Internetbedrijven Google, Amazon en Cloudflare zeggen dat ze de grootste denial-of-service-aanval ooit op het internet hebben doorstaan en luiden de noodklok over een nieuwe techniek die gemakkelijk wijdverspreide storingen kan veroorzaken.

Google, dat eigendom is van Alphabet Inc, zei in een dinsdag gepubliceerd blogbericht dat haar clouddiensten een lawine van malafide verkeer hadden gepareerd die meer dan zeven keer zo groot was als de vorige recordbrekende aanval die vorig jaar werd verijdeld.

Internetbeschermingsbedrijf Cloudflare Inc zei dat de aanval "drie keer zo groot was als enige eerdere aanval die we hebben waargenomen". De webdienstenafdeling van Amazon.com Inc bevestigde ook te zijn getroffen door "een nieuw type DDoS-gebeurtenis (Distributed Denial of Service)".

Alle drie zeiden dat de aanval eind augustus begon; Google zei dat deze nog gaande was.

Denial of Service (DDoS) is een van de meest basale aanvalsvormen op het internet en werkt door eenvoudigweg de beoogde servers te overspoelen met een firehose van valse verzoeken om gegevens, waardoor het voor legitiem webverkeer onmogelijk wordt om er doorheen te komen.

Naarmate de online wereld zich heeft ontwikkeld, is ook de kracht van denial-of-service operaties toegenomen, waarvan sommige miljoenen valse aanvragen per seconde kunnen genereren. De recente aanvallen gemeten door Google, Cloudflare en Amazon waren in staat om honderden miljoenen aanvragen per seconde te genereren.

Google zei in zijn blogpost dat slechts twee minuten van één zo'n aanval "meer verzoeken genereerde dan het totale aantal artikelweergaves dat Wikipedia rapporteerde gedurende de hele maand september 2023". Cloudflare zei dat de aanval van een omvang was die "nog nooit eerder is gezien".

Alle drie de bedrijven zeiden dat de supergrote aanvallen mogelijk werden gemaakt door een zwakke plek in HTTP/2 - een nieuwere versie van het HTTP-netwerkprotocol dat ten grondslag ligt aan het World Wide Web - die servers bijzonder kwetsbaar maakt voor malafide verzoeken.

De bedrijven drongen er bij bedrijven op aan om hun webservers bij te werken om ervoor te zorgen dat ze niet kwetsbaar blijven.

Geen van de drie bedrijven zei wie verantwoordelijk was voor de denial of service-aanvallen, die in het verleden moeilijk te achterhalen waren.

Dergelijke aanvallen kunnen tot wijdverspreide verstoringen leiden als ze slim worden opgezet en niet succesvol worden tegengegaan. In 2016 werd domeinnaamdienst Dyn getroffen door een aanval die werd toegeschreven aan het "Mirai" netwerk van gekaapte apparaten, waardoor een groot aantal belangrijke websites werd verstoord.

De waakhond voor cyberveiligheid van de Amerikaanse overheid, CISA, heeft niet onmiddellijk gereageerd op een bericht waarin om commentaar werd gevraagd. (Verslaggeving door Raphael Satter Bewerking door Sandra Maler)