Ein Bericht zur globalen Verteilung von Denial-of-Service (DDoS)-Attacken von Akamai, einem führendem Anbieter von Cloud-Services, zeigt, dass sich im ersten Quartal 2014 diese Angriffe scheinbar weg von traditionellen Botnet-Infektionen hin zu sogenannten „Reflexions- und Verstärker-Methoden“ bewegen.

Anstatt einzelne Maschinen zu infizieren und ihre Kräfte zusammen zu ziehen, um Angriffe in Gang zu setzen, nutzen Angreifer nun eher Internet-Protokolle aus, einschließlich Zeichengeneratoren (CHARGEN), Netzwerk-Zeitprotokollen (NTP) und Domain-Name-Systemen (DNS). Letztere gehören zu den populärsten Ansatzpunkten von Missbrauchsversuchen.

Es ist möglich, dass diese Protokolle bevorzugt werden, da sie UDP (User Datagram Protocol) verwenden, um Identitäten zu tarnen. Zusätzlich können Verstärker-Methoden eine massive Datenflut an das Ziel absenden, ohne dass die Quelle dabei eine große Ausgangsbelastung hat. Diese neuen Tools führten laut dem Bericht im ersten Quartal 2014 zu einer Zunahme der durchschnittlichen Bandbreite um 39 %. Außerdem kam es zur größten jemals durchgeführten DDoS-Attacke. Dabei wurde eine Spitzenbelastung von mehr als 200 Gbps (Gigabits/Sekunde) und 53,5 Mpps (Mio. Pakete/Sekunde) erreicht.

1. Quartal 2013:

• 47 % Zunahme insgesamt bei DDoS-Attacken
• 9 % Rückgang der durchschnittlichen Bandbreite der Attacken
• 68 % Zunahme der Infrastruktur-Angriffe (Ebene 3 & 4)
• 21 % Rückgang der Anwendungsattacken (Ebene 7)
• 50 % Rückgang der durchschnittlichen Angriffszeit: von 35 auf 17 Stunden
• 133 % Zunahme der durchschnittlichen Höchstbandbreite

4. Quartal 2013:

• 18 % Gesamtzunahme bei DDoS-Attacken
• 39 % Zunahme der durchschnittlichen Bandbreite der Attacken
• 35 % Zunahme der durchschnittlichen Infrastruktur-Angriffe (Ebene 3 & 4)
• 36 % Rückgang der Anwendungsattacken (Ebene 7)
• 24 % Rückgang der durchschnittlichen Angriffszeit: von 23 auf 17 Stunden
• 114 % Zunahme der durchschnittlichen Höchstbandbreite

Innovationen im DDoS-Markt haben Tools hervorgebracht, die größeren Schaden mit geringeren Mitteln anrichten können. Infrastruktur-Angriffe waren nur möglich, weil einfache DDoS-Tools über einen DDoS-as-a-service-Dienst angeboten wurden. Diese Tools werden von bösartigen Hackern geschrieben, um größere Leistung und bequeme Handhabung für weniger versierte Angreifer bereitzustellen.

John Pescatore, IT-Sicherheitsspezialist von SANS, ist der Ansicht, dass es eher ein Fall des Aufstockens des Arsenals mit zusätzlichen Waffen ist, als eine Verschiebung der Waffen. Eine aktuelle DDoS-Untersuchung von SANS ergab, dass die Mehrheit der ernsthaften DDos-Attacken mehrere Techniken verwenden.

Der effektivste Weg von Schadensminderung ist die lokale DDoS-Abwehr außer Haus, kombiniert mit der DDos-Abwehr von Internetprovidern oder Cloud-basierten Anbietern.

Artikel von net-security.org, 17.04.2014: Attackers use reflection techniques for larger DDoS attacks