Im Vergleich zum vierten Quartal 2014 stieg die Zahl der DDoS-Angriffe laut Akamai um nahezu 150 Prozent. Wiederholte Angriffe auf das gleiche Ziel werden zur Norm. [...]
Der Quartalsbericht „Q4 2015 State of the Internet – Security Report“ bietet Analysen und Einblicke in cyberkriminelle Aktivitäten, die auf der hauseigenen Akamai Intelligent Platform beobachtet wurden. „Die Bedrohung durch DDoS-Attacken und Angriffe auf Webanwendungen hält unvermindert an. Jedes Quartal steigt die Zahl von Angriffen auf Akamai-Kunden weiter. Im vierten Quartal 2015 haben Attacken auf Webanwendungen gegenüber dem dritten Quartal 2015 um 28 Prozent und DDoS-Angriffe sogar um 40 Prozent zugenommen“, sagt Stuart Scholly, Senior Vice President und General Manager der Security Business Unit bei Akamai. „Die Cyber-Kriminellen geben nicht nach: Sie greifen immer wieder dieselben Ziele an und suchen nach einem Moment, in dem ihnen die Verteidigung möglicherweise eine Lücke bietet.“
Im vierten Quartal 2015 waren wiederholte DDoS-Angriffe Normalität – mit durchschnittlich 24 Angriffen auf das anvisierte Unternehmen. Drei Akamai-Kunden wurden sogar mehr als jeweils einhundert Mal und einer gleich 188 Mal angegriffen – in einem Quartal entspricht dies mehr als zwei Angriffen pro Tag.
MEHR ANGRIFFE, DAFÜR KLEINER
Im vierten Quartal konnte Akamai mehr als 3.600 DDoS-Angriffe mit seiner Routed-Lösung abwehren – mehr als doppelt so viele wie im gleichen Vorjahreszeitraum. Die Mehrheit dieser Angriffe erfolgte via Stresser-/Booter-basierter Botnetze. DDoS-Attacken als Mietlösung nutzen Reflection-Technologien, um die Wirkung zu steigern, sie eignen sich aber weniger für großangelegte Attacken. Dementsprechend kam es zu weniger Mega-Angriffen als noch vor einem Jahr. Darüber hinaus unterliegt die Nutzung von Stresser- oder Booter-Sites gewissen zeitlichen Beschränkungen, sodass die durchschnittliche Dauer der Angriffe knapp weniger als 15 Stunden betrug.
Attacken auf die Infrastrukturebene (Layer 3 und 4) waren über mehrere Quartale hinweg dominierend und machten 97 Prozent der Angriffe im vierten Quartal 2015 aus. 21 Prozent der DDoS-Angriffe im vierten Quartal enthielten UDP-Fragmente. Dies lag zum Teil an dem Verstärkungsfaktor, den Reflection-basierte Angriffe mit sich bringen. Diese erfolgten hauptsächlich durch Ausnutzung der CHARGEN-, DNS- und SNMP-Protokolle, die große Nutzlasten transportieren können.
Die Zahl der NTP- und DNS-Angriffe ist im Vergleich zum dritten Quartal 2015 deutlich angestiegen. Die DNS-Reflection-Angriffe nahmen um 92 Prozent zu, da Cyber-Angreifer Domains mit integrierter Sicherheit (DNSSEC, Domain Name Security Extensions) ausnutzten, die für gewöhnlich mehr Antwortdaten senden. Auch NTP wurde im Vergleich zum dritten Quartal 2015 mit einer Steigerung von 57 Prozent immer beliebter, obwohl die NTP (Network Time Protocol)-Reflection-Ressourcen mit der Zeit aufgebraucht waren.
Einen weiteren Trend stellen Attacken mit mehreren Angriffsvektoren dar. Im vierten Quartal 2014 traf dies nur auf 42 Prozent der DDoS-Attacken zu. Ein Jahr später, im vierten Quartal 2015, waren es bereits 56 Prozent. Zwar wurden bei den meisten dieser Angriffe nur zwei Vektoren eingesetzt (35 Prozent aller Attacken), bei 3 Prozent der Angriffe im vierten Quartal waren es jedoch fünf bis acht Vektoren.
Der größte DDoS-Angriff im vierten Quartal 2015 erreichte einen Spitzenwert von 309 Gbit/s und 202 Millionen Paketen pro Sekunde (Mpps). Dieser Angriff richtete sich gegen einen Akamai-Kunden in der Software- und Technologiebranche und er nutzte eine ungewöhnliche Kombination aus SYN-, UDP- und NTP-Attacken, die von den XOR- und BillGates-Botnets stammten. Der Angriff war Teil einer langfristigen Kampagne, in der das Opfer in einem Zeitraum von acht Tagen gleich 19 Mal angegriffen wurde – Anfang Januar 2016 kamen sogar noch weitere Attacken hinzu.
Be the first to comment