Prolexic: DDoS-Attacken im 2. Quartal leistungsstärker

Nach Angaben des auf den Schutz vor DDoS-Attacken spezialisierten Unternehmens Prolexic Technologies stieg die Gesamtzahl der Attacken auf seine Kunden zwischen April und Juni 2013 um 20%. Die durchschnittliche Leistungsstärke der DDoS-Attacken betrug 49,24 GBit/Sek., das ist um 925% mehr als vor einem Jahr. Der zweite, nicht minder wichtige Wert zum Parasiten-Traffic, nämlich die Übertragungsgeschwindigkeit der Pakete (pps), stieg innerhalb eines Jahres um 1655% auf 47,4 Millionen Pakete pro Sekunde. Die durchschnittliche Dauer der DDoS-Attacken nahm innerhalb des Quartals um 10% und innerhalb des letzten Jahres um 123% zu.

Die von Prolexic im Laufe der letzten drei bzw. zwölf Monate registrierten Veränderungen fasste das Unternehmen folgendermaßen zusammen:

Gegenüber dem 2. Quartal 2012

  • stieg die Gesamtzahl der Vorfälle um 33,8%;
  • nahm die durchschnittliche Leistungsstärke der DDoS-Attacken um 925% zu;
  • stieg die durchschnittliche Anzahl der übertragenen Pakete pro Sekunde (pps) um 1655%;
  • nahm die durchschnittliche Dauer der Attacken um 123,5% zu – von 17 auf 38 Stunden;
  • nahm die Zahl der Schicht-3- und Schicht-4-Attacken um 23,2%, die der Schicht-7-Attacken um 79,4%;

im Vergleich zum 1. Quartal 2013

  • stieg die Zahl der Vorfälle um 20%;
  • nahm die durchschnittliche Leistungsstärke der Attacken um 2% zu – von dem bisherigen Rekordwert von 48,25 GB auf 49,24 GB;
  • stieg der durchschnittliche pps-Wert um 46,3% – von 32,4 Millionen auf 47,4 Millionen Pakete pro Sekunde;
  • stieg die Durchschnittsdauer um10% – von 34,5 auf 38 Stunden;
  • nahm die Zahl der Schicht-3-Angriffe um 17,4%, die der Schicht-7Angriffe um 28,9% zu.

Wie auch im vorangegangenen Quartal nutzte zwischen April und Juni 2013 die überragende Mehrheit der von Prolexic abgewehrten DDoS-Attacken Layer-3- und Layer-4-Protokolle. Auf sie entfielen im Berichtszeitraum 74,7% der Vorfälle. Bei der Auswahl der Angriffstechnik bevorzugten die Cyberkriminellen SYN flood (31,2% der Attacken) – eine Technik, deren Popularität innerhalb von zwei Jahren deutlich zugenommen hat. Der zweite klare Favorit unter den Angriffstechniken ist gemäß Statistik des Unternehmens HTTP GET (21,5%) – ein Angriffstyp der Anwendungsebene, der standardmäßig von kommerziellen Tools des Typs Optima Darkness und Black Energy unterstützt wird. HTTP GET setzt die angegriffene Anwendung effektiv außer Gefecht und imitiert dabei legitimen Traffic, indem zusätzliche Schutzmittel angefordert werden. ICMP flood und UDP flood sind ebenfalls nicht selten (15,2 und 10,4% respektive), doch nach und nach verlieren sie an Boden, der erstgenannte Angriffstyp dabei besonders schnell.

Die Zahl der DNS-Attacken – sowohl die der standardmäßigen flood-Angriffe, als auch die durch DNS-Reflektion verstärkten Attacken – stieg innerhalb eines Jahres um 5,5%; im zweiten Quartal entfielen auf sie 7,25% der Vorfälle. DNS-Reflektion und andere Arten von DNS-Verstärkungsangriffen (DrDoS) werden immer häufiger, da sie Cyberkriminellen eine zusätzliche Obfuskationsebene eröffnen und Zwischenglieder einsetzen – verwundbare Netzserver und Geräte, von denen es im Internet ausreichend gibt. Indem die Adresse, von der die Anfrage stammt, durch die Adresse des Angriffsziels ersetzt wird, nutzen die Angreifer den unfreiwilligen Helfer, um den gewaltigen Strom der Antwortpakete in die gewünschte Richtung zu lenken.

Mehr als die Hälfte der von Prolexic im gesamten Quartal abgewehrten DDoS-Attacken lag über einer Leistungsstärke von 5 GB/Sek., etwa 17% hatten eine Durchschlagskraft von 60 GB. Diese hohe Leistung zeugt von einer guten Organisation und einem soliden Budget: Allem Anschein nach verfügen die Angreifer über bedeutende Ressourcen. Die Messungen des pps-Wertes ergaben bei etwa 28% der Attacken Werte von über 40 Millionen Pakete pro Sekunde, bei etwa 26% der Angriffe weniger als 1 Million (in der Regel sind das Angriffe auf der Anwendungsschicht). Besondere Aufmerksamkeit ließen die Cyberkriminellen Finanzinstituten zuteilwerden, unter den Angriffszielen waren jedoch auch große Einzelhändler, medizinische Einrichtungen, Hightech-Unternehmen, Massenmedien, Reiseveranstalter und Telefonanbieter. Der „ertragreichste“ Monat war der April, auf den 39,7% der von Prolexic im Laufe des Quartals abgewehrten Attacken entfielen. Besonders unruhig war die zweite Dekade dieses Monats, als die Angreifer sich auf den Finanzsektor konzentrierten und konsequent das Skript-Tool itsoknoproblembro zum Einsatz brachten.

Die Hauptquelle des DDoS‑Traffics liegt nach Angaben von Prolexic nach wie vor in China (39,1%). Den zweiten Platz in diesem unrühmlichen Rating belegte Mexiko (27,3%), ein Neueinsteiger in den TOP 10. In absteigender Folge sind zudem vertreten: Russland (7,6%), Frankreich (6,5%) und die USA (4,1%). Nicht mehr unter den ersten zehn ist Deutschland, das noch im vorangegangenen Quartal den 3. Platz belegte.

Im Fazit ihres Quartalsberichts richten die Experten ihr Augenmerk auf die leistungsstärkste DDoS‑Attacke, die sie jemals abwehren konnten. Dieser DDoS-Angriff richtete sich Ende Mai gegen einen Finanzdienstleister, der von Prolexic geschützt wird.

Die Cyberkriminellen setzten in diesem Fall die Technik DNS-Reflektion ein, die Leistungsstärke des Angriffs betrug in der Spitze 167 GB/Sek. Nach Angaben von Prolexic waren für 92% dieses DDoS‑Traffics schlecht konfigurierte DNS-Server (offene Resolver) verantwortlich, insgesamt etwa 460 an der Zahl. Dieser außergewöhnliche Vorfall wurde innerhalb von 5 Minuten abgewehrt, ohne dass die Arbeit des angegriffenen Webdienstes unterbrochen werden musste, allerdings waren unfreiwillig weitere 784 Opfer in diese Attacke verstrickt, im Wesentlichen Hosts in den USA und in China.

Attacken mit einer Leistungsstärke von 200 GB/Sek. wurden im zweiten Quartal nicht registriert, obgleich auch der Wert von 167 GB äußerst beeindruckend ist. Diese gewaltige Attacke wurde nach der Methode DNS-Reflektion durchgeführt, und die Experten sind der Meinung, dass das kein Zufall ist. Cyberkriminelle sind bestrebt, die Ergebnisse ihrer Bemühungen zu optimieren, und laut Vorhersage von Prolexic werden die Techniken zur Verstärkung des DDoS-Traffic in den kommenden Monaten nichts an Aktualität einbüßen. Bisher verstehen es die Angreifer noch nicht, ihre DNS-Anfragen mit öffentlichen Zertifikaten zu signieren, doch die Experten weisen darauf hin, dass mit dem Vormarsch von DNSSEC das Protokoll UDP in seiner aktuellen Umsetzung nach und nach verschwinden wird. Nichts desto weniger werden DNS-Verstärkungsangriffe nicht von der Bühne abtreten, solange es im Netz veraltete und angreifbare Protokolle gibt, wie z.B. SNMP, NTP und CHARGEN.

Quelle: Prolexic

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.