Welkom bij de 22e editie van het Cloudflare DDoS Threat Report. Dit rapport wordt elk kwartaal gepubliceerd en biedt een uitgebreide analyse van het veranderende dreigingslandschap van Distributed Denial of Service (DDoS)-aanvallen op basis van de gegevens van het Cloudflare-netwerk. In deze editie richten we ons op het tweede kwartaal van 2025. Ga voor eerdere rapporten naar www.ddosreport.com.
Juni was de drukste maand voor DDoS-aanvallen in Q2 2025. Bijna 38% van alle waargenomen activiteiten vond in juni plaats. Een opvallend doelwit was een onafhankelijk Oost-Europees nieuwsplatform dat werd beschermd door Cloudflare. Het platform meldde dat het werd aangevallen na een bulletin over een lokale Pride-parade tijdens de LGBTQ Pride-maand.
Belangrijkste DDoS-inzichten
DDoS-aanvallen breken voortdurend nieuwe records. In Q2 2025 blokkeerde Cloudflare automatisch de grootste DDoS-aanvallen die ooit zijn gemeld, met pieken van 7,3 terabit per seconde (Tbps) en 4,8 miljard pakketten per seconde (Bpps).
Over het geheel genomen is het aantal hypervolumetrische DDoS-aanvallen in Q2 2025 enorm toegenomen. Cloudflare blokkeerde meer dan 6500 hypervolumetrische DDoS-aanvallen, ofwel gemiddeld 71 per dag.
Hoewel het totale aantal DDoS-aanvallen is gedaald ten opzichte van het voorgaande kwartaal — waarin sprake was van een ongekende toename als gevolg van een grootschalige campagne die gericht was op het netwerk van Cloudflare en de kritieke internetinfrastructuur die door Cloudflare wordt beschermd — lag het aantal aanvallen in Q2 2025 nog steeds 44% hoger dan in Q2 2024. De kritieke infrastructuur staat nog steeds onder aanhoudende druk, waarbij Telecommunicatie, Service Providers en Carriers opnieuw bovenaan de lijst van sectoren staan die het vaakst onder vuur worden genomen.
Alle aanvallen in dit rapport werden automatisch gedetecteerd en geblokkeerd door onze autonome verdedigingssystemen.
Ga meer informatie over DDoS-aanvallen en andere soorten cyberdreigingen naar ons Learning Center. Ga naar Cloudflare Radar voor de interactieve versie van dit rapport waar je dieper op de materie kunt ingaan. Radar heeft ook een gratis API voor mensen die geïnteresseerd zijn in het onderzoek naar internettrends. Je kunt ook meer te weten komen over de methodologieën die worden gebruikt om deze rapporten aan te maken.
DDoS-aanvallen in cijfers
In Q2 2025 weerde Cloudflare 7,3 miljoen DDoS-aanvallen af. Dat is een flinke daling ten opzichte van de 20,5 miljoen in Q1 2025, toen een 18 dagen durende campagne tegen Cloudflare's eigen en andere kritieke infrastructuur die door Cloudflare werd beschermd, verantwoordelijk was voor 13,5 miljoen van dergelijke aanvallen.
DDoS-aanvallen per kwartaal
We zijn halverwege het jaar 2025 en tot nu toe heeft Cloudflare al 27,8 miljoen DDoS-aanvallen geblokkeerd. Dit is 130% van alle DDoS-aanvallen die we in het volledige kalenderjaar 2024 hebben geblokkeerd.
DDoS-aanvallen per jaar
Als we het nog verder uitsplitsen, daalde het aantal Layer 3/Layer 4 (L3/4) DDoS-aanvallen met 81% ten opzichte van het vorige kwartaal naar 3,2 miljoen, terwijl het aantal HTTP DDoS-aanvallen met 9% naar 4,1 miljoen steeg. De veranderingen van jaar tot jaar blijven groot. Het aantal aanvallen lag in totaal 44% hoger dan in Q2 2024, met de grootste toename van het aantal HTTP DDoS-aanvallen van 129% op jaarbasis.
DDoS-aanvallen per maand
Hypervolumetrische DDoS-aanvallen
In Q2 2025 blokkeerde Cloudflare meer dan 6500 hypervolumetrische DDoS-aanvallen, met een gemiddelde van 71 hypervolumetrische aanvallen per dag. Hypervolumetrische aanvallen omvatten L3/4 DDoS-aanvallen die groter zijn dan 1 Bpps of 1 Tbps en HTTP DDoS-aanvallen met meer dan 1 miljoen verzoeken per seconde (Mrps).
Het aantal hypervolumetrische DDoS-aanvallen van meer dan 100 miljoen pakketten per seconde (pps) steeg met 592% ten opzichte van het voorgaande kwartaal, en het aantal aanvallen van meer dan 1 miljard pps en 1 terabit per seconde (Tbps) verdubbelde ten opzichte van het voorgaande kwartaal. Het aantal HTTP DDoS-aanvallen dat de 1 miljoen rps overschreed, bleef gelijk op in totaal ongeveer 20 miljoen. Dat komt neer op gemiddeld bijna 220.000 aanvallen per dag.
Hypervolumetrische DDoS-aanvallen in Q2 2025
Op de vraag wie er achter de DDoS-aanvallen in Q2 2025 zaten, antwoordde de meerderheid (71%) dat ze niet wisten wie de aanvallen uitvoerde. Van de resterende 29% respondenten die zeiden de bedreigende actor te hebben geïdentificeerd, wees 63% naar concurrenten. Dit patroon komt vooral veel voor in de gaming-, gok- en crypto-industrie. Nog eens 21% schreef de aanval toe aan actoren op staatsniveau of door de staat gesponsorde actoren, terwijl 5% aangaf dat ze onbedoeld zichzelf hadden aangevallen (self-DDoS), het doelwit waren geweest van afpersers, of werden aangevallen door ontevreden klanten/gebruikers.
De grootste gemelde dreigingsactoren in Q2 2025
DDoS-aanvallen voor losgeld
Het percentage aangevallen Cloudflare-klanten dat aangaf het doelwit te zijn geweest van een DDoS-aanval met ransomware of dat werd bedreigd, steeg met 68% ten opzichte van het voorgaande kwartaal en met 6% ten opzichte van hetzelfde kwartaal in 2024.
DDoS-aanvallen met ransomware in Q2 2025
Als we dieper ingaan op de situatie, zien we dat het aantal DDoS-aanvallen met ransomware in juni 2025 sterk toenam. Ongeveer een derde van de respondenten gaf aan dat ze werden bedreigd of het slachtoffer waren van DDoS-aanvallen met ransomware.
DDoS-aanvallen met ransomware per maand in Q2 2025
De landen die het meest worden aangevallen
De rangschikking van de top 10 van meest aangevallen locaties in Q2 2025 is aanzienlijk veranderd. China steeg twee plaatsen en heroverde de eerste plaats, Brazilië steeg vier plaatsen naar de tweede plaats, Duitsland zakte twee plaatsen naar de derde plaats, India steeg één plaats naar de vierde plaats en Zuid-Korea steeg vier plaatsen naar de vijfde plaats. Turkije zakte vier plaatsen naar de zesde plaats, Hongkong zakte drie plaatsen naar de zevende plaats en Vietnam steeg maar liefst vijftien plaatsen naar de achtste plaats. Ondertussen steeg Rusland niet minder dan veertig plaatsen naar de negende plaats en Azerbeidzjan eenendertig plaatsen naar de top tien!
De locaties die het vaakste het doelwit zijn van DDoS-aanvallen in Q2 2025
Het is belangrijk te realiseren dat de locaties waar deze aanvallen plaatsvinden, worden bepaald door het factureringsland van de Cloudflare-klant waarvan de services het doelwit waren. Het is niet zo dat die landen zelf worden aangevallen. Met andere woorden: een hoge rangschikking betekent simpelweg dat meer van onze geregistreerde klanten in het betreffende factureringsgebied het doelwit waren van DDoS-verkeer. Het impliceert dus niet dat er sprake is van een directe geopolitieke aanval.
De sectoren die het meeste worden aangevallen
De ranglijst van de 10 meest aangevallen sectoren in Q2 2025 vertoonde ook opvallende veranderingen. De sectoren Telecommunicatie, Service Providers en Carriers stegen één plek en staan nu op de eerste plaats, terwijl de Internet-sector twee plekken steeg naar de tweede plaats. Information Technology & Services staat nog steeds op de derde plek en Gaming steeg één plek naar de vierde plaats. Gambling & Casino's zakte vier plekken naar de vijfde plaats, terwijl de sector Banking & Financial services op de zesde plaats bleef staan. Retail steeg één plek naar de zevende plaats, en Agriculture maakte een dramatische sprong van de 38e naar de achtste plaats. Computer Software steeg twee plaatsen naar de negende plaats en Government steeg twee plaatsen en is nu de top tien van meest aangevallen sectoren.
De sectoren die het vaakst door DDoS-aanvallen worden aangevallen in Q2 2025
Voornaamste bronnen van DDoS-aanvallen
De rangschikking van de 10 voornaamste bronnen van DDoS-aanvallen in Q2 2025 is ook behoorlijk veranderd ten opzichte van het voorgaande kwartaal. Indonesië steeg één plek en claimt nu de eerste plaats, Singapore steeg twee plekken naar de tweede plaats, Hongkong zakte twee plekken naar de derde plaats, Argentinië zakte één plek naar de vierde plaats en Oekraïne bleef de vijfde grootste bron van DDoS-aanvallen. Rusland steeg zes plekken en is nummer zes op de ranglijst van grootste aanvalsbronnen, gevolgd door Ecuador dat zeven plaatsen steeg. Vietnam steeg één plek naar de achtste pelk op de ranglijst van grootste bronnen. Nederland steeg vier plekken en staat nu op de negende plaats, terwijl Thailand drie plekken daalde en nu op de tiende plaats staat van de lijst met grootste bronnen van DDoS-aanvallen.
De grootste bronnen van DDoS-aanvallen in Q2 2025
Het is belangrijk om op te merken dat deze 'bron'-ranglijsten weergeven waar de botnet-nodes, proxy- of VPN-eindpunten zich bevinden, niet de daadwerkelijke locatie van kwaadwillende actoren. Bij L3/4 DDoS-aanvallen, waarbij IP-spoofing wijdverbreid is, geolokaliseren we elk pakket naar het Cloudflare-datacenter dat het pakket als eerste heeft opgemerkt en geblokkeerd. Voor deze mate van nauwkeurigheid maken we gebruik van onze aanwezigheid in meer dan 330 steden.
Grootste bronnetwerken van de DDoS-aanvallen
Een ASN (autonoom systeemnummer) is een uniek nummer dat wordt toegewezen aan een netwerk of een groep IP-netwerken die volgens één routingbeleid op internet actief zijn. Een ASN wordt gebruikt om routinginformatie tussen systemen uit te wisselen met behulp van protocollen zoals BGP (Border Gateway Protocol).
Voor het eerst in ongeveer een jaar daalde het Duitse Hetzner (AS24940)-netwerk van de eerste plaats als grootste bron van HTTP DDoS-aanvallen naar de derde plaats. In plaats daarvan steeg het in Duitsland gevestigde Drei-K-Tech-GmbH (AS200373), dat ook wel 3xK Tech wordt genoemd, 6 plekken en werd daarmee de grootste bron van HTTP DDoS-aanvallen. Het Amerikaanse DigitalOcean (AS14061) steeg één plek naar de tweede plaats.
De top 10 ASN-bronnen van HTTP DDoS-aanvallen
Bovenstaande grafiek maakt duidelijk dat 8 van de 10 vermelde ASN's virtuele machines (VM's), hosting- of clouddiensten aanbieden, wat erop wijst dat er veelvuldig gebruik wordt gemaakt van op VM-gebaseerde botnets. Er wordt geschat dat deze botnets 5000 maal sterker zijn dan op IoT-gebaseerde botnets. Alleen Drei (AS200373) en ChinaNet Backbone (AS4134) zijn in eerste instantie ISP's telecombedrijven zonder noemenswaardige openbare VM/cloud-diensten.
Op IoT-gebaseerde botnets versus op VM-gebaseerde botnets
Om hosting-, cloudcomputing-providers en alle ISP's te helpen bij het identificeren en verwijderen van de accounts die dergelijke aanvallen uitvoeren, maken we gebruik van Cloudflare's unieke positie en leveren een gratis DDoS Botnet Threat Feed voor serviceproviders. Wereldwijd hebben meer dan 600 organisaties zich al voor deze feed aangemeld. We hebben al een geweldige samenwerking binnen de community gezien om botnet-nodes uit de lucht te halen. Dit is mogelijk dankzij de threat feed die deze serviceproviders een lijst van schadelijke IP-adressen binnen hun ASN stuurt die HTTP DDoS-aanvallen uitvoeren. De feed is helemaal gratis. Het enige wat nodig is, is een gratis Cloudflare-account, de verificatie van de ASN via PeeringDB en vervolgens de verzameling van de dreigingsinformatie via API.
Met een eenvoudige API-aanroep kunnen serviceproviders een lijst met schadelijke IP-adressen binnen hun netwerk opvragen. Hieronder staat een voorbeeldantwoord.
{
"result": [
{
"cidr": "127.0.0.1/32",
"date": "2024-05-05T00:00:00Z",
"offense_count": 10000
},
// ... other entries ...
],
"success": true,
"errors": [],
"messages": []
}
Voorbeeldantwoord van de gratis ISP DDoS Botnet Threat Feed API
Verdediging tegen DDoS-botnets
In Q2 2025 werd de meerderheid (71%) van de HTTP DDoS-aanvallen door bekende botnets uitgevoerd. We konden deze aanvallen snel detecteren en blokkeren dankzij ons enorme netwerk waardoor we allerlei soorten aanvallen en botnets kunnen identificeren. Door gebruik te maken van realtime dreigingsinformatie kunnen onze systemen DDoS-botnets razendsnel identificeren, wat bijdraagt aan een effectievere mitigatie. Zelfs als een DDoS-botnet slechts één website of IP-adres als doelwit had, is ons hele netwerk en klantenbestand er meteen tegen beschermd. Dit realtimesysteem voor dreigingsinformatie past zich aan botnets aan wanneer die muteren en van node veranderen.
De grootste HTTP DDoS-aanvalsvectoren in Q2 2025
In Q2 2025 waren DNS-flood-aanvallen de grootste L3/4-aanvalsvector met bijna een derde van alle L3/4 DDoS-aanvallen. SYN-floods vormden de op één na meest voorkomende aanvalsvector. Het percentage daalde van 31% in Q1 naar 27% in Q2.
Op de derde plaats staan UDP-floods na een aanzienlijke stijging van 9% in Q1 naar 13% in Q2. RST-floods, een andere vorm van op TCP-gebaseerde DDoS-aanvallen, vormden 5% van alle L3/4-aanvallen en waren de vierde meest voorkomende vector. De top vijf wordt afgerond door SSDP-floods die met 3% naar de vijfde plek zijn gestegen, ondanks een daling van 4,3% ten opzichte van het vorige kwartaal. Dit is echter wel voldoende om de voorheen veelvoorkomende Mirai-aanvallen (die daalden van 18% in Q1 naar slechts 2% in Q2) uit de top vijf te verdringen.
De grootste L3/4 DDoS-aanvalsvectoren in Q2 2025
Overzicht van de top 3 L3/4 DDoS-aanvalsvectoren
Hieronder staat informatie over de 3 meest voorkomende L3/4 DDoS-aanvallen. Wij doen aanbevelingen over hoe organisaties kunnen voorkomen dat ze een reflectie- of versterkingselement worden. Ook doen we aanbevelingen over hoe ze zich tegen deze aanvallen kunnen verdedigen zonder dat dit gevolgen heeft voor het legitieme verkeer. Klanten van Cloudflare zijn tegen deze aanvallen beschermd.
DNS flood attack
Type: Flood
Zo werkt het: Een DNS-flood heeft als doel een DNS-server te overbelasten met een groot volume aan DNS-query's (geldig, willekeurig of misvormd) om de CPU, het geheugen of de bandbreedte uit te putten. In tegenstelling tot amplification attacks is dit een directe aanval met als doel de prestaties te verslechteren of storingen te veroorzaken, vaak via UDP-poort 53, maar soms ook via TCP (met name voor DNS-over-TCP- of DNSSEC-geactiveerde zones).
Verdediging tegen deze aanval: Gebruik Cloudflare DNS als primaire of secundaire DNS en Cloudflare DNS Firewall en/of Cloudflare Magic Transit om query-floods te absorberen en te beperken voordat ze schade kunnen aanrichten. Het wereldwijde netwerk van Cloudflare verwerkt tientallen miljoenen DNS-query's per seconde met ingebouwde DDoS-filtering en query caching. Misvormd of overmatig verkeer wordt geblokkeerd en de legitieme verzoeken worden wel beantwoord.
Voorkom onbedoelde gevolgen: Zorg ervoor dat niet al het DNS-verkeer wordt geblokkeerd en dat de UDP-poort 53 niet wordt uitgeschakeld, omdat dit de normale resolutie verstoort. Vertrouw op de DNS-specifieke beveiliging van Cloudflare, zoals het Advanced DNS Protection System, en gebruik de DNSSEC-bewuste beveiliging om de op TCP-gebaseerde query-floods veilig af te handelen.
SYN flood attack
Type: Flood
Zo werkt het: Bij een SYN-flood versturen kwaadwillende actoren een groot volume aan TCP SYN-pakketten, vaak met vervalste IP-adressen, om verbindingen te initiëren die nooit worden voltooid. Hierdoor blijft de verbinding op het doelsysteem halfopen, waardoor er geheugen en hulpbronnen voor het bijhouden van verbindingen worden verbruikt. Hierdoor raken de serverlimieten uitgeput en kunnen echte clients geen verbinding meer maken.
Verdediging tegen deze aanval: Gebruik Cloudflare Magic Transit om TCP SYN-floods aan de edge te onderscheppen en te beperken. Cloudflare maakt gebruik van SYN-cookies, verbindingstracking en gedragsanalyse om echte clients van vervalste of kwaadaardige bronnen te onderscheiden. Zo wordt gegarandeerd dat legitieme TCP-verbindingen goed tot stand worden gebracht. Gebruik Cloudflare's CDN/WAF-services of Cloudflare Spectrum, die beide omgekeerde proxy-services voor respectievelijk HTTP en TCP zijn. Door een omgekeerde proxy te gebruiken, wordt de mogelijke impact van op TCP-gebaseerde DDoS-aanvallen vrijwel volledig geëlimineerd.
Voorkom onbedoelde gevolgen: Als al het SYN-verkeer wordt geblokkeerd of te veel time-outs worden toepast, worden echte gebruikers mogelijk geblokkeerd. Vertrouw in plaats daarvan op het geavanceerde TCP-beveiligingssysteem van Cloudflare dat gebruikmaakt van SYN-rate shaping, de detectie van anomalieën en filtering van vervalste pakketten om aanvallen af te weren zonder dat dit gevolgen voor echte clientverbindingen heeft.
UDP DDoS-aanval
Type: Flood
Zo werkt het: Een groot volume aan UDP-pakketten wordt naar willekeurige of specifieke poorten op de doel-IP-adressen verzonden. Die proberen de internetverbinding te verzadigen of de aangesloten apparaten te overbelasten met meer pakketten dan verwerkt kunnen worden, om zo storingen of een uitval te veroorzaken.
Verdediging tegen deze aanval: Pas de op cloud-gebaseerde volumetrische DDoS-bescherming toe die het aanvalsverkeer in realtime kan identificeren, zoals Cloudflare Magic Transit of Cloudflare Spectrum, of pas slimme rate limiting toe op het UDP-verkeer en verwijder al het ongewenste UDP-verkeer met de Magic Firewall.
Hoe je onbedoelde gevolgen kunt voorkomen: Agressieve filtering kan legitieme UDP-services zoals VoIP, videoconferenties en online games verstoren. Pas drempels zorgvuldig toe.
Van de opkomende L3/4 DDoS-dreigingen in Q2 2025, vertoonde de Teeworlds-flood de grootste piek. Deze aanvallen stegen met 385% ten opzichte van het vorige kwartaal, gevolgd door de RIPv1-flood die met 296% steeg. Het aantal RDP-floods steeg met 173% en het aantal Demon Bot-floods met 149%. Zelfs de eerbiedwaardige VxWorks-flood maakte een comeback en steeg met 71% op kwartaalbasis. Deze drastische toename onderstreept het feit dat cybercriminelen voortdurend met minder bekende en verouderde protocollen experimenteren om standaardverdedigingstechnieken te omzeilen.
De grootste opkomende bedreigingen in Q2 2025
Overzicht van de grootste opkomende bedreigingen
Hieronder staat informatie over de opkomende bedreigingen in Q2 2025. Het gaat hierbij vooral om het hergebruik van zeer oude aanvalsvectoren. Wij doen aanbevelingen over hoe organisaties kunnen voorkomen dat ze een reflectie- of versterkingselement worden. Ook doen we aanbevelingen over hoe ze zich tegen deze aanvallen kunnen verdedigen zonder dat dit gevolgen heeft voor het legitieme verkeer. Klanten van Cloudflare zijn tegen deze aanvallen beschermd.
Teeworlds DDoS-aanval
Type: Flood
Zo werkt het: Teeworlds is een snel, open-source 2D-multiplayer-game dat gebruikmaakt van een aangepast UDP-protocol voor realtime gamen. Kwaadwillende actoren overspoelen de gameserver van het doelwit met vervalste of heel veel UDP-pakketten die acties in de game of verbindingspogingen nabootsen. Dit kan de serverbronnen overbelasten en een vertraging of uitval veroorzaken.
Verdediging tegen deze aanval: Gebruik Cloudflare Spectrum of Cloudflare Magic Transit om de servers te beschermen. Cloudflare detecteert en bestrijdt dergelijke aanvallen automatisch met behulp van realtime vingerafdrukken. Hierdoor wordt het aanvalsverkeer geblokkeerd, maar worden de echte gamers wel doorgelaten. Magic Transit biedt ook een firewallfunctie op pakketniveau, de Magic Firewall, waarmee een aangepaste beveiliging aangemaakt kan worden.
Voorkom onbedoelde gevolgen: Vermijd het rechtstreeks blokkeren of een agressieve rate limiting van UDP-poort 8303 bij het opstellen van aangepaste regels, aangezien dit de algehele gameplay kan verstoren. Vertrouw in plaats daarvan op intelligente detectie- en beperkingsservices om te voorkomen dat legitieme gebruikers de dupe worden.
Teeworlds Screenshot Jungle. Bron: Wikipedia
RIPv1 DDoS-aanval
Type: Reflectie + (lage) versterking
Zo werkt het: Maakt gebruik van het Routing Information protocol versie 1 (RIPv1), een oud, niet-geverifieerd afstandsvector-routingsprotocol dat UDP/520 gebruikt. Aanvallers versturen vervalste routingupdates om netwerken te overspoelen of te verwarren.
Voorkom dat het een reflectie-/versterkingselement wordt: schakel RIPv1 uit op routers. Gebruik RIPv2 met authenticatie wanneer routing nodig is.
Zo verdedig je je tegen de aanval: blokkeer binnenkomende UDP/520 van niet-vertrouwde netwerken. Controleer op onverwachte routingupdates.
Hoe je onbedoelde gevolgen kunt voorkomen: RIPv1 is grotendeels verouderd; het uitschakelen ervan is over het algemeen veilig. Als oudere systemen hiervan afhankelijk zijn, valideer dan het routinggedrag voordat je wijzigingen aanbrengt.
RDP DDoS-aanval
Type: Reflectie + Versterking
Zo werkt het: Het Remote Desktop Protocol (RDP) wordt gebruikt voor externe toegang tot Windows-systemen en loopt meestal via TCP-poort 3389. In sommige verkeerd geconfigureerde of verouderde configuraties kan RDP op niet-geverifieerde verbindingspogingen reageren, en dit wordt dan misbruikt voor reflectie of versterking. Kwaadwillende actoren sturen vervalste RDP-initiatiepakketten naar blootgestelde servers, waardoor die op een slachtoffer moeten reageren. Dit genereert grote hoeveelheden ongewenst verkeer.
Verdediging tegen deze aanval: Gebruik Cloudflare Magic Transit om de netwerkinfrastructuur te beschermen. Magic Transit biedt L3/L4 DDoS-bescherming en filtert het vervalste of misvormde RDP-verkeer eruit voordat er schade aangericht wordt. Bij gericht misbruik op de applicatielaag kan Cloudflare Gateway of Zero Trust-netwerktoegang (ZTNA) helpen bij het beveiligen van de toegang tot externe desktops achter geverifieerde tunnels.
Voorkom onbedoelde gevolgen: Blokkeer TCP/3389 niet helemaal als RDP actief wordt gebruikt. Beperk in plaats daarvan de RDP-toegang tot bekende IP's of interne netwerken, of gebruik Cloudflare Tunnel met Zero Trust-netwerktoegang (ZTNA) om de openbare blootstelling volledig te verwijderen en toch een veilige toegang voor legitieme gebruikers te handhaven.
DemonBot DDoS-aanval
Type: Op botnet-gebaseerde floods
Zo werkt het: DemonBot is een malware-variant die via open poorten of zwakke inloggegevens op Linux-gebaseerde systemen infecteert, met name onbeveiligde IoT-apparaten. Als een apparaat eenmaal is geïnfecteerd, wordt het een onderdeel van een botnet dat grootschalige UDP-, TCP- en applicatielaag-floods kan uitvoeren. Deze aanvallen worden doorgaans uitgevoerd op basis van command-and-control (C2) en kunnen een aanzienlijke hoeveelheid dataverkeer genereren. Vaak zijn ze gericht op gaming-, hosting- of bedrijfsservices. Om een infectie te voorkomen, wordt het gebruik van antivirussoftware en domeinfiltering aangeraden.
Verdediging tegen deze aanval: Gebruik Cloudflare Magic Transit om grootschalige netwerklaag-floods te absorberen en te filteren voordat ze schade kunnen aanrichten. De realtime verkeersanalyse en op handtekeningen gebaseerde detectie van Cloudflare neutraliseren het verkeer dat afkomstig is van apparaten die met DemonBot zijn geïnfecteerd. Voor services op de applicatielaag kunnen de Cloudflare DDoS-bescherming en WAF gerichte HTTP-floods en misbruik van verbindingen beperken.
Voorkom onbedoelde gevolgen: In plaats van het massaal blokkeren van verkeerstypen of poorten, kan de adaptieve beperking van Cloudflare onderscheid maken tussen legitieme gebruikers en botnetverkeer. Combineer dit met IP-reputatiefiltering, geo-blokkering en rate limiting om het aantal foute positieven te reduceren en de beschikbaarheid van de service te handhaven.
VxWorks-flood DDoS-aanval
Type: Flood (IoT-gebaseerd)
Zo werkt het: VxWorks is een realtime besturingssysteem (RTOS) dat in miljoenen embedded- en IoT-apparaten (bijvoorbeeld routers en industriële controllers) wordt gebruikt. Apparaten met verouderde of verkeerd geconfigureerde versies van VxWorks kunnen gehackt en voor DDoS-aanvallen gebruikt worden. Als ze eenmaal geïnfecteerd zijn — vaak via openbare exploits of zwakke inloggegevens — sturen ze grote hoeveelheden UDP, TCP of ICMP-verkeer om hun doelen te overweldigen, vergelijkbaar met traditionele IoT-botnets.
Verdediging tegen deze aanval: Gebruik Cloudflare Magic Transit om het volumetrische verkeer aan de netwerkedge te blokkeren. Cloudflare maakt gebruik van realtime fingerprinting en eigen heuristiek om verkeer van gecompromitteerde VxWorks-apparaten te identificeren en in realtime te beperken. Voor applicatieservices bieden Cloudflare's DDoS-preventie en Gateway-services extra bescherming tegen misbruik op protocolniveau.
Voorkom onbedoelde gevolgen: Voorkom dat het UDP- of ICMP-verkeer overmatig wordt geblokkeerd, aangezien dit legitieme diagnostiek of realtime-services kan verstoren. Gebruik in plaats daarvan de intelligente filtering, rate limiting en geo/IP-reputatietools van Cloudflare om aanvallen op veilige wijze te beperken en te voorkomen dat legitiem verkeer hierdoor wordt verstoord.
De realtime vingerafdrukgeneratieflow van Cloudflare
De meeste DDoS-aanvallen zijn klein en duren niet lang. In Q2 2025 was 94% van de L3/4 DDoS-aanvallen niet sneller dan 500 Mbps. Ongeveer 85% van de L3/4 DDoS-aanvallen bedroeg niet meer dan 50.000 pps. De meeste HTTP DDoS-aanvallen zijn klein: 65% blijft onder de 50.000 rps. Maar ‘klein’ is een relatief begrip.
Een gemiddelde moderne server verwijst doorgaans naar een algemene fysieke of virtuele machine met ongeveer 4–8 CPU-cores (bijv. Intel Xeon Silver), 16–64 GB RAM en een 1 Gbps NIC, met een Linux-besturingssysteem zoals Ubuntu of CentOS met NGINX of vergelijkbare software. Deze configuratie kan ~100.000–500.000 pps aan, met een doorvoersnelheid tot ~940 Mbps en circa 10.000–100.000 rps voor statische content of 500–1000 rps voor dynamische toepassingen op basis van databases, afhankelijk van de afstemming en de werklast.
Uitgaande van het feit dat de server niet wordt beschermd door een DDoS-beschermingsservice in de cloud, is het zeer waarschijnlijk dat de server deze niet aankan als die tijdens piekmomenten het doelwit wordt van 'kleine' DDoS-aanvallen. Zelfs 'kleine' DDoS-aanvallen kunnen een aanzienlijke impact hebben op onbeschermde servers.
Omvang en duur van DDoS-aanvallen in Q2 2025
Hoewel de meeste DDoS-aanvallen klein zijn, nemen hypervolumetrische DDoS-aanvallen in omvang en frequentie toe. 6 van de 100 HTTP DDoS-aanvallen overschrijden 1 Mrps en 5 van de 10.000 L3/4 DDoS-aanvallen overschrijden 1 Tbps — een stijging van 1150% ten opzichte van het vorige kwartaal.
De grootste aanval ter wereld: 7,3 Tbps
De meeste DDoS-aanvallen duren kort, zelfs de grootste en meest intense. Kwaadwillende actoren vertrouwen vaak op korte pieken van geconcentreerd verkeer – soms slechts 45 seconden, zoals te zien was bij de monumentale DDoS-aanval van 7,3 Tbps – in een poging om detectie te omzeilen, doelen te overweldigen en maximale verstoring te veroorzaken voordat de verdediging volledig geactiveerd kan worden. Deze tactiek van korte, intensieve uitbarstingen maakt het detecteren en beperken van dreigingen lastiger en benadrukt de noodzaak van permanente realtime bescherming. Gelukkig wordt de autonome DDoS-verdediging van Cloudflare direct geactiveerd.
Help een beter internet te bouwen
De missie van Cloudflare is om een beter Internet te bouwen. Een onderdeel van die missie is het aanbieden van gratis, onbeperkte DDoS-bescherming, ongeacht de grootte, duur en hoeveelheid. Wij beschermen u niet alleen tegen DDoS-aanvallen. De beste verdediging is een goede aanval. Met onze gratis ISP Botnet Threat Feed dragen we bij aan het uitschakelen van botnets.
Terwijl veel bedrijven nog steeds reactief omgaan met beveiliging of vertrouwen op verouderde oplossingen, blijkt uit onze gegevens dat een proactieve, voortdurend actieve beveiliging veel effectiever is. Dankzij een wereldwijd netwerk met een capaciteit van 388 Tbps in meer dan 330 steden bieden wij een geautomatiseerde, in-line en beproefde verdediging tegen alle soorten DDoS-aanvallen.