Distributed Denial-of-service (DDoS)-aanvallen zijn vorig jaar in aantal licht afgenomen, maar werden wel steeds groter en complexer van aard. Dit meldt F5 Labs op basis van F5 Silverline, een cloudgebaseerd managed services-platform dat DDoS-aanvallen in realtime opspoort en tegenhoudt.

Bij een DDoS-aanval wordt zoveel verkeer naar een server gestuurd, dat deze overbelast raakt. Dat leidt er bijvoorbeeld toe dat een website tijdelijk onbereikbaar wordt. Het totale volume van in 2021 geregistreerde aanvallen is met 3 procent gedaald ten opzichte van een jaar eerder, maar de ernst van de aanvallen is in de loop van het jaar aanzienlijk toegenomen. Tegen het vierde kwartaal van 2021 bedroeg de gemiddelde omvang van de aanvallen meer dan 21 Gbps, meer dan vier keer het niveau van begin 2020. Vorig jaar werd ook het record voor de grootste aanval ooit meermaals gebroken; dit staat inmiddels op 1,4 Tbps.

Aanvallen worden groter
Hoewel de meeste in 2021 geregistreerde aanvallen onder de 100 Mbps bleven, waren er enkele opmerkelijke uitzonderingen. De grootste aanval in 2020 kwam neer op 253 Gbps. In februari 2021 werd dit record verbroken door een aanval van 500 Gbps. In november werd echter een aanval geregistreerd van 1,4 Tbps, meer dan vijf keer zo groot als het record van het jaar daarvoor. Daarbij wordt vaak gebruik gemaakt van geïnfecteerde computers, maar ook van IP-camera’s. Die worden zo geprogrammeerd, dat zij op commando verkeer sturen naar de aan te vallen server.
De maximale bandbreedte van een aanval, die gericht was op een ISP/hosting-bedrijf, werd in slechts 1,5 minuut bereikt en duurde in totaal vier minuten, waarbij gebruik werd gemaakt van een combinatie van volumetrische methoden (DNS-reflectie) en methoden op de applicatielaag (HTTPS GET floods).

Complexiteit neemt toe
Volumetrische aanvallen, waarbij gebruik wordt gemaakt van openbaar beschikbare tools en diensten om het netwerk van een doelwit te overspoelen met meer bandbreedte dan het aankan, bleven in 2021 de meest voorkomende vorm van DDoS, goed voor 59 procent van alle geregistreerde aanvallen. Dit is een lichte daling ten opzichte van de 66 procent van het voorgaande jaar, omdat protocol- en applicatie-type DDoS-aanvallen toenamen; de laatste met bijna 5 procent op jaarbasis. Deze lichte verschuiving werd ingezet door het veranderende gebruik van protocollen: 27 procent van de aanvallen in 2021 maakte gebruik van TCP; het jaar daarvoor was dit nog 17 procent.
Wat specifieke aanvalsmethoden betreft, waren er enkele opmerkelijke veranderingen. DNS query-aanvallen kwamen vaker voor, met een stijging van 3,5 procent op jaarbasis; het gebruik van UDP-fragmentatie daalde met 6,5 procent. LDAP-reflectie daalde ook met 4,6 procent en DNS-reflectie met 3,3 procent.

Financiële diensten in het vizier
Het bankwezen, financiële diensten en verzekeringen waren in 2021 het vaakst doelwit van DDoS-aanvallen, met meer dan een kwart van het totale volume. Daarmee werd een trend voortgezet waarbij de aanvallen tegen de financiële sector sinds begin 2020 gestaag zijn toegenomen.
Technologie, de meest aangevallen sector van 2020, kwam daarentegen op de vierde plaats terecht, na telecommunicatie en onderwijs. Deze vier sectoren waren samen goed voor 75 procent van alle geregistreerde aanvallen, met een long tail van andere sectoren, waaronder energie, detailhandel, gezondheidszorg, transport en juridische instellingen, die nauwelijks dreigende activiteit zagen.
“Naarmate de DDoS-aanvallen geraffineerder en gevarieerder worden, zullen organisaties een breed scala aan maatregelen moeten nemen om zich ertegen te beschermen, waaronder upstream-controles om het verkeer dat endpoints bereikt te inspecteren en te beperken en managed service providers die naast interne beveiligingsteams kunnen werken om aanvallen te voorkomen en snel op te treden om lopende aanvallen in te dammen.

De volledige analyse van F5 Labs is hier beschikbaar.