Ziggo plat: DDoS aanvallen worden zwaarder

Ziggo lag gisterenavond grotendeels plat als gevolg van een DDoS aanval op zogenoemde DNS servers.  De afgelopen drie kwartalen is er een verdubbeling waargenomen van het aantal DDoS-aanvallen.

Bij een DDos-aanval (distributed denial of service) wordt een grote hoeveelheid verkeer naar bepaalde servers gestuurd, waardoor die tijdelijk onbereikbaar kunnen worden. De aanval was volgens Ziggo gericht op de DNS servers. Ziggo-abonnees hadden daardoor geen of nauwelijks internet. Het is nog onbekend wie er achter de aanval zit.

DDos attacksHet aantal DDoS-aanvallen neemt exponentieel toe. Ook worden de dreiging van DDoS en webapplicatie-aanvallen groter. Het is een trend die Akamai al langer ziet.

Cybercriminelen veranderen constant hun tactiek en zijn op zoek naar nieuwe kwetsbaarheden, waarbij ze soms zelfs oude technieken gebruiken die wij al als ouderwets beschouwen, zegt John Summers, vice president, Cloud Security Business Unit van Akamai. Door het analyseren van de aanvallen op ons netwerk kunnen wij nieuwe bedreigingen en trends goed in kaart brengen en anderen daarover informeren zodat zij de verdediging van hun netwerken, websites en applicaties kunnen aanscherpen en hun cloud security-profielen kunnen verbeteren.

DDoS-aanvallen in Q2 2015
De afgelopen drie kwartalen is er een verdubbeling waargenomen van het aantal DDoS-aanvallen. Terwijl de aanvallers minder krachtige, maar juist langere aanvallen hebben gebruikt dit kwartaal, neemt het aantal gevaarlijke mega-aanvallen juist toe. In Q2 2015 hebben er 12 aanvallen plaatsgevonden met pieken van meer dan 100 Gigabits per seconde (Gbps). Vijf aanvallen hadden pieken met meer dan 50 miljoen packets per seconde (Mpps). Zeer weinig organisaties hebben de capaciteit om dergelijke aanvallen zelf af te kunnen slaan.

De grootste DDoS-aanval in Q2 2015 was meer dan 240 Gbps en duurde langer dan 13 uur. Dergelijke piekbandbreedte vindt meestal maar één of twee uur achtereen plaats. In Q2 vond ook de grootste packet rate-aanval plaats die ooit is gemeten op het Prolexic Routed-netwerk van Akamai. Deze aanval had pieken van 214 Mpps. Een dergelijke aanval is in staat tier 1-routers, die onder meer door Internet Service Providers worden gebruikt, neer te halen.

De algehele DDoS-activiteit in Q2 2015 bereikte wederom een hoogtepunt en nam toe met 132 procent vergeleken met Q2 2014 en 7 procent vergeleken met Q1 2015. De gemiddelde piek aanvalsbandbreedte en het volume namen voorzichtig toe in Q2 2015 vergeleken met Q1 2015, maar lagen wel onder het gemiddelde dat is gemeten in Q2 2014.

SSDP-aanvallen
SYN en Simple Service Discovery Protocol (SSDP) werden het meest ingezet bij DDoS-aanvallen dit kwartaal, beide verantwoordelijk voor ongeveer 16 procent van al het DDoS-aanvalsverkeer. De enorme groei van onbeschermde apparaten die aan internet zijn verbonden en gebruikmaken van het Universal Plug and Play-protocol (UPnP) zorgt ervoor dat het SSDP-protocol zo vaak wordt gebruikt. Een jaar geleden kwam dit vrijwel niet voor, maar de afgelopen drie kwartalen zijn SSDP-aanvallen doorgedrongen naar de top. SYN floods zijn nog steeds populair in vrijwel alle volume-aanvallen, dit was reeds het geval in de eerste editie van het security report in Q3 2011.

Online gaming-industrie meest aangevallen
De industrie die het meest aangevallen wordt is online gaming, die in bijna 35 procent van alle DDoS-aanvallen als doelwit dient. Het meeste non-spoofed aanvalsverkeer komt uit China de afgelopen twee kwartalen. China staat al in de top drie vanaf het eerste security rapport in Q3 2011.

De highlights

Vergeleken met Q2 2014

  • 132.43% toename in het totaal aantal DDoS-aanvallen
  • 122.22% toename in DDoS-aanvallen op de applicatielaag (laag 7)
  • 133.66% toename in aanvallen op de infrastructuurlaag (laag 3 en 4)
  • 18.99% toename in de gemiddelde duur van een aanval 20.64 uur versus 17.35 uur
  • 11.47% afname in de gemiddelde piekbandbreedte
  • 77.26% afname in het gemiddelde piekvolume
  • 100% toename in aanvallen met meer dan 100 Gbps: 12 versus 6

Vergeleken met Q1 2015

  • 7.13% toename in het aantal DDoS-aanvallen
  • 17.65% toename in DDoS-aanvallen op de applicatielaag (laag 7)
  • 6.04% toename in aanvallen op de infrastructuurlaag (Layer 3 & 4)
  • 16.85% afname in de gemiddelde duur van een aanval: 20.64 uur versus 24.82 uur
  • 15.46 toename in de gemiddelde piekbandbreedte
  • 23.98% toename in het gemiddeld piekvolume
  • 50% toename in aanvallen met meer dan 100 Gbps: 12 versus 8

De dreiging van third-party WordPress plug-ins en thema’s

WordPress, het meest populaire website- en blogging-platform ter wereld, vormt een aantrekkelijk doelwit voor aanvallers die zich richten op de honderden bekende kwetsbaarheden om botnets te bouwen, malware te verspreiden en DDoS-campagnes te starten.

De code van plug-ins van derde partijen wordt aan een minimale controle onderworpen. Om goed inzicht te krijgen in wat dit betekent heeft Akamai meer dan 1.300 van de populairste plug-ins getest. Zeker 25 individuele plug-ins en thema’s hadden minimaal een nieuwe kwetsbaarheid. In sommige gevallen had een plug-in meerdere kwetsbaarheden, waardoor de teller op zeker 49 potentiële exploits kwam te staan. Een volledige lijst met alle nieuw ontdekte kwetsbaarheden staat in het rapport. Hierbij staan tevens aanbevelingen voor het verbeteren van WordPress-installaties.

Webapplicatie-aanvallen en TOR-netwerk

Akamai heeft in het State of the Internet Security-rapport tevens onderzoek gedaan naar aanvallen op webapplicaties en in het bijzonder naar Shellshock en cross site scripting en naar de gevaren van het TOR-netwerk.

Deel dit artikel via: