Witold Kepinski - 19 augustus 2015

Aantal DDoS-aanvallen meer dan verdubbeld

Akamai Technologies, speler in Content Delivery Network-diensten, presenteert zijn State of the Internet Security-rapport voor het tweede kwartaal van 2015. Dit rapport biedt inzicht in de actuele, wereldwijde cloud security-bedreigingen.

“De dreiging van distributed denial of service (DDoS) en webapplicatie-aanvallen wordt elk kwartaal groter”, zegt John Summers, vice president, Cloud Security Business Unit van Akamai. “Cybercriminelen veranderen constant hun tactiek en zijn op zoek naar nieuwe kwetsbaarheden, waarbij ze soms zelfs oude technieken gebruiken die wij al als ouderwets beschouwen. Door het analyseren van de aanvallen op ons netwerk kunnen wij nieuwe bedreigingen en trends goed in kaart brengen en anderen daarover informeren zodat zij de verdediging van hun netwerken, websites en applicaties kunnen aanscherpen en hun cloud security-profielen kunnen verbeteren.”

DDoS-aanvallen in Q2 2015
De afgelopen drie kwartalen is er een verdubbeling waargenomen van het aantal DDoS-aanvallen. Terwijl de aanvallers minder krachtige, maar juist langere aanvallen hebben gebruikt dit kwartaal, neemt het aantal gevaarlijke mega-aanvallen juist toe. In Q2 2015 hebben er 12 aanvallen plaatsgevonden met pieken van meer dan 100 Gigabits per seconde (Gbps). Vijf aanvallen hadden pieken met meer dan 50 miljoen packets per seconde (Mpps). Zeer weinig organisaties hebben de capaciteit om dergelijke aanvallen zelf af te kunnen slaan.

De grootste DDoS-aanval in Q2 2015 was meer dan 240 Gbps en duurde langer dan 13 uur. Dergelijke piekbandbreedte vindt meestal maar één of twee uur achtereen plaats. In Q2 vond ook de grootste packet rate-aanval plaats die ooit is gemeten op het Prolexic Routed-netwerk van Akamai. Deze aanval had pieken van 214 Mpps. Een dergelijke aanval is in staat tier 1-routers, die onder meer door Internet Service Providers worden gebruikt, neer te halen.

De algehele DDoS-activiteit in Q2 2015 bereikte wederom een hoogtepunt en nam toe met 132 procent vergeleken met Q2 2014 en 7 procent vergeleken met Q1 2015. De gemiddelde piek aanvalsbandbreedte en het volume namen voorzichtig toe in Q2 2015 vergeleken met Q1 2015, maar lagen wel onder het gemiddelde dat is gemeten in Q2 2014.

SSDP-aanvallen
SYN en Simple Service Discovery Protocol (SSDP) werden het meest ingezet bij DDoS-aanvallen dit kwartaal, beide verantwoordelijk voor ongeveer 16 procent van al het DDoS-aanvalsverkeer. De enorme groei van onbeschermde apparaten die aan internet zijn verbonden en gebruikmaken van het Universal Plug and Play-protocol (UPnP) zorgt ervoor dat het SSDP-protocol zo vaak wordt gebruikt. Een jaar geleden kwam dit vrijwel niet voor, maar de afgelopen drie kwartalen zijn SSDP-aanvallen doorgedrongen naar de top. SYN floods zijn nog steeds populair in vrijwel alle volume-aanvallen, dit was reeds het geval in de eerste editie van het security report in Q3 2011.

Online gaming-industrie meest aangevallen
De industrie die het meest aangevallen wordt is online gaming, die in bijna 35 procent van alle DDoS-aanvallen als doelwit dient. Het meeste non-spoofed aanvalsverkeer komt uit China de afgelopen twee kwartalen. China staat al in de top drie vanaf het eerste security rapport in Q3 2011.

De highlights

Vergeleken met Q2 2014

132.43% toename in het totaal aantal DDoS-aanvallen
122.22% toename in DDoS-aanvallen op de applicatielaag (laag 7)
133.66% toename in aanvallen op de infrastructuurlaag (laag 3 en 4)
18.99% toename in de gemiddelde duur van een aanval 20.64 uur versus 17.35 uur
11.47% afname in de gemiddelde piekbandbreedte
77.26% afname in het gemiddelde piekvolume
100% toename in aanvallen met meer dan 100 Gbps: 12 versus 6
Vergeleken met Q1 2015

7.13% toename in het aantal DDoS-aanvallen
17.65% toename in DDoS-aanvallen op de applicatielaag (laag 7)
6.04% toename in aanvallen op de infrastructuurlaag (Layer 3 & 4)
16.85% afname in de gemiddelde duur van een aanval: 20.64 uur versus 24.82 uur
15.46 toename in de gemiddelde piekbandbreedte
23.98% toename in het gemiddeld piekvolume
50% toename in aanvallen met meer dan 100 Gbps: 12 versus 8
De dreiging van third-party WordPress plug-ins en thema’s
WordPress, het meest populaire website- en blogging-platform ter wereld, vormt een aantrekkelijk doelwit voor aanvallers die zich richten op de honderden bekende kwetsbaarheden om botnets te bouwen, malware te verspreiden en DDoS-campagnes te starten.

De code van plug-ins van derde partijen wordt aan een minimale controle onderworpen. Om goed inzicht te krijgen in wat dit betekent heeft Akamai meer dan 1.300 van de populairste plug-ins getest. Zeker 25 individuele plug-ins en thema’s hadden minimaal een nieuwe kwetsbaarheid. In sommige gevallen had een plug-in meerdere kwetsbaarheden, waardoor de teller op zeker 49 potentiële exploits kwam te staan. Een volledige lijst met alle nieuw ontdekte kwetsbaarheden staat in het rapport. Hierbij staan tevens aanbevelingen voor het verbeteren van WordPress-installaties.

Webapplicatie-aanvallen en TOR-netwerk
Akamai heeft in het State of the Internet Security-rapport tevens onderzoek gedaan naar aanvallen op webapplicaties en in het bijzonder naar Shellshock en cross site scripting en naar de gevaren van het TOR-netwerk.

De bevindingen van dit onderzoek zijn terug te lezen in het Akamai State of the Internet Security-rapport van Q2 2015 en zijn te vinden via deze link.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!