Välkommen till den 20:e upplagan av DDoS-hotrapporten från Cloudflare, som kommer ut fem år efter vår första rapport från 2020.
Denna rapport publiceras kvartalsvis och ger en omfattande analys av det föränderliga hotlandskapet för DDoS-attacker (Distributed Denial of Service) baserat på data från Cloudflare-nätverket. I denna utgåva fokuserar vi på det fjärde kvartalet 2024 och blickar tillbaka på året som helhet.
När vi publicerade vår första rapport var Cloudflares globala nätverkskapacitet 35 terabit per sekund (Tbit/s). Sedan dess har vår nätverkskapacitet ökat med 817 % till 321 Tbit/s. Vi har också kraftigt utökat vår globala närvaro med 65 %, från 200 städer i början av 2020 till 330 städer i slutet av 2024.
Med hjälp av detta enorma nätverk och servar skyddar vi nu upp emot 20 % av alla webbplatser och närmare 18 000 unika Cloudflare-kunders IP-nätverk. Denna omfattande infrastruktur och kundbas ger oss en unik position för att tillhandahålla viktiga insikter och trender som gynnar hela internetcommunityn.
År 2024 blockerade Cloudflares autonoma DDoS-försvarssystem cirka 21,3 miljoner DDoS-attacker, vilket motsvarar en ökning på 53 % jämfört med 2023. Under 2024 blockerade Cloudflare i genomsnitt 4 870 DDoS-attacker varje timme.
Under fjärde kvartalet var över 420 av dessa attacker hypervolymetriska, med hastigheter på över 1 miljard paket per sekund (pps) och 1 Tbit/s. Dessutom ökade antalet attacker som översteg 1 Tbit/s med häpnadsväckande 1 885 % jämfört med föregående kvartal.
Under Halloweenveckan 2024 upptäckte och blockerade Cloudflares DDoS-försvarssystem framgångsrikt och självständigt en DDoS-attack på 5,6 terabit per sekund (Tbit/s) – den största attack som någonsin rapporterats.
Du kan ta reda på mer om DDoS-attacker och andra typer av cyberhot genom att besöka vårt Utbildningscenter, läsa föregående rapporter om DDoS-hot på Cloudflare-bloggen eller besöka vår interaktiva hubb, Cloudflare Radar. Det finns också ett kostnadsfritt API för alla som är intresserade av att undersöka dessa och andra internettrender. Du kan också ta reda på mer om metoderna som används för att utarbeta dessa rapporter.
Anatomi över en DDoS-attack
Bara under fjärde kvartalet 2024 förhindrade Cloudflare 6,9 miljoner DDoS-attacker. Det motsvarar en ökning på 16 % jämfört med föregående kvartal och 83 % jämfört med samma kvartal föregående år.
Av DDoS-attackerna under fjärde kvartalet 2024 var 49 % (3,4 miljoner) DDoS-attacker på nivå 3/nivå 4 och 51 % (3,5 miljoner) var DDoS HTTP-attacker.
Fördelning av 6,9 miljoner DDoS-attacker: Q4 2024
Majoriteten av DDoS HTTP-attackerna (73 %) utfördes av kända botnät. Snabb upptäckt och blockering av dessa attacker möjliggjordes tack vare att vi drev ett stort nätverk och såg många olika typer av attacker och botnät. Detta ger i sin tur våra säkerhetsingenjörer och forskare möjlighet att utarbeta heuristik för att öka effektiviteten mot dessa attacker.
Ytterligare 11 % var DDoS HTTP-attacker som avslöjades förefalla vara legitima webbläsare. Ytterligare 10% var attacker som innehöll misstänkta eller ovanliga HTTP-attribut. De återstående 8% "Annat" var generiska HTTP-oversvämningar, volymetriska cache-busting-attacker och volymetriska attacker riktade mot inloggningsändpunkter.
Främsta DDoS HTTP-attackvektorerna: Q4 2024
Dessa attackvektorer, eller attackgrupper, är inte nödvändigtvis exklusiva. Det finns till exempel kända botnät som också utger sig för att vara webbläsare och har misstänkta HTTP-attribut, men den här uppdelningen är vårt försök att kategorisera DDoS HTTP-attackerna på ett meningsfullt sätt.
Vid publiceringen av denna rapport är 132 den aktuella stabila versionen av Chrome för Windows, Mac, iOS och Android, enligt Googles versionsinformation. Det verkar dock som om hotaktörerna fortfarande ligger efter, eftersom tretton av de vanligast förekommande användaragenterna i DDoS-attacker var Chrome-versioner mellan 118 och 129.
Användaragenten HITV_ST_PLATFORM hade den högsta andelen DDoS-förfrågningar av det totala antalet förfrågningar (99,9 %), vilket innebär att det är den användaragent som nästan uteslutande används i DDoS-attacker. Med andra ord, om du ser trafik som kommer från användaragenten HITV_ST_PLATFORM, är chansen att trafiken är legitim 0,1 %.
Hotaktörer vill smälta in i den vanliga trafiken och föredrar därför att använda vanligare användaragenter, som Chrome, framför ovanliga. Förekomsten av användaragenten HITV_ST_PLATFORM, som associeras med smarta TV-apparater och digitalboxar, tyder på att de enheter som är inblandade i vissa cyberattacker är riskutsatta, smarta TV-apparater eller digitalboxar. Denna observation understryker vikten av att skydda alla internetanslutna enheter, inklusive smarta TV-apparater och digitalboxar, för att förhindra att de utnyttjas i cyberattacker.
Användaragenterna som missbrukas mest i DDoS-attacker: Q4 2024
Användaragenten hackney kom på andra plats. 93 % av förfrågningarna som innehöll denna användaragent utgjorde en del av en DDoS-attack. Chansen att trafik som kommer från användaragenten hackney är legitim är 7 %. Hackney är ett HTTP-klientbibliotek för Erlang som används för att göra HTTP-förfrågningar och är populärt i Erlang/Elixir-ekosystem.
Ytterligare användaragenter som använts i DDoS-attacker är uTorrent, som är associerad med en populär BitTorrent-klient för nedladdning av filer. Go-http-client och fasthttp var också vanligt förekommande i DDoS-attacker. Den förstnämnda är standard-HTTP-klienten i Go-standardbibliotek och den sistnämnda är ett högpresterande alternativ. fasthttp används för att bygga snabba webbapplikationer, men utnyttjas också ofta för DDoS-attacker och webbskrapning.
HTTP-attribut som ofta används i DDoS-attacker
HTTP-metoder (även kallade HTTP-verb) definierar den åtgärd som ska utföras på en resurs på en server. De ingår i HTTP-protokollet och möjliggör kommunikation mellan klienter (t.ex. webbläsare) och servrar.
GET-metoden är vanligast förekommande. Nästan 70 % av de legitima HTTP-förfrågningarna använde GET-metoden. På andra plats kommer POST-metoden med en andel på 27 %.
När det gäller DDoS-attacker ser vi en annan bild. Nästan 14 % av HTTP-förfrågningarna som använde HEAD-metoden ingick i DDoS-attacker, trots att den knappt förekom i legitima HTTP-förfrågningar (0,75 % av alla förfrågningar). DELETE-metoden kom på andra plats, där cirka 7 % av användningen var för DDoS-ändamål.
Missförhållandet mellan metoder som är vanliga i DDoS-attacker jämfört med förekomsten av dessa i legitim trafik sticker definitivt ut. Säkerhetsadministratörer kan använda den här informationen för att optimera säkerheten baserat på dessa huvudpunkter.
Fördelning av HTTP-metoder i DDoS-attacker och legitim trafik: Q4 2024
En HTTP-sökväg beskriver en specifik serverresurs. Servern utför åtgärden på resursen i kombination med HTTP-metoden.
Till exempel, instruerar GET https://developers.cloudflare.com/ddos-protection/ servern att hämta innehållet till resursen /DDoS-protection/.
DDoS-attacker riktar sig ofta mot webbplatsens rot ("/"), men i andra fall kan de rikta sig mot specifika sökvägar. Under fjärde kvartalet 2024 utgjorde 98 % av HTTP-förfrågningarna mot sökvägen /wp-admin/ del av DDoS-attacker. Sökvägen /wp-admin/ är standardinstrumentpanelen för administratörer på WordPress-webbplatser.
Självklart är många sökvägar unika för den specifika webbplatsen, men i diagrammet nedan har vi angett de generiska sökvägar som attackerades mest. Säkerhetsadministratörer kan använda dessa data för att stärka skyddet på dessa slutpunkter, i förekommande fall.
HTTP-sökvägarna som oftast utsätts för DDoS HTTP-attacker: Q4 2024
Under fjärde kvartalet utgjordes nästan 94 % av den legitima trafiken av HTTPS. Endast 6 % var HTTP i klartext (ej krypterad). Om man tittar på DDoS-attacktrafiken skedde cirka 92 % av DDoS HTTP-attackförfrågningarna över HTTPS, och nästan 8 % över HTTP i klartext.
HTTP vs HTTPS i legitim trafik och DDoS-attacker: Q4 2024
Nivå 3/nivå 4-DDoS-attacker
De tre vanligaste nivå 3/nivå 4-attackvektorerna (nätverkslager) var SYN flood (38 %), DNS flood-attacker (16 %) och UDP flood (14 %).
De främsta N3/4-DDoS-attackvektorerna: Q4 2024
Ytterligare en vanlig attackvektor, eller snarare typ av botnät, är Mirai. Mirai-attackerna stod för 6 % av alla DDoS-attacker i nätverkslagret – en ökning med 131 % jämfört med föregående kvartal. Under fjärde kvartalet 2024 låg ett botnät av Mirai-variant bakom den största DDoS-attacken som någonsin registrerats, men vi kommer att diskutera det vidare i nästa avsnitt.
Attackvektorer på uppgång
Innan vi går vidare till nästa avsnitt är det värt att diskutera ökningen av ytterligare attackvektorer som observerades under kvartalet.
De största framväxande hoten: Q4 2024
DDoS-attacker mot Memcached ökade mest, med en ökning på 314 % jämfört med föregående kvartal. Memcached är ett databascachningssystem för att snabba upp webbplatser och nätverk. Memcached-servrar som stöder UDP kan utnyttjas för att starta DDoS-attacker med förstärkning eller reflektion. I det här fallet skulle angriparen begära innehåll från cachelagringssystemet och förfalska offrets IP-adress som käll-IP i UDP-paketen. Offret översvämmas av Memcache-svaren, som kan vara upp till 51 200 gånger större än den ursprungliga begäran.
DDoS-attackerna mot BitTorrent ökade också kraftigt under kvartalet, med 304 %. BitTorrent-protokollet är ett kommunikationsprotokoll som används för fildelning inom samma datornätverk. För att hjälpa BitTorrent-klienterna att hitta och ladda ner filerna på ett effektivt sätt kan BitTorrent-klienterna använda BitTorrent-spårare eller Distribuerade hashtabeller (DHT) för att identifiera de anslutna enheter som seedar den önskade filen. Detta koncept kan utnyttjas för att starta DDoS-attacker. En illvillig aktör kan förfalska offrets IP-adress som en seeder-IP-adress inom spårare och DHT-system. Sedan skulle kunderna begära filerna från dessa IP-adresser. Med ett tillräckligt antal klienter som begär filen kan den översvämma offret med mer trafik än vad som är hanterbart.
Den största DDoS-attacken som någonsin registrerats
Den 29 oktober startade ett botnät av Mirai-variant en UDP DDoS-attack på 5,6 Tbit/s riktad mot en Cloudflare Magic Transit-kund, en internetleverantör från Östasien. Attacken varade bara i 80 sekunder och utgick från över 13 000 IoT-enheter. Detektering och begränsning skedde helt autonomt genom Cloudflares distribuerade försvarssystem. Ingen mänsklig inblandning krävdes, inga varningar utlöstes och ingen prestandaförsämring orsakades. Systemen fungerade som avsett.
Cloudflares autonoma DDoS-försvar motverkar en DDoS Mirai-attack på 5,6 Tbit/s utan mänsklig inblandning
Det totala antalet unika IP-adresser var cirka 13 000, medan det genomsnittliga antalet unika käll-IP-adresser per sekund var 5 500. Vi såg också ett liknande antal unika källportar per sekund. I diagrammet nedan representerar varje linje en av de 13 000 olika käll-IP-adresserna, och det framgår att var och en bidrog med mindre än 8 Gbps per sekund. Det genomsnittliga bidraget från varje IP-adress per sekund var cirka 1 Gbps (~0,012 % av 5,6 Tbit/s).
De 13 000 käll-IP-adresserna som startade DDoS-attacken på 5,6 Tbit/s
Hypervolymetriska DDoS-attacker
Under tredje kvartalet 2024 började vi se en ökning av DDoS-attacker i hypervolymetriska nätverkslager. Under fjärde kvartalet 2024 ökade antalet attacker som översteg 1 Tbit/s med 1 885 % jämfört med föregående kvartal och antalet attacker som översteg 100 miljoner pps (paket per sekund) ökade med 175 % jämfört med föregående kvartal. 16 % av attackerna som översteg 100 miljoner pps översteg också 1 miljard pps.
Fördelning av hypervolymetriska DDoS-attacker på nivå 3/nivå 4: Q4 2024
Majoriteten av DDoS HTTP-attackerna (63 %) översteg inte 50 000 förfrågningar per sekund. På andra sidan spektrat översteg 3 % av DDoS HTTP-attackerna 100 miljoner förfrågningar per sekund.
På samma sätt är majoriteten av DDoS-attackerna i nätverkslagret också små. 93 % översteg inte 500 Mbps och 87 % översteg inte 50 000 paket per sekund.
Förändring i attackstorlek efter pakethastighet jämfört med föregående kvartal: Q4 2024
Förändring i attackstorlek efter bithastighet jämfört med föregående kvartal: Q4 2024
Majoriteten av DDoS HTTP-attackerna (72 %) avslutas på mindre än tio minuter. Cirka 22 % av DDoS HTTP-attackerna varar i mer än en timme och 11% i mer än 24 timmar.
På samma sätt avslutas 91 % av DDoS-attackerna i nätverkslagret inom tio minuter. Endast 2 % varar i över en timme.
Totalt sett minskade DDoS-attackernas varaktighet betydligt jämfört med föregående kvartal. Eftersom de flesta attacker pågår under så kort tid är det i de flesta fall inte möjligt för en människa att reagera på ett larm, analysera trafiken och vidta åtgärder. Attackernas korta varaktighet understryker behovet av en automatiserad DDoS-skyddstjänst som alltid är i drift.
Förändring i attackens varaktighet jämfört med föregående kvartal: Q4 2024
Under det sista kvartalet 2024 förblev Indonesien den största utgångspunkten för DDoS-attacker i världen för andra kvartalet i rad. För att förstå var attackerna kommer ifrån kartlägger vi käll-IP-adresserna för DDoS HTTP-attacker, eftersom de inte kan förfalskas, och för DDoS-attacker på nivå 3/nivå 4 använder vi platsen för våra datacenter där DDoS-paketen togs emot. Detta gör att vi kan övervinna den förfalskningsförmåga som är möjlig på nivå 3/nivå 4. Vi kan uppnå geografisk noggrannhet tack vare vårt omfattande nätverk som omfattar 330 städer världen över.
Hong Kong kom på andra plats efter att ha klättrat fem placeringar från föregående kvartal. Singapore avancerade tre placeringar och hamnade på tredje plats.
De tio största källorna bakom DDoS-attacker: Q4 2024
Ett autonomt system (AS) är ett stort nätverk eller en grupp av nätverk som har en enhetlig routningspolicy. Alla datorer eller enheter som ansluter till internet är ansluten till en AS. Ta reda på vilket ditt AS är genom att besöka https://radar.cloudflare.com/ip.
När man tittar på varifrån DDoS-attackerna kommer, särskilt DDoS HTTP-attacker, finns det några autonoma system som sticker ut.
Det AS som vi såg mest DDoS HTTP-attacktrafik från under fjärde kvartalet 2024, var tyskbaserade Hetzner (AS24940). Nästan 5 % av alla HTTP DDoS-förfrågningar härrörde från Hetzers nätverk, eller med andra ord, 5 av 100 DDoS HTTP-förfrågningar som Cloudflare blockerade härrörde från Hetzner.
På andra plats har vi USA-baserade Digital Ocean (AS14061), följt av Frankrike-baserade OVH (AS16276) på tredje plats.
De 10 största källnätverken bakom DDoS-attacker: Q4 2024
För många nätoperatörer, t.ex. de som nämns ovan, kan det vara svårt att identifiera de illasinnade aktörer som utnyttjar deras infrastruktur för att utföra attacker. För att hjälpa nätoperatörer och tjänsteleverantörer att komma till rätta med missbruket tillhandahåller vi ett kostnadsfrittunderrättelseflöde om DDoS-botnäthot som innebär att ASN-ägare tillhandahålls en lista över deras IP-adresser som vi har sett delta i DDoS-attacker.
När vi frågade Cloudflare-kunder som utsatts för DDoS-attacker sa majoriteten att de inte visste vem som attackerat dem. De som visste om det uppgav att deras konkurrenter var den främsta hotaktören bakom attackerna (40 %). Ytterligare 17 % rapporterade att en statlig eller statligt sponsrad hotaktör låg bakom attacken, och en liknande andel rapporterade att en missnöjd användare eller kund låg bakom attacken.
Ytterligare 14 % uppgav att en utpressare låg bakom attackerna. 7 % hävdade att DDoS-attacken varit självförvållad, 2 % uppgav hacktivism som orsak till attacken och ytterligare 2 % rapporterade att attackerna startats av tidigare anställda.
De främsta hotaktörerna: Q4 2024
DDoS-utpressningsattacker
Under det sista kvartalet 2024 observerade vi som väntat en kraftig ökning av DDoS-utpressningsattacker. Denna ökning var förutsägbar, med tanke på att fjärde kvartalet är en bra period för cyberbrottslingar, då onlineshopping, resebokning och semesteraktiviteter ökar. Att störa dessa tjänster under högtrycksperioder kan påverka företagens intäkter avsevärt och orsaka störningar i den verkliga världen, till exempel försenade och inställda flyg.
Under fjärde kvartalet rapporterade 12 % av Cloudflares kunder som utsatts för DDoS-attacker att de hotats eller pressats på lösensumma. Detta motsvarar en ökning med 78 % jämfört med föregående kvartal och 25 % jämfört med fjärde kvartalet 2023.
Rapporterade DDoS-utpressningsattacker efter kvartal: 2024
En tillbakablick på hela året 2024 visar att Cloudflare mottog flest rapporter om DDoS-utpressningsattacker i maj. Under fjärde kvartalet kan vi se en gradvis ökning från oktober (10 %), november (13 %) och december (14 %) – den högsta noteringen på sju månader.
Rapporterade DDoS-utpressningsattacker efter månad: 2024
Under fjärde kvartalet 2024 behöll Kina sin position som det land som utsattes för flest attacker. För att förstå vilka länder som utsätts för flest attacker grupperar vi DDoS-attackerna efter våra kunders faktureringsland.
Filippinerna gör sitt första framträdande som det näst mest attackerade landet i topp 10. Taiwan klättrade till tredje plats, upp sju placeringar jämfört med förra kvartalet.
På kartan nedan kan du se de 10 mest angripna platserna och hur deras ranking förändrats jämfört med föregående kvartal.
De 10 platser som utsattes för flest DDoS-attacker: Q4 2024
Branscher som utsattes för flest attacker
Under det fjärde kvartalet 2024 gick telekommunikation, tjänsteleverantörer och -operatörer från tredje plats (förra kvartalet) upp till första plats som den mest attackerade branschen. För att förstå vilka branscher som utsätts för flest attacker grupperar vi DDoS-attackerna efter branscherna som våra kunder ingår i. Internetbranschen kom på andra plats, följt av marknadsföring och reklam på tredje plats.
Bank- och finanstjänster tappade sju placeringar från första plats under tredje kvartalet 2024, till åttonde plats under fjärde kvartalet.
De 10 branscher som utsattes för flest DDoS-attacker: Q4 2024
Vårt arbete för obegränsat DDoS-skydd
Under fjärde kvartalet 2024 ökade antalet hypervolymetriska DDoS-attacker på nivå 3/nivå 4 kraftigt, och den största slog vårt tidigare rekord med en toppnotering på 5,6 Tbit/s. Denna attackstorleksökning innebär att kapacitetsbegränsade DDoS-skyddstjänster i molnet eller platsbaserade DDoS-tillämpningar är obrukliga.
Den ökande användningen av kraftfulla botnät, som drivs på av geopolitiska faktorer, har breddat utbudet av sårbara mål. En ökning av DDoS-utpressningsattacker är också ett växande problem.
Alltför många organisationer implementerar DDoS-skydd först efter att ha utsatts för en attack. Våra observationer visar att organisationer med proaktiva säkerhetsstrategier är mer motståndskraftiga. På Cloudflare investerar vi i automatiserade försvar och en omfattande säkerhetsportfölj för att ge proaktivt skydd mot både nuvarande och nya hot.
Med vårt 321 Tbit/s-nätverk som omfattar 330 städer globalt, fortsätter vi att tillhandahålla obegränsat DDoS-skydd oavsett attackstorlek, varaktighet eller antal attacker.