NBIP: “DDoS-aanvallen blijven evolueren”
De NBIP, de Nationale Beheersorganisatie Internetproviders, zag in het eerste halfjaar van 2018 een toename van het aantal DDoS-aanvallen bij deelnemers van de NaWas, de Nationale Wasstraat. Volgens de organisatie is het einde van de DDoS-malaise nog lang niet in zicht, en evolueren de aanvallen nog steeds.
© CCO / Pixabay
CCO / Pixabay
Dat staat in het halfjaarrapport van de organisatie. De geregistreerde DDoS-aanvallen zijn nog steeds klein,complex en gericht. Vergeleken met het eerste halfjaar van 2017, is er in de eerste zes maanden van dit kalenderjaar wel een kleine toename te bespeuren. Het aantal steeg van 420 aanvallen in begin 2017 naar 555 in het eerste halfjaar van 2018. Dit is een stijging van 2,3 naar ruim 3 aanvallen per dag.
De NBIP geeft aan geen reden te zien waarom het aantal DDoS-aanvallen zou afnemen, waardoor de kans groot is dat het recordaantal van 826 dit jaar gebroken wordt, en het aantal aanvallen waarschijnlijk boven de 1000 zal uitkomen.
Gelijk gemiddelde, hogere uitschieters
In de eerste helft van 2018 zag de NBIP geen bijzondere, complexe aanvallen. Wel werd een aantal grote aanvallen van boven de 40Gbps geregistreerd, een trendbreuk in vergelijking met 2017. De grootste aanval vond volgens de organisatie in juni van dit jaar plaats, toen werd een aanval van 68 Gbps verwerkt.
Hier betrof het een gecombineerde aanval van een SSDP en DNS amplification en deze duurde ongeveer 10 minuten. Dit betrof 1 aanval, en met 3 aanvallen in januari en februari van meer dan 40 Gbps erbij, waren er ondanks deze trendbreuk met vorig jaar nauwelijks grote aanvallen.
In de eerste helft van 2018 bestond de overgrote meerderheid van 486 DDoS-aanvallen (87,6 procent) uit grootten van minder dan 10 Gbps. Dit verschilt nauwelijks met het percentage in de eerste helft van 2017: 87,3 procent. Ook de gemiddelde grootte van een aanval blijft vrijwel gelijk.
Nieuwe typen aanvallen
Er zijn door de NBIP in de eerste helft van 2018 welgeteld 13 nieuwe type DDoS-aanvallen gezien. Hoewel amplification-aanvallen het vaakst voorkomen, heeft de organisatie vooral nieuwe flood-aanvallen gezien. Laatstgenoemde zijn DDoS-aanvallen waarbij meerdere computers tegelijk pakketjes sturen naar een server. Veelal worden ‘halve’ berichten gestuurd die ervoor zorgen dat de server verstoord raakt.
In dit eerste helft van 2018 zag de NBIP bijvoorbeeld de volgende flood-aanvallen, waarbij misbruik wordt gemaakt van (oude) protocollen: een UDP CHAOS flood, een Authentication Header flood en een Encapsulating Security Payload flood.
Memcached
De organisatie waarschuwde in het jaarrapport 2017 voor de opkomst van zogenoemde memcached-aanvallen. Dit zijn DDoS-aanvallen waarin kleine pakketjes met data flink worden vergroot waardoor enorme verkeerspieken ontstaan en de server het uiteindelijk begeeft.
Vanaf eind februari heeft de NBIP regelmatig dit soort aanvallen waargenomen, ongeveer drie per maand. De grootste was 41 Gbps, de kleinste slechts 230 Mbps. De aanvallen duurden relatief kort: gemiddeld ongeveer 15 minuten.
Monitoring
De opkomst van nieuwe soorten aanvallen, toont volgens de NBIP aan dat de DDoS-aanvallen zich blijven evolueren. Dit maakt het voor internet service providers (de meerderheid van de NaWas-gebruikers) lastiger om hierop in te spelen. De NBIP spreekt daarom van een speelveld dat zich constant aanpast en daarom constant gemonitord dient te worden.
Deze constatering sluit aan bij de woorden van DDoS-hoogleraar Aiko Pras, die de constant evolutie van DDoS en de reactieve maatregelen al eens omschreef als een 'kat en muisspelletje'. Eerder dit jaar pleitte de hoogleraar ook al voor betere bescherming tegen de steeds geavanceerdere aanvallen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee