Arbor Networks veröffentlicht neue Zahlen zu weltweiten DDoS (Distributed Denial of Service)-Angriffen für das erste Halbjahr 2016. Die Daten zeigen eine dramatische Zunahme sowohl der Größe als auch der Häufigkeit von DDoS-Angriffen.
Die Daten werden durch ATLAS (Arbor Threat Level Analysis System) ermittelt, einer gemeinschaftlichen Initiative an der rund 330 Service-Provider aus dem Kundenkreis von Arbor Networks beteiligt sind. Die Traffic- und Angriffsdaten der Partner werden anonym zur Verfügung gestellt und durch ATLAS analysiert und evaluiert.
Arbor Networks generiert anhand dieser Datenbasis einen Gesamtüberblick über die weltweiten Datenverkehrsströme und die globale Bedrohungslage und stellt diese zur Nutzung zur Verfügung.
Die durch ATLAS erhobenen statistischen Daten bilden auch die Grundlage für die Zusammenarbeit mit Google Ideas zur Erstellung der "Digital Attack Map", einer Live-Visualisierung des weltweiten Angriffsverkehrs. Auch die kürzlich veröffentlichten Publikationen wie der "Cisco Visual Networking Index Report" und der "Verizon Data Breach Investigations Report" stützen sich auf ATLAS-Daten.
DDoS-Angriffe sind eine weltweite Bedrohung
DDoS-Angriffe sind und bleiben ein weit verbreiteter Angriffstyp, unter anderem weil im Internet geeignete Tools kostenlos zur Verfügung stehen und Onlinedienste preisgünstig geworden sind. Heute kann praktisch jeder mit einem Zugang zum Internet einen DDoS-Angriff starten. Das erklärt die Zunahme der Häufigkeit, Größe und Komplexität in den letzten Jahren.
Die wesentlichen Ergebnisse von ATLAS im Überblick:
- Durchschnittlich 124.000 DDoS-Angriffe pro Woche in den letzten 18 Monaten
- Größter Angriff mit 579 Gbps entspricht einer Zunahme von 73 Prozent gegenüber 2015
- 274 Angriffe über 100 Gbps im ersten Halbjahr 2016 überschreiten bereits die Menge der entsprechenden Angriffe im gesamten Jahr 2015 mit nur 223 Angriffen
- 46 Angriffe über 200 Gbps im ersten Halbjahr 2016 überschreiten bereits die Menge der entsprechenden Angriffe im gesamten Jahr 2015 mit nur 16 Angriffen
- Angriffe mit über 10 Gbps richteten sich hauptsächlich gegen Ziele in den USA, Frankreich und Großbritannien
Laut der aktuellen Publikation der ASERT-Spezialisten (Arbor Security Engineering & Research Team) sind Reflektions- und Verstärkungstechniken keine notwendige Voraussetzung für große Volumenangriffe. Der "Lizard Stresser", ein IoT-Botnet, wurde als Tool für Angriffe mit einer Größe von bis zu 400 Gbps verwendet. Die Angriffe wendeten sich gegen Gaming-Seiten auf der ganzen Welt, Finanzinstitute in Brasilien, Internet Service Provider (ISP) sowie Behörden und Regierungseinrichtungen.
Laut ASERT waren die Angriffspakete unverdächtig und schienen nicht von gefälschten oder verschleierten Adressen zu stammen - und sie nutzten keine UDP (User Datagram Protocol)-basierten Protokolle wie NTP (Network Time Protocol) oder SNMP (Simple Network Management Protocol) zur Angriffsverstärkung.
Bei den meisten Unternehmen genügt schon ein DDoS-Angriff mit einem Gbps, um sie komplett lahmzulegen. Im ersten Halbjahr 2016 lag die Durchschnittsgröße eines Angriffs bereits bei 986 Mbps - eine Zunahme von rund 30 Prozent gegenüber 2015. Laut der Prognose wird die Durchschnittsgröße von Angriffen bis Ende 2016 auf 1,15 Gbps anwachsen.
"Die Daten belegen, wie wichtig eine Hybridlösung mit einem mehrstufigen DDoS-Abwehrkonzept ist. Angriffe mit hoher Bandbreite können nur in der Cloud, also noch vor dem Erreichen ihres Ziels, abgewehrt werden. Doch auch wenn vermehrt Angriffe mit extremer Größe verzeichnet werden, sind 80 Prozent der Angriffe immer noch kleiner als ein Gbps und 90 Prozent dauern weniger als eine Stunde an", erläutert Darren Anstee, Leiter der Abteilung für Sicherheitstechnologie bei Arbor Networks.
Dramatische Zunahme von Reflektionsangriffen
Die Verstärkung von Angriffen durch sogenannte Reflektion ermöglicht es, den Umfang des anfänglich generierten Datenverkehrs eines Angriffs zu vervielfachen und seinen Ursprung zu verschleiern. Diese Technik ist der Grund, weshalb jüngst die meisten großen Angriffe die Protokolle und Dienste DNS (Domain Name System), NTP oder Chargen und Simple Service Discovery Protocol (SSDP) verwenden.
Die Daten für das erste Halbjahr 2016:
- DNS wird zum meist genutzten Protokoll in 2016 - im Jahr 2015 waren es noch die Protokolle NTP und SSDP
- Die Durchschnittsgröße DNS-basierter Reflexionsangriffe nimmt dramatisch zu
- Der größte DNS-basierte Reflexionsangriff im ersten Halbjahr 2016 brachte es auf 480 Gbps