Ddos-aanvallen nemen aan kracht en complexiteit toe en duren bovendien langer. Dat concludeert Nationale Beheersorganisatie Internet Providers (NBIP). De stichting stelde voor het derde jaar op rij een jaarrapport op van de trends in ddos-aanvallen op Nederlandse bedrijven en organisaties. We zetten de opvallendste uitkomsten op een rij.
‘Ddos-aanvallen werden complexer, krachtiger en duurden vooral een stuk langer in vergelijking met de aanvallen in 2019’, stellen de rapporteurs. De maximale kracht van een ddos-aanval was 200 Gbps (Gigabit per seconde), tegenover 124 Gbps en 68 Gbps in de twee voorgaande jaren.
Ook registreerde de onderzoekers een nieuw ‘lengterecord’ van een aanval. Die ddos-aanval duurde twintig dagen en zes uur. Ter vergelijking: in 2019 duurde de langst geregistreerde aanval in Nederland anderhalve dag. In 2018 was dat een dag en vier uur.
De meest voorkomende aanvallen waren amplificatieaanvallen. Bij dergelijke aanvallen wordt een niet of nauwelijks beveiligde server misbruikt, waarna een toegestuurd bericht met een factor X wordt vergroot. Het resultaat is dat een aanvaller via kleine en eenvoudige berichten een server kan bestoken met een enorme datastroom.
Knaller van 300 Gbps
In augustus startten krachtige aanvallen op de infrastructuren van internetserviceproviders die bleven voortduren. Deze hadden een capaciteit van 167 Gbps en duurden langer dan vier uur. In de laatste drie maanden van 2020 zagen de onderzoekers een toename van het aantal technisch complexere aanvallen. In het rapport staat een uitgebreid overzicht van de soorten aanvallen en de duur en omvang van die netwerkbestormingen die tot doel hebben om de bedrijfsvoering plat te leggen.
De toenemende duur, complexiteit en omvang van ddos-aanvallen past in een trend. In 2018 en 2019 registreerden de onderzoekers respectievelijk 938 en 919 aanvallen. In 2020 waren dat er 1610. Die trend zet door. In het eerste kwartaal van 2021 werden al meer aanvallen geconstateerd dan in heel 2020. De krachtigste had een omvang van 300 Gbps.
Microsoft Remote Desktop protocol
In 2020 bleven multi-vectoraanvallen populair. Daarbij worden meerdere aanvalssoorten gebundeld. Het gaat meestal om een relatief simpel, maar zwaar aanvalstype gecombineerd met een kleine, geavanceerde aanvalssoort.
Ook werden aanvallen uitgevoerd op niet-bestaande subdomeinen van een bestaande domeinnaam. Bij die zogenoemde dns water torture-methode gaat het om subdomeinen die willekeurig en automatisch door de aanvaller worden aangemaakt. ‘Door de bevraging van willekeurige subdomeinen kan de hoogste autoriteitsserver niet aan deze verzoeken voldoen omdat deze informatie niet in het cache staat. Het resultaat: de autoriteitsserver gaat onderuit’, vatten de rapporteurs samen.
Ook maakten de criminelen gebruik van nieuwe protocollen voor ddos-aanvallen. Dat zijn Microsoft Remote Desktop en Quote of the Day.
NaWas
Het ‘Ddos-datarapport 2020‘ is samengesteld door de Nationale Beheersorganisatie Internet Providers (NBIP), de beheerder van de dienst Nationale Anti-ddos Wasstraat (NaWas), één van de grootste ddos-wasstraten in Nederland. Deelnemers kunnen daarin hun ‘vervuilde’ netwerkverkeer scheiden van het ‘schone’, legitieme verkeer. Dat schone verkeer wordt via een aparte verbinding via een internetexchange teruggeleid naar de deelnemer.
De NBIP publiceert kwartaalrapporten en een jaarrapport over de in de NaWas waargenomen ddos-aanvallen.
