Trends der DDOS-Angriffe 2015-2016

Ursprünglicher Autor: Imperva Incapsula
  • Übersetzung


DDOS-Angriffe gehören heute zu den häufigsten Cyber-Bedrohungen für Online-Unternehmen. Das Verständnis dieser Bedrohung ist entscheidend für die Entwicklung der IT-Sicherheitsstrategie eines Unternehmens.

Eine Studie von Imperva liefert wichtige Fakten darüber, wie sich die Situation bei DDOS-Angriffen derzeit verändert. Die Studie verwendet eigene Daten von einem Unternehmen, das Site-Protection-Services anbietet und einer der führenden Akteure auf diesem Markt ist. Daher können die präsentierten Daten ein nützlicher Indikator dafür sein, was im Allgemeinen in der Welt der DDOS-Angriffe passiert.

Für den Zeitraum ab dem 2. Quartal. 2015 bis 1. Quartal Im Jahr 2016 waren die meisten Angriffe (60%) Angriffe auf Anwendungsebene. Betrachtet man jedoch ihren vierteljährlichen Anteil, so verringerte er sich im Berichtszeitraum um mehr als 5%.

Wenn sich dieser Trend fortsetzt, werden Angriffe auf Netzwerkebene bis 2018 genauso verbreitet sein wie Angriffe auf Anwendungsebene.



Wie Sie der Grafik entnehmen können, hat sich die Anzahl der Angriffe beider Typen im vergangenen Jahr verdoppelt. Zu diesem Zeitpunkt stieg die Anzahl der Kunden bei Incapsula, und dieser Faktor wirkt sich auch auf diese Zahl aus. Aber es gibt noch andere Faktoren, die Autoren bemerken:

  • Das Wachstum der Dienste auf die Art von "DDOS zu bestellen." Solche Dienste ermöglichen es jedem, einen kurzen Angriff zu starten, zum Beispiel einen 30-minütigen Zufluss von Netzwerkverkehr ohne fortschrittliche Schutzumgehungstechnologien. Der Anteil solcher Angriffe stieg von 63,8% im 2. Quartal 2015 auf 93% im 1. Quartal 2016.

  • Mit der Taktik mehrerer kleiner Angriffe. Angreifer nutzen diese Taktik, um das IT-Sicherheitspersonal zu „erschöpfen“ und um das Unternehmen des Opfers zu zwingen, die Mittel zur Unterdrückung von Angriffen eingeschaltet zu halten, was manchmal zu einer Verschlechterung der vom Unternehmen bereitgestellten Dienste führen kann. Und schließlich werden solche kleinen Angriffe häufig verwendet, um andere Angriffe zu verschleiern oder abzulenken, beispielsweise um sich in das Netzwerk eines Unternehmens zu hacken oder Daten zu stehlen.

Trends für Netzwerkangriffe


Das Angriffsvolumen wird normalerweise in Gigabit pro Sekunde (Gbit / s) angegeben und ist die Hauptmetrik für eine solche Bedrohung. Im letzten Jahr wurden viele Angriffe mit mehr als 200 Gpbs unterdrückt, solche Angriffe sind nicht mehr ungewöhnlich.

Das Diagramm zeigt die größten Angriffsvolumina auf Netzwerkebene.


Insbesondere im 2. Quartal 2016 wurde ein Angriff mit 470 Gbit / s registriert, einer der größten in der Geschichte des Internets.

Eines der Merkmale dieses Angriffs war die Verwendung kleiner Netzwerkpakete, die es Angreifern ermöglichten, hohe Paketweiterleitungsgeschwindigkeiten sowie einen hohen Durchsatz zu erzielen. Dies ist eine neue Funktion, die sich jetzt in vielen Angriffen manifestiert.

Angreifer bauen auf die hohe Geschwindigkeit der Paketweiterleitung und versuchen, die Schwachstellen der vorhandenen Angriffsunterdrückungsgeräte auszunutzen, von denen die meisten mit solch hohen Lasten nicht fertig werden. Vermutlich wird die Anzahl solcher Angriffe weiter zunehmen.

Der längste Angriff dauerte 54 Tage, aber im Laufe des Jahres zeichnete sich eine Verkürzung der Angriffsdauer ab. Am weitesten verbreitet sind kurzfristige Anfälle mit einer Dauer von weniger als 30 Minuten.


Die Zunahme von Angriffen auf Netzwerkebene ist hauptsächlich auf die wachsende Beliebtheit von Diensten wie „DDOS to order“ zurückzuführen. Mit solchen Diensten können Sie einen Angriff starten, der eine Minute dauert und mehr als 5 US-Dollar kostet.

Da Angriffe dieser Stufe bis zu 90% aller Angriffe ausmachen, deutet dies darauf hin, dass sich das Profil des Angreifers ändert. Hierbei handelt es sich um Nicht-IT-Experten, die DDOS-Angriffe zum Erpressen und manchmal nur zum Spaß verwenden.

Dieser Trend führt dazu, dass kleine Online-Unternehmen, die sich bisher nicht als mögliches Ziel für Angreifer sehen konnten, zu potenziellen Opfern werden.


Die Verwendung verschiedener Verkehrstypen in einem Angriff spiegelt die Komplexität wider. Der Anteil der Multi-Vector-Angriffe geht tendenziell zurück, was auch damit zu erklären ist, dass der Anteil der von Laien angeordneten Angriffe zunimmt.

Interessanterweise ist der Prozentsatz der Angriffe mit 5 oder mehr Vektoren im 1. Quartal 2016 signifikant gestiegen. Dies erinnert uns daran, dass „Amateure“ zwar die Anzahl der einfachen Angriffe auf ihren Befehl erhöhen, aber wirklich professionelle Cyberkriminelle ihre Methoden weiter verbessern.


Trends bei Angriffen auf Anwendungsebene


Das Angriffsvolumen dieser Art ist zweitrangig, da die meisten Server mit nur wenigen hundert Anforderungen pro Sekunde (RPS) abgestürzt werden können.

Im Laufe des Jahres wurden jedoch Angriffe mit gigantischem Volumen beobachtet, darunter 268.000 RPS - der größte in der Geschichte des Dienstes. Der Zweck solcher Angriffe besteht nicht nur darin, das Ziel „fallen zu lassen“, sondern auch den Verteidigungsbereich zu durchbrechen.


Wie bei Angriffen auf Netzwerkebene gibt es Beispiele für komplexere Angriffe, bei denen Angreifer mit seltenen und einzigartigen Methoden experimentieren. Insbesondere in einem Fall von Angriffen über HTTP-Verkehr wurde das Ziel mit ungewöhnlich großen POST-Anforderungen (zum Herunterladen von Dateien) bombardiert.

Mit einem Angriffsvolumen von 163.000 RPS konnten Angreifer 8,7 Gbit / s DDOS-Verkehr generieren. Dies ist ungewöhnlich für Angriffe auf Anwendungsebene, bei denen der Datenverkehr selten 0,5 Gbit / s überschreitet. Dieser Angriff nutzte einige der Nuancen und Schwächen des hybriden DDOS-Unterdrückungssystems aus. Diese Komplexität des Angriffs vermittelt einen Eindruck davon, wie gut einige Angreifer die internen Mechanismen von Anti-DDOS-Lösungen verstehen.

Im Gegensatz zu Angriffen auf Netzwerkebene sind Angriffe auf Anwendungsebene über einen langen Zeitraum hinweg viel einfacher zu warten, da dies viel weniger Botnet-Ressourcen erfordert. Infolgedessen dauerten mehr als 44% dieser Angriffe länger als eine Stunde, während auf Netzwerkebene nur 12% der Angriffe von solcher Dauer waren.


Im Gegensatz zu Angriffen auf Netzwerkebene, die häufig gegen das gesamte Incapsula-Netzwerk gerichtet sind, können Sie bei jedem Angriff auf Anwendungsebene das Ziel verfolgen, gegen das er gerichtet war. Dies ermöglicht es, die Häufigkeit von Angriffen auf jedes angegriffene Unternehmen zu messen.

Im Durchschnitt werden mehr als 40% der Unternehmen mehr als einmal und 16% mehr als fünfmal angegriffen. Es gibt einen klaren Trend zu einer Zunahme von wiederholten Angriffen, und die Angreifer scheinen von ihren fehlgeschlagenen Versuchen und der Erkenntnis, dass ihr Ziel gut geschützt ist, nicht aufgehalten zu werden.


Angriffe auf Anwendungsebene verwenden Botnetze, um mehrere TCP-Verbindungen zum Server herzustellen und die Ressourcen zu entlasten. Um ihre Art zu verbergen, verwenden Bots dieses Typs in der Regel gefälschte HTTP-Header von Benutzeragenten, die auf die beliebtesten Browsertypen hinweisen. Einige fortgeschrittene Bots können ein Verhalten ähnlich dem des Browsers emulieren, z. B. Cookies speichern und JavaScript analysieren. Solche Bots können viele grundlegende Sicherheitssysteme täuschen, die nur auf diesen Faktoren beruhen, wenn sie "falsche" Benutzer ermitteln.

Die Entwicklung der Bots zeigt die Entwicklung von Tools für Angriffe auf Anwendungsebene. 24% der DDOS-Bots sind vom Typ "Advanced", das heißt, sie sind in der Lage, grundlegende Sicherheitsüberprüfungen zu überwinden. Im 1. Quartal 2016 erreichte der Anteil solcher Bots einen Rekordwert von 36,6%.


Angriffsgeographie-Trends


In Bezug auf die geografische Verteilung der Angriffsquellen ist China nach wie vor führend: 3 von 4 Chinas waren die Hauptquelle für Botnet-Aktivitäten.

Ein interessanter Trend ist ein starker Anstieg des Bots-Verkehrs aus Südkorea. Insbesondere im 1. Quartal 2016 stammte fast ein Drittel des DDOS-Verkehrs auf Anwendungsebene aus Südkorea. Dies ist angesichts der leistungsstarken Internetinfrastruktur dieses Landes nicht verwunderlich. Dank seines Hochgeschwindigkeits-Internet-Backbones können Botnet-Besitzer ihren ausgehenden Datenverkehr steigern. Es ist wahrscheinlich, dass dies nicht lange anhält, da die südkoreanischen Behörden die Investitionen in die Cybersicherheit erhöhen.


Die Geographie der „Opfer“ ist weitgehend gleich geblieben. Da Cyberkriminelle normalerweise versuchen, Aufmerksamkeit oder Cybervandalismus zu erpressen, um Aufmerksamkeit zu erregen, sind die Hauptziele von Angriffen Unternehmen in hoch entwickelten Ländern.

Besonders hervorzuheben ist der Anstieg der DDOS-Angriffe in Großbritannien in den letzten sechs Monaten. Der Höhepunkt ereignete sich im 4. Quartal 2015, und dann ging der Trend zurück. Dieser Zeitraum war jedoch durch mehrere hochprofessionelle Angriffe gekennzeichnet, z. B. den „Zusammenbruch“ der Websites BBC, HSBC und Irish National Lottery.


Während des Untersuchungszeitraums verwendeten die meisten Angriffe Botnetze auf verschiedene Sorten von Nitol, Cycloe und PC Rat. Im Durchschnitt machten diese Angriffe 55,1% aller Botnet-Angriffe aus.

Im 2. und 3. Quartal 2015 gab es mehrere Angriffe von Routern für Privatanwender und für das Büro, die mit Mr.Black-Malware infiziert waren. Angreifer verwendeten auch das Sentry MBA-Tool zum Knacken von Passwörtern, das für DDOS-Angriffe verwendet werden kann, wenn mit einer hohen Trefferquote gearbeitet wird.

Im 1. Quartal 2016 stieg die Aktivität von Botnetzen auf Generic! BT, hauptsächlich aus Russland und der Ukraine. Sie machten in diesem Quartal 12,8% der Botnet-Aktivitäten aus.


Fazit


Abschließend stellen wir noch einmal zwei wichtige Punkte fest:

  • Grundlegende DDOS-Angriffe werden aufgrund von Diensten wie „DDOS to order“ immer häufiger. Jetzt kann sogar ein wenig verstehender Benutzer in der IT einen solchen Angriff für lächerliches Geld anordnen, nur weil er über den Support-Service Ihres Unternehmens verärgert war.
  • Im oberen Segment der Komplexität von DDOS-Angriffen werden Methoden und Tools ständig weiterentwickelt. Dies zeigt, dass solche Trends überwacht und in IT-Sicherheit investiert werden müssen.

Jetzt auch beliebt: