Rostelecom heeft onderzoek gedaan naar DDoS-aanvallen die in 2018 op het Russische deel van het internet zijn uitgevoerd. Zoals uit het rapport blijkt, was er in 2018 niet alleen een sterke toename van het aantal DDoS-aanvallen, maar ook van de kracht ervan. De aandacht van de aanvallers richtte zich meestal op gameservers.
Het totale aantal DDoS-aanvallen in 2018 is met 95% gestegen ten opzichte van het jaar ervoor. Het grootste aantal aanvallen werd geregistreerd in november en december. Veel e-commercebedrijven ontvangen een aanzienlijk deel van hun winst aan het einde van het jaar, d.w.z. tijdens de nieuwjaarsvakantie en de weken die daaraan voorafgaan. Vooral in deze periode is de concurrentie hevig. Daarnaast is er tijdens de feestdagen een piek in de gebruikersactiviteit bij online games.
De langste aanval geregistreerd door Rostelecom in 2017 vond plaats in augustus en duurde 263 uur (bijna 11 dagen). In 2018 bereikte de aanval die in maart werd geregistreerd en 280 uur duurde (11 dagen en 16 uur), recordniveaus.
Het afgelopen jaar is de kracht van DDoS-aanvallen sterk toegenomen. Als dit cijfer in 2017 niet boven de 54 Gbit/s uitkwam, dan werd in 2018 de zwaarste aanval uitgevoerd met een snelheid van 450 Gbit/s. Dit was geen geïsoleerde fluctuatie: slechts twee keer per jaar daalde dit cijfer aanzienlijk onder de 50 Gbit/s: in juni en augustus.
Wie wordt het vaakst aangevallen?
Statistieken uit 2018 bevestigen dat de DDoS-dreiging het meest relevant is voor sectoren waarvan de kritische bedrijfsprocessen afhankelijk zijn van de beschikbaarheid van online diensten en applicaties – vooral het gamingsegment en de e-commerce.
Het aandeel aanvallen op gameservers bedroeg 64%. Volgens analisten zal het beeld de komende jaren niet veranderen en kunnen we met de ontwikkeling van e-sports een verdere toename van het aantal aanvallen op de industrie verwachten. E-commercebedrijven “bezetten” consequent de tweede plaats (16%). Vergeleken met 2017 is het aandeel DDoS-aanvallen op telecombedrijven gestegen van 5% naar 10%, terwijl het aandeel van onderwijsinstellingen daarentegen daalde – van 10% naar 1%.
Het is vrij voorspelbaar dat, in termen van het gemiddelde aantal aanvallen per klant, het gamingsegment en de e-commerce een aanzienlijk aandeel innemen: respectievelijk 45% en 19%. Nog onverwachter is de aanzienlijke toename van het aantal aanvallen op banken en betalingssystemen. Dit is echter waarschijnlijker vanwege een zeer rustig 2017 na de campagne tegen de Russische bankensector eind 2016. In 2018 werd alles weer normaal.
Aanvalsmethoden
De meest populaire DDoS-methode is UDP-flooding: bijna 38% van alle aanvallen wordt met deze methode uitgevoerd. Dit wordt gevolgd door SYN flood (20,2%) en vrijwel gelijk verdeeld door gefragmenteerde pakketaanvallen en DNS-versterking – respectievelijk 10,5% en 10,1%.
Tegelijkertijd een vergelijking van de statistieken voor 2017 en 2018. laat zien dat het aandeel van de SYN-overstromingsaanvallen bijna is verdubbeld. We gaan ervan uit dat dit te wijten is aan hun relatieve eenvoud en lage kosten; dergelijke aanvallen vereisen niet de aanwezigheid van een botnet (dat wil zeggen de kosten voor het maken/huren/aankoop ervan).
Het aantal aanvallen met versterkers is toegenomen. Bij het organiseren van DDoS met versterking sturen aanvallers verzoeken met een vals bronadres naar servers, die op het slachtoffer van de aanval reageren met meervoudig vergrote pakketten. Deze methode van DDoS-aanvallen kan een nieuw niveau bereiken en in de nabije toekomst zeer wijdverspreid worden, omdat er ook geen kosten aan verbonden zijn voor het organiseren of aanschaffen van een botnet. Aan de andere kant kunnen we, met de ontwikkeling van het Internet of Things en het groeiende aantal bekende kwetsbaarheden in IoT-apparaten, de opkomst verwachten van nieuwe krachtige botnets, en bijgevolg een verlaging van de kosten van diensten voor het organiseren van DDoS-aanvallen.
Bron: www.habr.com