Cloudflare Tahan Serangan DDoS Rekor 11,5 Tbps & Tren “Hyper-Volumetric” 2025 — Serta Bedah RapperBot yang Membidik NVR
Cloudflare mengumumkan di X bahwa dalam beberapa minggu terakhir mereka secara otonom memblokir ratusan serangan DDoS hyper-volumetric. Puncak terbesar mencapai 11,5 terabit per detik (Tbps) dengan 5,1 miliar paket per detik (Bpps). Polanya adalah UDP flood dengan sumber trafik yang utama berasal dari Google Cloud. Menariknya, seluruh gelombang puncak hanya sekitar 35 detik, namun cukup untuk menguji batas jaringan jika kontrol mitigasi tak siap atau tidak otomatis. Ini melanjutkan catatan sebelumnya pada pertengahan Mei 2025 ketika Cloudflare juga memblokir serangan 7,3 Tbps ke satu penyedia hosting.
Mengapa hyper-volumetric meroket di 2025?
Cloudflare mencatat lonjakan tajam serangan L3/L4 yang melampaui 1 Bpps atau 1 Tbps: dari ~700 insiden pada Q1 2025 menjadi ~6.500 pada Q2 2025. Di sisi lain, serangan volumetrik bukan sekadar “banjir trafik”. Akamai mengingatkan bahwa pelaku sering menjadikannya “smoke screen”—ketika tim sibuk memadamkan volumetrik, penyerang melancarkan serangan multi-vektor untuk menyusup lebih jauh: mencuri data, transfer dana, mengambil alih akun bernilai tinggi, atau menanam akses lanjutan. Artinya, kecepatan pemulihan dan visibilitas lintas lapisan (L3/4 hingga aplikasi) menjadi krusial agar tak kehilangan jejak serangan utama.
Bedah kill chain RapperBot: dari NVR ke C2 via DNS TXT
Di saat skala volumetrik meningkat, RapperBot menegaskan bahwa botnet IoT masih menjadi mesin di balik banyak DDoS. Penelitian Bitsight menggambarkan rantai serangannya pada network video recorder (NVR) dan perangkat IoT lain:
- Initial access: eksploitasi path traversal pada web server NVR untuk membocorkan kredensial admin yang valid.
- Eksekusi: pelaku mendorong firmware palsu yang menjalankan serangkaian perintah bash guna mount share NFS jarak jauh (
104.194.9[.]127), mengunduh payload RapperBot, lalu mengeksekusinya sesuai arsitektur CPU perangkat. - C2 & penyamaran: malware mengambil DNS TXT dari domain yang sudah hard-coded (
iranistrash[.]libre,pool.rentcheapcars[.]sbs) untuk memperoleh daftar IP command-and-control. Alamat C2 dipetakan ke domain C2 melalui DGA sederhana (kombinasi 4 domain, 4 subdomain, 2 TLD) dan di-resolve menggunakan DNS server hard-coded. - Operasi: sambungan ke C2 dienkripsi; bot menerima perintah DDoS dan menscan internet mencari port terbuka untuk memperluas infeksi.
- Taktik bertahan: tanpa persistensi rumit—strateginya “scan & infect lagi”—karena perangkat lama yang rentan tetap banyak dan mudah ditemukan.
eekosistem NVR/IoT yang minim fitur keamanan standar (resource terbatas, update lambat) mendorong pelaku memilih teknik NFS mount yang “murah” namun efektif, asalkan exploit dirancang presisi terhadap merek/model target.
Dampak untuk organisasi & ops: kapasitas, visibilitas, disiplin egress
Lonjakan hyper-volumetric memaksa tim menilai ulang arsitektur ketahanan:
- Anycast + autoscale scrubbing: pastikan lintasan BGP dan kapasitas scrubbing mampu menyerap puncak di atas 10 Tbps dan >5 Bpps—uji dengan table-top dan simulasi trafik.
- Telemetri pps & rate limit L3/4: banyak tim fokus pada Gbps, padahal Bpps yang “membunuh” CPU router/firewall. Log pps, packet drops, dan SYN/UDP anomaly harus menjadi panel utama.
- Playbook smoke screen: ketika volumetrik muncul, jalankan hunts paralel untuk anomali lain (auth, egress, DNS, data-exfil) agar tidak tertipu layar asap.
- Higiene IoT/NVR: segmentasi VLAN, blok outbound NFS/DNS non-standar, nonaktifkan layanan tak perlu, dan audit firmware update path agar tak bisa disusupi.
- Kontrol kredensial: cegah leak via path traversal dengan hardening web console, MFA, serta pembatasan akses manajemen hanya dari jaringan admin.