Cloudflare zei donderdag dat het duizenden hypervolumetrische HTTP-distributed denial-of-service (DDoS)-aanvallen heeft beperkt die misbruik maakten van een onlangs onthulde fout genaamd HTTP/2 Rapid Reset, waarvan er 89 de 100 miljoen verzoeken per seconde (RPS) overschreden.
“De campagne heeft bijgedragen aan een algehele toename van 65% in het HTTP DDoS-aanvalsverkeer in het derde kwartaal vergeleken met het voorgaande kwartaal”, aldus het webinfrastructuur- en beveiligingsbedrijf in een rapport gedeeld met The Hacker News. “Op dezelfde manier zijn de L3/4 DDoS-aanvallen ook met 14% toegenomen.”
Het totale aantal HTTP DDoS-aanvalsverzoeken in het kwartaal steeg naar 8,9 biljoen, vergeleken met 5,4 biljoen in het tweede kwartaal van 2023 en 4,7 biljoen in het eerste kwartaal van 2023. Het aantal aanvalsverzoeken in het vierde kwartaal van 2022 bedroeg 6,5 biljoen.
HTTP/2 Rapid Reset (CVE-2023-44487) kwam eerder deze maand aan het licht na een sectorbrede gecoördineerde onthulling die zich verdiepte in DDoS-aanvallen die door een onbekende actor waren georkestreerd door de fout te benutten om zich te richten op verschillende providers zoals Amazon Web Services (AWS ), Cloudflare en Google Cloud.
Fastly zei woensdag in een eigen onthulling dat het een soortgelijke aanval had tegengegaan die een piek bereikte van ongeveer 250 miljoen RPS en een duur van ongeveer drie minuten.
“Botnets die gebruik maken van cloud computing-platforms en HTTP/2 exploiteren, kunnen tot wel 5.000 extra kracht per botnetknooppunt genereren”, aldus Cloudflare. “Hierdoor konden ze hypervolumetrische DDoS-aanvallen lanceren met een klein botnet dat alleen al tussen de 5 en 20.000 knooppunten besloeg.”
Tot de topsectoren die het doelwit zijn van HTTP DDoS-aanvallen behoren gaming, IT, cryptocurrency, computersoftware en telecom, waarbij de VS, China, Brazilië, Duitsland en Indonesië verantwoordelijk zijn voor de grootste bronnen van DDoS-aanvallen op de applicatielaag (L7).
Aan de andere kant kwamen de VS, Singapore, China, Vietnam en Canada naar voren als de belangrijkste doelwitten van HTTP DDoS-aanvallen.
“Voor het tweede achtereenvolgende kwartaal waren DNS-gebaseerde DDoS-aanvallen de meest voorkomende”, aldus het bedrijf. “Bijna 47% van alle aanvallen was gebaseerd op DNS. Dit vertegenwoordigt een stijging van 44% vergeleken met het voorgaande kwartaal. SYN-overstromingen blijven op de tweede plaats staan, gevolgd door RST-overstromingen, UDP-overstromingen en Mirai-aanvallen.”
Een andere opmerkelijke verandering is de afname van het aantal DDoS-aanvallen met losgeld, volgens Cloudflare “omdat bedreigingsactoren zich hebben gerealiseerd dat organisaties hen niet zullen betalen.”
De onthulling komt te midden van schommelingen in het internetverkeer en een piek in DDoS-aanvallen in de nasleep van de oorlog tussen Israël en Hamas, waarbij Cloudflare verschillende aanvalspogingen tegen Israëlische en Palestijnse websites afweerde.
