DDoS-aanvallen zijn in eerste helft van 2019 groter en complexer geworden

Het bewustzijn over DDoS-aanvallen neemt toe, waarmee ook de bescherming tegen dergelijke aanvallen sterker wordt. In reactie kiezen cybercriminelen voor nieuwe tactieken. De stijgende lijn in de grootte en duur van DDoS-aanvallen zet door. Tegelijkertijd verschijnen nieuwe vormen van DDoS ten tonele die veel lastiger te herkennen zijn.

Dit blijkt uit een rapport van de Nationale Beheersorganisatie Internet Providers (NBIP) over DDoS-aanvallen in de eerste zes maanden van 2019. DDoS-aanvallen zijn groter, veelvuldiger en slimmer, zo luidt de conclusie van het nieuwe NBIP DDoS- datarapport over de eerste helft van 2019. "Net als in voorgaande jaren is het merendeel van de DDoS- aanvallen net groot genoeg om schade te veroorzaken. Toch zien we tegelijkertijd een stijgende lijn in de uitschieters. In april van dit jaar hebben we een aanval van 71 Gbps waargenomen, een nieuw record. Ook het aantal grote aanvallen van boven de 10 Gbps blijft stijgen. Hoewel de gemiddelde DDoS-aanval ook in 2019 van beperkte omvang is, zien we een groeiende klasse van grote aanvallen", aldus Octavia de Weerdt, algemeen directeur van de NBIP.

Een stijgende lijn

In het DDoS-datarapport 2018 concludeerde de NBIP dat het aantal aanvallen sinds 2017 toeneemt. Ook in de eerste helft van 2019 lijkt dat het geval te zijn. Het totaal aantal aanvallen in 2018 bedroeg 938; op 1 juli 2019 stond de teller op 572, gemiddeld meer dan drie aanvallen per dag. Daarmee ligt de frequentie van DDoS-aanvallen in 2019 tot nu toe hoger dan in 2018.

Net als bij de grootte van aanvallen neemt duur van aanvallen toe. Hoewel het merendeel van de DDoS-aanvallen minder dan vijftien minuten duurt, zijn hier ook duidelijke uitschieters zichtbaar. Met name het aantal aanvallen van langer dan vier uur lijkt toe te nemen. In de eerste helft van 2019 zijn nu al 23 van dergelijke aanvallen gemeten, in heel 2018 waren dat er 22.

Een nieuwe dreiging

Opvallende nieuwkomer in de metingen van de NBIP is de zogeheten GRE flood, een nieuw type DDoS- aanval dat zich richt op het GRE-tunnelingprotocol in netwerkpakketten. "Cybercriminelen zijn voortdurend op zoek naar nieuwe kwetsbaarheden. De GRE floods zijn daar een goed voorbeeld van. Het gebruik van GRE-tunnels in netwerknodes komt steeds vaker voor. Daar maken kwaadwillenden misbruik van", zo vertelt De Weerdt. "En GRE floods zijn lastig tegen te houden, aangezien GRE-verkeer altijd versleuteld is. Het wijst wederom op het belang van waakzaamheid."

De NBIP is onderdeel van de werkgroep Clearing House, onderdeel van een nationale anti-DDoS-coalitie. Gedurende 2019 zal de NBIP betrokken zijn bij de ontwikkeling van een DDoS-database waarmee aanvallen beter kunnen worden herkend en waarmee mitigatie doeltreffender is. In de woorden van De Weerdt: "Alleen door samen te werken met overheden, het bedrijfsleven en onderzoeksinstituten kunnen we DDoS effectief het hoofd bieden. Samen staan we sterker."