Eerste helft van 2019 gekenmerkt door grotere en complexere DDoS-aanvallen

Gepubliceerd op 6 oktober 2019 om 14:00
Eerste helft van 2019 gekenmerkt door grotere en complexere DDoS-aanvallen

DDoS-aanvallen worden steeds groter, complexer en langduriger, blijkt uit een nieuw rapport van de Nationale Beheersorganisatie Internet Providers (NBIP) over de eerste helft van 2019. Daarnaast steken nieuwe methodes de kop op. Zo vond in april dit jaar een aanval van 71 Gbps (Gigabit per seconde) plaats.

Hoewel die 71 Gbps een uitschieter is, zijn er volgens het rapport wel steeds meer grote aanvallen met veel afgevuurd netwerkverkeer. Zo komen aanvallen van boven de 10 Gbps steeds vaker voor. De meeste aanvallen zitten echter tussen de 1 en 10 Gbps (318 stuks), en ook aanvallen van minder dan 1 Gbps komen veel voor (183 keer).

Aanvallen frequenter

Aanvallen zijn niet alleen groter, maar komen ook frequenter voor. De NBIP constateerde in 2018 in zijn DDoS-datarapport al dat het aantal aanvallen met 14 procent was toegenomen ten opzichte van 2017 en in de eerste helft van 2019 is dat opnieuw het geval.

In 2018 waren er 938 aanvallen, in de eerste zes maanden van dit jaar waren dat er 572. Daarmee is het gemiddeld aantal aanvallen per dag gestegen van 2,6 naar 3,2 in 2019. De NBIP zegt dat het moeilijk is om te voorspellen of die trend doorzet in de tweede helft van dit jaar, maar dat het onwaarschijnlijk lijkt dat de hoeveelheid aanvallen afneemt.

De aanvallen duren ook langer. Zo nam het NBIP in de eerste zes maanden uitschieters waar die langer dan vier uur duurden. Dat is in het eerste halfjaar van 2019 23 keer voorgekomen, tegenover 22 in heel 2018. De meeste aanvallen - 247 stuks - duren echter minder dan vijftien minuten. Nog eens 214 aanvallen namen vijftien tot zestig minuten in beslag.

Nieuwe soort aanval

Kwaadwillenden zetten hun geld niet alleen in op bekende tactieken, maar ontwikkelen ook nieuwe aanvallen. Eén daarvan is GRE flood, dat zich richt op het GRE-tunnelingprotocol in netwerkpakketten. Dat protocol wordt gebruikt om een directe point-to-point-verbinding tussen netwerk nodes op te zetten, waardoor data niet over het publiek netwerk zelf hoeft te reizen. Daarmee is het vergelijkbaar met een VPN-verbinding.

Bij een GRE flood vult de aanvaller pakketjes met grote hoeveelheden data, die vervolgens naar het doelwit gestuurd worden. Het netwerk van dat doelwit wil de pakketten uitpakken, waardoor de capaciteit van het netwerk flink beperkt wordt.

Octavia de Weerdt, algemeen directeur van de NBIP, zegt dat GRE floods lastig tegen zijn te houden, omdat GRE-verkeer altijd versleuteld is. “Het wijst wederom op het belang van waakzaamheid.”

DDoS-database

De NBIP heeft in de eerste helft van 2019 zelf ook een belangrijke update gehad. Het werkt nu als onderdeel van de werkgroep Clearing House - wat weer deel uitmaakt van een nationale anti-DDoS-coalitie - aan de ontwikkeling van een DDoS-database. Daarmee moeten aanvallen beter worden herkend en moet mitigatie doeltreffender worden.

“Alleen door samen te werken met overheden, het bedrijfsleven en onderzoeksinstituten kunnen we DDoS effectief het hoofd bieden. Samen staan we sterker”, aldus De Weerdt.

Eerder ontwikkelde het NBIP al de Nationale Wasstraat (NaWas), waarmee het ruim 2,5 miljoen .nl-domeinen beschermt tegen DDoS-aanvallen.

NBIP D Do S Data Rapport 1 E Halfjaar 2019
PDF – 539,0 KB 481 downloads

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.