Na de meltdown van Ziggo: DDoS aanvallen worden zwaarder

Ziggo lag gisteren grotendeels plat als gevolg van een DDoS aanval op zogenoemde DNS servers. Het is een trend die Akamai al langer ziet. De afgelopen drie kwartalen is er een verdubbeling waargenomen van het aantal DDoS-aanvallen. Die ook steeds zwaarder worden.

Met name het aantal mega-aanvallen is volgens de Amerikaanse dienstverlener sterk toegenomen. In het afgelopen kwartaal waren er zeker twaalf, met pieken van meer dan 100 Gigabits per seconde (Gbps). Vijf aanvallen hadden pieken met meer dan 50 miljoen packets per seconde (Mpps). Zeer weinig organisaties hebben de capaciteit om dergelijke aanvallen zelf af te kunnen slaan.

De grootste DDoS-aanval was meer dan 240 Gbps en duurde langer dan dertien uur. Een dergelijke belasting vindt meestal maar één of twee uur achtereen plaats. In het afgelopen kwartaal werden we ook geconfronteerd met de grootste packet rate-aanval die ooit is gemeten op het Prolexic Routed-netwerk van Akamai. Deze aanval had pieken van 214 Mpps. Een dergelijke aanval kan zogenoemde tier 1-routers, die door internetaanbieders worden gebruikt, volledig neerhalen.

SYN en Simple Service Discovery Protocol (SSDP) werden het meest ingezet bij DDoS-aanvallen dit kwartaal. Zij waren verantwoordelijk voor ongeveer 16 procent van al het DDoS-aanvalsverkeer. De enorme groei van onbeschermde apparaten die aan internet zijn verbonden verklaart de populariteit van het SSDP-protocol. Een jaar geleden kwam dit vrijwel niet voor, maar de afgelopen drie kwartalen zijn SSDP-aanvallen doorgedrongen naar de top. Zogenoemde SYN floods zijn nog steeds populair in vrijwel alle volume-aanvallen.

De industrie die het meest aangevallen wordt is online gaming, die in bijna 35 procent van alle DDoS-aanvallen als doelwit dient. Het meeste non-spoofed aanvalsverkeer komt uit China.

WordPress, het meest populaire websiteplatform ter wereld, vormt een aantrekkelijk doelwit voor aanvallers die DDoS-campagnes willen ontketenen. De code van plug-ins van derde partijen wordt aan een minimale controle onderworpen. Om goed inzicht te krijgen in wat dit betekent heeft Akamai meer dan 1.300 van de populairste plug-ins getest. Zeker 25 individuele plug-ins en thema’s hadden minimaal een nieuwe kwetsbaarheid. In sommige gevallen had een plug-in meerdere kwetsbaarheden, waardoor de teller op zeker 49 potentiële exploits kwam te staan.

Vergeleken met Q2 2014

• 132.43% toename in het totaal aantal DDoS-aanvallen
• 122.22% toename in DDoS-aanvallen op de applicatielaag (laag 7)
• 133.66% toename in aanvallen op de infrastructuurlaag (laag 3 en 4)
• 18.99% toename in de gemiddelde duur van een aanval 20.64 uur versus 17.35 uur
• 11.47% afname in de gemiddelde piekbandbreedte
• 77.26% afname in het gemiddelde piekvolume
• 100% toename in aanvallen met meer dan 100 Gbps: 12 versus 6

Vergeleken met Q1 2015

• 7.13% toename in het aantal DDoS-aanvallen
• 17.65% toename in DDoS-aanvallen op de applicatielaag (laag 7)
• 6.04% toename in aanvallen op de infrastructuurlaag (Layer 3 & 4)
• 16.85% afname in de gemiddelde duur van een aanval: 20.64 uur versus 24.82 uur
• 15.46 toename in de gemiddelde piekbandbreedte
• 23.98% toename in het gemiddeld piekvolume
• 50% toename in aanvallen met meer dan 100 Gbps: 12 versus 8