DDoS evolueert: met mens, korte salvo’s en Tbps-record
De evolutie van DDoS-aanvallen (distributed denial of service) maakt zowel een al voorspelde als ook een onverwachte ontwikkeling door. Een verkeersoverbelasting uitgevoerd door menselijke vrijwilligers, gecoördineerd via game-chat en IRC is slechts één van de noviteiten die internetbedrijf Akamai vermeldt in het vandaag verschijnende State Of The Internet-rapport Summer 2018.
© CCO / Pixabay
CCO / Pixabay
Het bekende, jaarlijks uitkomende securityerapport State Of The Internet (SOTI) van Akamai ondergaat zelf ook een evolutie. Het CDN-bedrijf (content distribution network) schakelt nu over op een halfjaarlijks publicatieritme en hanteert daarbij ook een kortere, onderwerpgerichte aanpak. Dit om beter mee te kunnen gaan met de snelle ontwikkelingen in het online-securitylandschap, schrijft senior security advocate Martin McKeay in het voorwoord.
AG Connect heeft al inzage gekregen in het nieuwe rapport waarin toegenomen botnetaanvallen op de reisbranche en DDoS-aanvallen worden belicht. Laatstgenoemde maakt een ontwikkeling door die doelwitten bestookt met geavanceerdere vormen van verkeersoverlast. Het is lastiger om daar adequaat tegen te verdedigen, merkt Akamai op in de Summer 2018 State of the Internet / Security: Web Attack.
Twee trends
De ontwikkeling van DDoS-aanvallen nu valt in twee verschillende trends onder te verdelen. Enerzijds is er de eerder door andere organisaties en experts al voorspelde groei in geavanceerdheid wat ook leidt tot een groter aanvalsvermogen. Akamai merkt op dat in de meetperiode van november vorig jaar tot en met april dit jaar een nieuw record is behaald aan afgevuurd netwerkverkeer. McKeay noemt het nieuwe hoogtepunt van 1,35 Tbps (Terabit per seconde) dat eerder dit jaar is behaald.
Die indrukwekkende verkeershoeveelheid is te danken aan memcached aanvallen, die gebruik maken van de relatief nieuwe methode van memcache reflectie. Daarbij wordt het database cachingsysteem voor websites misbruikt om het doelwitsysteem te overspoelen met gereflecteerd netwerkverkeer.
Mens en korte salvo’s
Anderzijds kent de evolutie van DDoS-aanvallen een haast tegengestelde trend: van minder machines en minder macht. In plaats van brute kracht wordt ook wel sluw vermogen ingezet. Akamai beschrijft in zijn Summer 2018-rapport een aanval die is uitgevoerd door een los-vaste groep menselijke vrijwilligers.
Deze gemeenschap coördineerde de aanvallen via chat-gesprekken op gameplatform Steam en oer-chatprotocol IRC (Internet Relay Chat). Opvallender nog was dat hierbij niet een door malware geronseld botnet van computers is ingezet. In plaats van die gebruikelijke methode verzorgden de groepsleden vrijwillig deze DDoS.
Een andere vorm van ‘minder’ is de relatief lichtere DDoS-aanval waarbij de DNS-server (Domain Name Server) van de aangevallen organisatie is overspoeld met korte salvo’s. Deze DDoS-bursts duurden elk slechts enkele minuten. Meestal houden DDoS-aanvallen langere tijd aan, om zo voor overbelasting te zorgen. De zichtbaarheid op internet en daarmee gevoeligheid van DNS-servers maakte het volgens Akamai lastig om deze aanval tegen te houden. De inzet van korte salvo’s gaf vervolgens voor langere tijd overlast.
Groei op alle fronten
Voor het grotere plaatje geeft Akamai aan dat DDoS nog altijd groei doormaakt. Ten opzichte van een jaar geleden signaleert het bedrijf een stijging van 16 procent in DDoS-aanvallen. Naast de uitschieter van het 1,35 Tbps record is er algehele stijging van 4 procent in reflectie-gebaseerde DDoS-aanvallen. Verder zitten hacks op applicatieniveau in de lift: Akamai meet een groei van 38 procent voor application-layer aanvallen, zoals SQL-injectie en cross-site scripting.
Akamai legt memcached DDoS-aanvallen uit:
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee