DDoS-detectietool FastNetMon heeft een DDoS-aanval van 1,5 miljard packets per seconde gedetecteerd. Het doelwit: een Europese provider van DDoS-scrubbingdiensten.
De aanval is een van de grootste DDoS’en ooit, maar blijft ver achter de 11,5 miljard packets die Cloudflare onlangs detecteerde. De doelwitkeuze is hoe dan ook frappant: de DDoS-aanval was gericht op een dienst die juist andere organisaties tegen de gevolgen van een dergelijke “packetflood” beschermt.
Gekaapte huishoudapparatuur als wapen
Het kwaadaardige verkeer kwam voort uit meer dan 11.000 unieke netwerken wereldwijd. Deze bestonden hoofdzakelijk uit gecompromitteerde customer-premises equipment (CPE), inclusief IoT-apparaten en routers. Met andere woorden: veel IP-adressen van nietsvermoedende gebruikers waren onbedoeld medeplichtig.
UDP-floods vormden de basis van de aanval. Dit protocol wordt vaak misbruikt omdat het geen handshake vereist zoals TCP en daardoor makkelijker te spoofen is. De combinatie van massaal gekaapte apparatuur en een efficiënt aanvalsprotocol maakte de schaal van de aanval mogelijk.
Nieuw record in gezicht van Cloudflare
De timing van de aankondiging is opvallend. Slechts enkele dagen geleden rapporteerde Cloudflare een recordbrekende 11,5 Tbps DDoS-aanval. Dat was een verdubbeling van een eerdere DDoS die hetzelfde bedrijf begin dit jaar vermeldde.
FastNetMon is niet geheel verrassend te spreken over het eigen Advanced-platform, waarop de aanval gedetecteerd werd. Dankzij “geoptimaliseerde C++-algoritmen voor real-time netwerkvisibiliteit” detecteerde FastNetMon de aanval binnen enkele seconden. Deze snelle respons voorkwam uitval van de dienst die anders als slachtoffer had gegolden.
Industrie moet nu handelen
Pavel Odintsov, oprichter van FastNetMon, noemt de aanval “deel van een gevaarlijke trend”. “Wanneer tienduizenden CPE-apparaten gekaapt kunnen worden voor gecoördineerde pakketvloeden van deze omvang, groeien de risico’s voor netwerkoperators exponentieel. Er moet detectielogica op ISP-niveau geïmplementeerd worden om uitgaande aanvallen te stoppen voordat ze opschalen.”
Dit wijst op een structureel probleem. Hoewel defensieve maatregelen blijven verbeteren, neemt het offensieve potentieel van botnets nog harder toe. De beschikbaarheid van miljoenen onveilige IoT-apparaten wereldwijd creëert een vrijwel onuitputtelijke voorraad aanvalswapens. Het is lastig voor te stellen hoe deze feitelijk eenvoudige aanval voorbij een wapenwedloop gaat, zeker als we zien hoe vaak kritieke diensten offline gehaald worden door een DDoS.
Lees hier verder over een voorbeeld hiervan: DigiD-storing ontstaan door DDoS
Moderne DDoS-bescherming vereist daarom een holistische aanpak, zo stipt FastNetMon aan. Individuele organisaties kunnen zichzelf verdedigen, maar zonder een alomvattende aanpak gericht op samenwerking blijft een oplossing uit.