Prolexic: Verdoppelung der Zahl der DDoS-Angriffe innerhalb eines Jahres

Nach Angaben von PLXsert (Prolexic SERT), der Unterabteilung von Akamai Technologies zum Schutz vor DDoS und gleichzeitig Cloud-basierter IT-Sicherheitsdienst, gaben Cyberkriminellen auch im vergangenen Quartal gewaltsamen Angriffen vor technischen Attacken den Vorzug, sie nutzten massenhaft Sicherheitslücken aus und suchten nach verwundbaren Smart-Geräten, um Botnetze aufzubauen, die in der Lage sind, leistungsstarken DDoS-Traffic zu erzeugen. Außerdem bauten sie den Markt der DDoS-Dienstleistungen aktiv aus. In dem Quartalsbericht wurde zudem darauf hingewiesen, dass die Experten in der Zeit von Oktober bis Dezember doppelt so viele DDoS-Vorfälle registrierten wie in dem entsprechenden Zeitraum 2013, und um 90% mehr als im vorangegangenen Quartal.

Die höchste Leistungsstärke von DDoS-Attacken, gemessen in GB/Sek., stieg innerhalb eines Jahres um 52%. Im Berichtszeitraum wurden bei den Akamai-Kunden 9 Vorfälle – sowohl gewöhnliche als auch Multivektoren-Angriffe – mit einer Durchschlagskraft von mehr als 100 GB gemessen; in allen Fällen, außer einem, benutzten die Kriminellen das Netzwerkprotokoll UDP. Breite Anwendung fand auch die Technik der Reflektion und Verstärkung von Junk-Traffic mit Hilfe von Vermittlern, die solche Internetprotokolle wie NTP, CHARGEN und SSDP benutzen (Verstärkungsangriffe, DrDoS).

Die leistungsstärkste DDoS-Attacke wies in der Spitze einen Wert von 158 GB/Sek. auf, dabei handelte es sich um eine Kombination der Angriffstypen SYN flood, UDP flood und UDP flood mit Paketfragmentierung. Ein anderer und nicht weniger wichtiger Wert zur Messung der Leistungsstärke von DDoS – die Zahl der Pakete pro Sekunde (pps) – ging im Laufe des Jahres um 77% zurück, der Höchstwert betrug im vergangenen Quartal 96 Mpps.

Bei 44% der Attacken handelte es sich um Multivektoren-Angriffe – das ist wesentlich mehr als im Jahr zuvor. Die Kombination verschiedener Typen, Techniken und Ebenen im Rahmen einer Attacke wird den Experten zufolge heute von vielen spezialisierten Untergrund-Dienstleistern angeboten, die unter anderen auch häufig Verstärkungsangriffe im Angebot haben. Der Statistik von PLXsert zufolge entfielen auf die letztgenannten im IV. Quartal um die 40% der Vorfälle.

In der Kurzfassung sieht die Dynamik der wichtigsten DDoS-Indizes folgendermaßen aus:

Im Vergleich zum IV. Quartal 2013

  • stieg die Gesamtzahl der Angriffe um 57%;
  • nahm die Spitzenleistungsstärke (GB/Sek.) um 52% zu;
  • ging der ppi-Wert um 77% zurück;
  • stieg die Zahl der Angriffe auf Netzebene um 58%, auf Anwendungsebene um 51%, bei einem Verhältnis von 9:1;
  • nahm die durchschnittliche Dauer der DDoS-Attacken um 28% auf 29 Stunden zu;
  • stieg die Zahl der Multivektoren-Attacken um 84%;
  • nahm die Menge der Attacken mit einer Durchschlagskraft von über 100 GB um 200% (von 3 auf 9) zu.

Im Vergleich zum III. Quartal 2014

  • stieg die Gesamtzahl der Angriffe um 90%;
  • ging die Spitzenleistungsstärke (GB/Sek.) um 54% zurück;
  • ging der ppi-Wert um 83% zurück;
  • stieg die Zahl der Angriffe auf Netzebene um 121%, auf Anwendungsebene um 16%;
  • nahm die durchschnittliche Dauer der DDoS-Attacken um 31% zu;
  • stieg die Zahl der Multivektoren-Attacken um 38%;
  • ging die Menge der Attacken mit einer Durchschlagskraft von über 100 GB 47% zurück (9 gegenüber 17).

Der am weitesten verbreitete Angriffstyp war sowohl im letzten als auch im vorangegangenen Quartal SYN flood, auf den 17% aller DDoS-Vorfälle entfielen. Viel häufiger eingesetzt, und zwar um 214%, wird nun der Typ SSDP flood, der früher nahezu unbekannt war. Die leistungsstärksten dieser DrDoS-Attacken unter Verwendung von UPnP-Netzgeräten zeigten in der Spitze eine Durchschlagskraft von 106 GB/Sek. UDP mit Fragmentierung wurde bei 14% der Attacken registriert, der Anteil von UDP flood betrug 11%, der von DNS etwas weniger, bei NTP waren es 8%, bei CHARGEN 5%.

Am stärksten unter den DDoS-Attacken zu leiden hatten Online-Gameservices (35% der Vorfälle) sowie Anbieter von Software und High Tech (26%). Die Hauptquellen des Junk-Traffics sind nach wie vor in den USA und in China zu finden (32 und 18% respektive), die übrige Zusammensetzung dieser unrühmlichen Liste hat sich deutlich geändert. Die BRICS-Staaten haben ihre Werte verbessert und die höheren Positionen den Europäern überlassen. Den dritten Platz nach ausgehendem DDoS-Traffic belegte Deutschland (12%), darauf folgt Mexiko (weniger als 12%), das seinen Platz bewahrte, wenn auch mit einem geringeren Wert als im III. Quartal. Auf dem fünften Platz landete Frankreich mit etwa 8%, und abgeschlossen werden die TOP 10 von Russland mit einem Wert von ungefähr 4%.

Quelle:ššššššššššššššššššššššš state of the internet

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.