Akamai: Veränderungen im Charakter von DDoS-Attacken

Von Januar bis März registrierte das für den Schutz vor DDoS-Attacken zuständige Team von Akamai Technologies (PLXsert) innerhalb des Kundenstamms doppelt so viele Attacken wie im entsprechenden Vorjahreszeitraum, das sind um 35% mehr als im vorangegangenen Quartal. Gemäß der Statistik des Unternehmens haben sich solche Vorfälle gehäuft, allerdings sind sie nun schwächer und dauern länger an. Wenn also vor einem Jahr sehr leistungsstarke, aber kurze DDoS-Attacken die Norm waren, so überstieg eine typische Attacke im vergangenen Quartal nicht die Marke von 10 GBit/Sekunde und dauerte länger als 24 Stunden.

Trotzdem betrug die Leistungsstärke in acht der beobachteten Fälle mehr als 100 GB/Sek.; vor einem Jahr waren Fälle dieser Art eine Seltenheit. Fast alle diese Megaattacken gehörten zum Angriffstyp SYN flood, fünf von ihnen richteten sich gegen Internetprovider, die ihre Dienste unter anderem der Spiele-Industrie zur Verfügung stellen. Die heftigste DDoS-Attacke betrug in der Spitze 158 GB. Es handelte sich dabei um eine Multivektorenattacke, die SYN flood und UDP flood kombinierte, unter anderem mit Fragmentierung der Pakete (wie bei DDoS-Attacken mit DNS- oder CHARGEN-Verstärkung).

Der durchschnittliche Spitzenwert von DDoS-Attacken ging nach Angaben des PLXsert auf 5,95 GB zurück, während er im vorangegangenen Quartal 6,41 GB und im ersten Quartal 2014 9,70 GB betrug. Die Höchstzahl an Paketen in der Sekunde nahm im Laufe des Quartals leicht ab und betrug 2,21 gegenüber 2,31 Mpps, während sie im Laufe des Jahres deutlich abnahm (19,8 Mpps).

Die Experten fassen die beobachteten Veränderungen in der DDoS-Arena folgendermaßen zusammen:

Gegenüber dem 4. Quartal 2014:

  • Die allgemeine Menge der Vorfälle stieg um 35,24%.
  • Die Zahl der Attacken auf Anwenderebene (7) stieg um 22,22%.
  • Die Zahl der Attacken auf Netzebene (3 und 4) stieg um 36,74%.
  • Die durchschnittliche Dauer von DDoS-Attacken ging um 15,37% zurück, und zwar von 29,33 auf 24,82 Stunden.

Gegenüber dem 1. Quartal 2014:

  • Die Gesamtzahl der DDoS-Attacken stieg um 116,5%.
  • Die Zahl der Attacken auf Ebene 7 stieg um 59,83%.
  • Die Zahl der Vorfälle auf Netzebene stieg um 124,69%.
  • Die Dauer der Attacken nahm um 42,8% zu.

Auf die DDoS-Attacken auf Netzebene entfielen im Berichtszeitraum 90,68%. Viele davon machten sich die Technik der Spiegelung und Verstärkung des Traffics zunutze. Wie wir bereits häufiger erläuterten, sind solche Angriffe einfach in der Durchführung und ermöglichen es gleichzeitig, einen gewaltigen Strom an Junk-Traffic mit minimalem Ressourcenaufwand zu erzeugen. Zwischen Januar und März bevorzugten Cyberkriminelle eindeutig Attacken mit SSDP-Verstärkung, auf sie entfiel ein Anteil von mehr als 20% aller DDoS-Attacken, die das PLXsert registrierte, das ist um 6 Prozentpunkte mehr als im vorangegangenen Quartal. Diese Technik wurde erstmals im dritten Quartal des vergangenen Jahres vermehrt eingesetzt und nimmt seither eindeutig Fahrt auf. Dabei geht es darum, dass SSDP-Attacken als Vermittler UPnP-Geräte von Heimanwendern und in Büros verwenden, bei denen der entsprechende Dienst aktiviert ist. Und von solchen Routern, Medien-Servern und Druckern gibt es eine Unmenge im Netz, und es ist bisweilen überaus schwierig, sie vor Ort zu patchen.

Die Situation wird durch die stetige Ausweitung des Schwarzmarktes für DDoS-Services und die allgemein größer werdende Kanalkapazität der Internetkanäle verschärft. Die Experten weisen darauf hin, dass noch vor einem Jahr selten einer der geschäftstüchtigen Ausführer von Auftragsattacken seinen Kunden etwas Interessanteres als 10-20 GBit/Sekunde anbieten konnte. Zum gegenwärtigen Zeitpunkt sind viele Untergrundservices in der Lage, mehr als 100 GB anzubieten, sie verfolgen ständig die letzten Neuheiten auf dem Gebiet und übernehmen sie in ihr Angriffsarsenal. So sind SSDP-Attacken as a Service mittlerweile eine gängige Erscheinung. Überdies entdeckte PLXsert im vergangenen Quartal eine Reihe von Untergrund-Websites, die ein und dieselben Skripte für die Auftragserfüllung benutzen.

Laut der im Akamai-Bericht vorgestellten Statistik hat sich auch die Platzverteilung im Rating der Angriffsvektoren geändert. Angeführt wird es von SSDP-Attacken mit einem Anteil von 20,78% an allen DDoS-Attacken; auch andere Attacken mit Verstärkung sind weiterhin aktuell, haben allerdings niedrigere Werte: NTP 6,87%, DNS 5,93%, CHARGEN 5,78%. Der Beitrag des früheren stabilen Spitzenreiters, SYN flood, zum gesamten Junk-Traffic betrug 15,79%, im Fall von UDP flood waren es 13,25%, bei UDP mit Fragmentierung 12,00%.

Angriffe auf Anwendungen wurden nach Angaben des PLXsert hauptsächlich mit dem Typ GET flood (7,47% der DDoS-Attacken) durchgeführt. Diese Angriffe kommen ohne Botnetze aus, sie verwenden Skripte, offene Proxys sowie kompromittierte Websites auf WordPress und Joomla. In vielen Fällen handelte es sich bei einer beobachteten HTTP GET-Attacke um einen umgeleiteten Traffic-Strom aus Asien.

Die Hauptziele der Cyberkriminellen waren – wie auch schon in den beiden vorangegangenen Quartalen – Game-Sites, auf die ein Anteil von 35% der DDoS-Attacken entfiel. Diese Angriffe wurden nicht selten mit dem Wunsch nach Ruhm und Ehre durchgeführt, oder um den guten Ruf der Site zu untergraben oder das reibungslose Funktionieren einer Ressource zu stören. Besonders häufig wurden sie im Januar registriert. Den zweiten Platz im Rating der DDoS-Opfer belegten Softwarehersteller und IT-Services (SaaS und Cloud-Dienste, insgesamt 25%), den dritten Internet- und Telekommunikationsprovider (14%). PLXsert weist dabei darauf hin, dass die Angriffe auf SaaS-Anbieter, Cloud- und Internet-Services sich in der Regel bei genauerer Betrachtung als indirekte Angriffe auf die oben genannten Game-Sites erwiesen haben.

Die wichtigsten Ursprungsländer des DDoS-Traffics waren im Berichtszeitraum China (23%), Deutschland (17%) sowie der Spitzenreiter des vierten Quartals, die USA (12%). Dabei ging der Anteil jedes Vertreters dieser unrühmlichen Top 10 deutlich zurück.

Es darf nicht unerwähnt bleiben, dass dies der erste Quartalsbericht von Akamai zur Internetsicherheit ist, der die DDoS-Statistik des PLXsert und die Analyseergebnisse von Daten miteinander vereint, die von den traditionellen Diensten von CDN-Providern zusammengetragen wurden. Künftig plant das Unternehmen dieses Format aufrechtzuerhalten, wobei im Zentrum der Aufmerksamkeit DDoS-Bedrohungen stehen und spezielle Abschnitte hinzugefügt werden sollen, ebenso wie eine Analyse der aktuellen Tendenzen. So sind im vorliegenden Bericht neben einer detaillierten Analyse der DDoS-Situation auch Informationen zur Erschließung des IPv6-Raums, zu Defacements und zu den am weitesten verbreiteten Angriffen auf Web-Anwendungen enthalten. Innerhalb des Quartals registrierte Akamai um die 179 Millionen Attacken auf Anwendungen, wobei 7 Hauptvektoren identifiziert wurden. Als unter Cyberkriminellen populärste Angriffe haben sich dabei LFI-Attacken erwiesen (Integration einer willkürlichen Datei in das laufende Dokument auf dem Server), auf die mehr als 66% der Vorfälle entfielen; nach Häufigkeit überholten LFI-Attacken sogar so lang gediente Favoriten wie SQL-Einschleusungen (über 29%).

Der vollständige Text des neuen Quartalsberichts von Akamai steht auf der Website des Unternehmens bereit (Registrierung erforderlich).

Quelle: Akamai

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.