Arbor Networks publicerar globala DDoS-attackdata för första halvåret 2016

Arbor Networks Inc, NETSCOUT:s säkerhetsavdelning, har släppt sin rapport om globala DDoS-attacker för första halvåret 2016.

Den visar att attacker fortsätter att öka, både i storlek och förekomst. Storleken på den största attacken är en ökning med 73 % till 579 Gbps jämfört med samma period 2015

Arbors data samlas in via ATLA, ett samarbete med över 330 kunder i tjänstleverantörsbranschen, som förser Arbor med anonyma trafikdata för att få en heltäckande och samlad bild av global trafik shutterstock_311192399och globala hot. ATLAS levererar data till den digitala attackkartan som visualiserar global attacktrafik och som har skapats i samarbete med Google Ideas. ATLAS-data har också använts nyligen i Ciscos Visual Networking Index-rapport och Verizon Data Breach Incident-rapport .

GLOBAL DDoS-AKTIVITET  

DDoS är fortfarande en vanligt förekommande attack på grund av tillgången till gratis verktyg och billiga onlinetjänster som vilken angripare som helst med tillgång till internet kan använda. Detta har lett till att attackerna har ökat till såväl antal och storlek som till svårighetsgrad på senare år.

  • ATLAS har konstaterat i genomsnitt 124 000 händelser per vecka under de senaste 18 månaderna.
  • En storleksökning för toppattacker med 73 % till 579 Gbps jämfört med samma period 2015.
  • 274 attacker på över 100 Gbps iakttogs under första halvåret 2016, jämfört med 223 under hela 2015.
  • 46 attacker på över 200 Gbps iakttogs under första halvåret 2016, jämfört med 16 under hela 2015.
  • USA, Frankrike och Storbritannien är de främsta målen för attacker på över 10 Gbps.

Som Arbors Security Engineering & Research Team visade nyligen krävs ingen reflektionsförstärkande teknik för stora DDoS-attacker. LizardStresser, ett IoT-botnät, användes till att utlösa attacker på upp till 400 Gbps riktade mot spelsajter i hela världen och brasilianska finansinstitut, internetleverantörer och myndigheter. Enligt ASERT verkar attackpaketen inte komma från falska källadresser, och inga UDP-baserade förstärkningsprotokoll såsom NTP eller SNMP användes.

NÄR GENOMSNITT BLIR ETT PROBLEM

En DDoS-attack på 1 Gbps är stor nog att släcka de flesta organisationers internetanslutning helt.

  • Den genomsnittliga storleken på attacker under första halvåret 2016 var 986 Mbps: en ökning på 30 % jämfört med samma period 2015.
  • Den genomsnittliga storleken på attacker beräknas vara 1,15 Gbps i slutet av 2016.

”Dessa data visar på behovet av hybrid- eller DDoS-skydd i flera lager”, säger Arbor Networks säkerhetstekniska chef, Darren Anstee.  ”Attacker med hög bandbredd kan bara avvärjas i molnet, på avstånd från det avsedda målet.  Trots den enorma ökningen i storlek på större attacker är 80 % av alla attacker fortfarande mindre än 1 Gbps, och 90 % av dem varar mindre än en timme. Skydd på plats ger den snabba reaktion som behövs och är avgörande mot ”små och långsamma” applikationslagerattacker och överbelastningsattacker riktade mot infrastruktur, t.ex. brandväggar och IPS.”

TID FÖR REFLEKTION  

Så kallad reflection är en teknik som gör det möjligt för angriparen att både förstärka den genererade trafikmängden och fördunkla de ursprungliga källorna till attacktrafiken. Därför utnyttjas denna teknik i majoriteten av de stora attackerna på senare tid med hjälp av DNS-servrar, NTP- (Network Time Protocol), teckengenererings- och SSDP-protokoll (Simple Service Discovery Protocol). Följden under första halvåret 2016:

  • DNS är det vanligast förekommande protokollet som används 2016 och har därmed tagit över från NTP och SSDP under 2015.
  • Den genomsnittliga storleken på DNS-reflektions-/förstärkningsattacker växer starkt.
  • Toppstorleken på iakttagna reflektionsförstärkningsattacker under första halvåret 2016 var 480 Gbps (DNS).