeel van het Aisuru-Kimwolf-botnet – bestookten het Cloudflare-netwerk met hypervolumetrische HTTP DDoS-aanvallen. Daarbij werd vooral de telecomsector het zwaarste getroffen.
Sterke toename van DDoS-aanvallen in 2025
In 2025 verdubbelde het totale aantal DDoS-aanvallen ruimschoots tot maar liefst 47,1 miljoen. Dergelijke aanvallen zijn de afgelopen jaren explosief toegenomen: tussen 2023 en 2025 steeg het aantal DDoS-aanvallen met 236%.
In 2025 hield Cloudflare gemiddeld 5.376 DDoS-aanvallen per uur tegen. Hiervan waren 3.925 DDoS-aanvallen op de netwerklaag en 1.451 HTTP DDoS-aanvallen.
DDoS-aanvallen op de netwerklaag meer dan verdrievoudigd in 2025
De sterkste groei was te zien bij DDoS-aanvallen op de netwerklaag, die meer dan verdrievoudigden ten opzichte van het vorige jaar. Cloudflare wist in 2025 34,4 miljoen DDoS-aanvallen op de netwerklaag tegen te houden, vergeleken met 11,4 miljoen in 2024.
Een aanzienlijk deel van de aanvallen op de netwerklaag – ongeveer 13,5 miljoen – was gericht op de wereldwijde internetinfrastructuur die werd beschermd door Cloudflare Magic Transit, en direct op de eigen infrastructuur van Cloudflare, als onderdeel van een 18 dagen durende DDoS-aanvalscampagne in het eerste kwartaal van 2025. Van deze aanvallen waren er 6,9 miljoen gericht op klanten van Magic Transit, terwijl de overige 6,6 miljoen rechtstreeks op Cloudflare waren gericht.
Deze aanval was een multi-vector DDoS-campagne die onder andere bestond uit SYN flood attacks, door Mirai gegenereerde DDoS-aanvallen en SSDP amplification attacks. Onze systemen hebben deze aanvallen automatisch ontdekt en ondervangen. Sterker nog, we ontdekten de aanvalscampagne pas toen we ons DDoS-dreigingsrapport voor het eerste kwartaal van 2025 aan het samenstellen waren – een voorbeeld van hoe effectief de DDoS-bestrijding van Cloudflare is!
In het laatste kwartaal van 2025 nam het aantal DDoS-aanvallen met 31% toe ten opzichte van het kwartaal daarvoor en met 58% ten opzichte van 2024. DDoS-aanvallen op de netwerklaag hebben die groei aangewakkerd. In het vierde kwartaal van 2025 bestond 78% van de DDoS-aanvallen uit aanvallen op de netwerklaag. Het aantal HTTP DDoS-aanvallen bleef gelijk, maar de omvang ervan nam sterk toe tot niveaus die we sinds de HTTP/2 Rapid Reset DDoS-campagne in 2023 niet meer hebben gezien. Deze recente pieken werden uitgevoerd door het Aisuru-Kimwolf-botnet, dat we in het volgende gedeelte gaan bespreken.
DDoS-aanval 'De nacht voor Kerstmis'
Op vrijdag 19 december 2025 begon het Aisuru-Kimwolf-botnet de Cloudflare-infrastructuur en Cloudflare-klanten te bestoken met hypervolumetrische DDoS-aanvallen. Wat nieuw was aan deze campagne, was de omvang ervan: het botnet maakte gebruik van hypervolumetrische HTTP DDoS-aanvallen met snelheden van meer dan 20 miljoen verzoeken per seconde (Mrps).
Het Aisuru-Kimwolf-botnet is een enorme verzameling met malware geïnfecteerde apparaten, voornamelijk Android-tv's. Het botnet bestaat naar schatting uit 1 tot 4 miljoen geïnfecteerde systemen. Het is in staat DDoS-aanvallen uit te voeren die kritieke infrastructuur kunnen platleggen, de oudere cloudgebaseerde DDoS-beschermingsoplossingen kunnen laten crashen en zelfs de connectiviteit van hele landen kunnen verstoren.
Gedurende de hele campagne hebben de autonome DDoS-verdedigingssystemen van Cloudflare alle aanvallen ontdekt en verhinderd: 384 pakketintensieve aanvallen, 329 bitintensieve aanvallen en 189 verzoekintensieve aanvallen, voor een totaal van 902 hypervolumetrische DDoS-aanvallen, gemiddeld 53 aanvallen per dag.
De gemiddelde omvang van de hypervolumetrische DDoS-aanvallen tijdens de campagne bedroeg 3 Bpps, 4 Tbps en 54 Mrps. De hoogste snelheden die tijdens de aanvalscampagne werden geregistreerd waren 9 Bpps, 24 Tbps en 205 Mrps.
Om dat in perspectief te plaatsen: de omvang van een DDoS-aanval van 205 Mrps is vergelijkbaar met de bevolking van het Verenigd Koninkrijk, Duitsland en Spanje samen, die allemaal tegelijkertijd een websiteadres intypen en op 'enter' drukken.
De aanvalscampagne 'The Night Before Christmas' was extreem opvallend, maar vormde slechts een klein deel van de hypervolumetrische DDoS-aanvallen die we in de loop van het jaar zagen.
Hypervolumetrische DDoS-aanvallen
Cloudflare constateerde in 2025 een constante toename van hypervolumetrische DDoS-aanvallen. In het vierde kwartaal van 2025 is het aantal hypervolumetrische aanvallen met 40% toegenomen ten opzichte van het voorgaande kwartaal.
Naarmate het aantal aanvallen in de loop van 2025 toenam, nam ook de omvang van de aanvallen toe, met een stijging van meer dan 700%, waarbij één aanval een omvang van 31,4 Tbps bereikte tijdens een DDoS-aanval die slechts 35 seconden duurde. De onderstaande grafiek toont de snelle groei in de omvang van DDoS-aanvallen zoals ontdekt en geblokkeerd door Cloudflare — elke aanval is een wereldrecord, oftewel de grootste die ooit publiekelijk door een bedrijf op dat moment was bekendgemaakt.
Net als alle andere aanvallen werd de 31.4 Tbps DDoS-aanval automatisch ontdekt en ondervangen door Cloudflare's autonome DDoS-verdediging, die zich kon aanpassen en zich snel kon richten op botnets zoals Aisuru-Kimwolf.
Het merendeel van de hypervolumetrische DDoS-aanvallen was gericht op Cloudflare-klanten in de sector telecom, serviceproviders en carriers. Cloudflare-klanten in de gamingsector en klanten die generatieve AI-diensten aanbieden werden ook zwaar getroffen. Tot slot werd ook de infrastructuur van Cloudflare zelf doelwit van meerdere aanvalsvectoren, zoals HTTP-floods, DNS-aanvallen en UDP-floods.
Meest aangevallen sectoren
Bij de analyse van DDoS-aanvallen van alle groottes bleek ook de sector voor telecom, serviceproviders en carriers het vaakst het doelwit. Voorheen had de sector informatietechnologie en -diensten de pech deze titel te krijgen.
De sectoren gokken en casino's en gaming eindigden respectievelijk op de derde en vierde plaats. De grootste veranderingen in de top 10 van dit kwartaal waren te zien in de sectoren computersoftware en zakelijke dienstverlening, die beide meerdere plaatsen stegen.
De meest aangevallen sectoren worden bepaald door hun rol als kritieke infrastructuur, hun functie als centrale ruggengraat voor andere bedrijven, of door hun directe en hoge financiële risico's bij onderbrekingen en latentie in de dienstverlening.
Het DDoS-landschap vertoonde zowel voorspelbare stabiliteit als dramatische verschuivingen in de meest aangevallen locaties ter wereld. Doelwitten zoals China, Duitsland, Brazilië en de Verenigde Staten stonden in de top vijf, wat aantoont dat deze landen een blijvende aantrekking hebben op aanvallers.
Hongkong maakte een opvallende beweging en sprong twaalf plaatsen naar de nummer twee. Het belangrijkste nieuws was echter de razendsnelle opmars van het Verenigd Koninkrijk, dat dit kwartaal maar liefst 36 plaatsen steeg en daarmee de zesde meest aangevallen locatie werd.
Vietnam behield zijn plaats als zevende meest aangevallen locatie, gevolgd door Azerbeidzjan op de achtste plaats, India op de negende en Singapore op nummer tien.
Bangladesh heeft in het vierde kwartaal van 2025 Indonesië van de troon gestoten als grootste bron van DDoS-aanvallen. Indonesië is naar de derde plaats gezakt, na een jaar lang de grootste bron van DDoS-aanvallen te zijn geweest. Ecuador versprong ook twee plaatsen en werd de op één na grootste bron.
Opvallend is dat Argentinië maar liefst twintig plaatsen steeg en werd daardoor de vierde grootste bron van DDoS-aanvallen. Hongkong steeg drie plaatsen en eindigde op de vijfde positie. Oekraïne eindigde op nummer zes, gevolgd door Vietnam, Taiwan, Singapore en Peru.
Belangrijkste bronnetwerken
De top 10 van netwerken waar aanvallen vandaan kwamen, leest als een lijst van internetgiganten en onthult een fascinerend verhaal over de opbouw van moderne DDoS-aanvallen. De rode draad is duidelijk: kwaadwillenden maken vooral gebruik van de krachtigste en meest toegankelijke netwerken ter wereld – grote, publieke diensten vormen daarbij hun voornaamste hulpmiddel.
We zien dat de meeste DDoS-aanvallen afkomstig zijn van IP-adressen van cloudcomputingplatforms en cloudinfrastructuurproviders, waaronder DigitalOcean (AS 14061), Microsoft (AS 8075), Tencent (AS 132203), Oracle (AS 31898) en Hetzner (AS 24940). Dit toont het sterke verband aan tussen eenvoudig te configureren virtuele machines en grootschalige aanvallen. Deze cloudbronnen, die zich voornamelijk in de Verenigde Staten bevinden, worden op de voet gevolgd door een aanzienlijk aantal aanvallen afkomstig van IP-adressen die zijn gekoppeld aan traditionele telecomproviders (telco's). Deze telecombedrijven, voornamelijk afkomstig uit de Azië-Pacific regio (waaronder Vietnam, China, Maleisië en Taiwan), completeren de top 10.
Deze geografische en organisatorische diversiteit bevestigt een tweeledige aanpak van een aanval: hoewel de enorme omvang van de belangrijkste bronnen vaak afkomstig is van internationale cloudhubs, is het probleem daadwerkelijk wereldwijd en verlopen de aanvallen via de essentieelste internetverbindingen, verspreid over de hele wereld. Bij veel DDoS-aanvallen zien we duizenden verschillende ASN-bronnen en dat benadrukt de werkelijk wereldwijde verspreiding van botnet-nodes.
Om hostingproviders, cloudcomputing-platforms en internetproviders te helpen bij het identificeren en verwijderen van de IP-adressen/accounts die dergelijke aanvallen uitvoeren, maken we gebruik van Cloudflare's unieke positie wat betreft DDoS-aanvallen om een gratis DDoS-botnetdreigingsfeed voor serviceproviders te leveren.
Wereldwijd hebben meer dan 800 netwerken zich voor deze feed aangemeld. We hebben al een geweldige samenwerking binnen de community gezien om botnet-nodes uit de lucht te halen.
Helpen bij verdediging van het internet
DDoS-aanvallen worden steeds geavanceerder en omvangrijker en overtreffen alles wat voorheen ondenkbaar was. Voor veel organisaties vormt dit steeds veranderende dreigingslandschap een aanzienlijke uitdaging om bij te houden. Organisaties die momenteel afhankelijk zijn van on-premise bestrijdingsapparaten of on-demand scrubbing centers, kunnen er baat bij hebben hun verdedigingsstrategie te herzien.
Cloudflare vindt het belangrijk al haar klanten gratis en onbeperkte DDoS-bescherming te bieden, ongeacht de omvang, duur of het volume van de aanvallen, door gebruik te maken van haar uitgebreide internationale netwerk en autonome DDoS-bestrijdingssystemen.
Cloudforce One wordt gedreven door de missie om het internet te verdedigen en maakt gebruik van telemetriegegevens van het internationale netwerk van Cloudflare – dat ongeveer 20% van het web beschermt – om onderzoek naar bedreigingen en operationele respons te stimuleren en zo kritieke systemen van miljoenen organisaties wereldwijd te beschermen.