DDoS-aanvallen worden kleiner, maar duren langer

25 maart 2019

Veel aanvallen zijn zo getweakt dat ze net voldoende impact hebben om systemen plat te leggen.

In 2018 vonden 938 DDoS-aanvallen plaats in Nederland, een stijging van bijna veertien procent ten opzicht van een jaar eerder. De aanvallen waren gemiddeld minder heftig, maar duurden wel langer. Dat blijkt uit onderzoek van de stichting Nationale Beheerorganisatie Internetproviders (NBIP). DDoS-aanvallen zijn een volwassen dreiging geworden, luidt de conclusie.  

De groei van het aantal DDoS-aanvallen vlakt volgens NBIP de laatste jaren iets af, maar dat betekent niet dat de overlast minder groot is. Veel aanvallen zijn zo getweakt dat ze net voldoende impact hebben om systemen plat te leggen. Het gaat dan om aanvallen waarbij minder dan 1 Gbps op een server wordt afgevuurd. Zulke relatief kleine aanvallen namen in 2018 het meest toe (23 procent). NBIP registreerde ook elf aanvallen van meer dan 40 Gbps, terwijl deze een jaar eerder volledig ontbraken. De heftigste DDoS-aanval bedroeg 68 Gbps.

DDoS-aanvallen duurden in 2018 gemiddeld ook iets langer dan in 2017. Maar nog steeds nam het gros minder dan een uur in beslag, en vele zelfs minder dan een kwartier. Toch waren er vorig jaar 29 die langer dan vier uur duurden, met een uitschieter van 29 uur. De laatste meerdaagse aanval vond plaats in 2016.

Meer variatie

Bovendien registreerde NBIP in 2018 een grotere verscheidenheid van aanvalsmethoden; de variatie steeg van 46 naar 56 manieren. Voor het eerst was afgelopen jaar 'LDAP amplification' de populairste soort aanval. Daarbij misbruiken criminelen een openstaande poort van oude LDAP-servers. Door een kwetsbaarheid in het CLDAP-protocol van deze servers kunnen ze een klein verzoek aan de server in korte tijd vele malen vergroten waardoor de server wordt overbelast. 

Voorgaande jaren waren 'DNS amplifications' het populairst, waarbij de aanvaller een DNS-server bestookt met ontelbare DNS look-up requests. Deze methode heeft volgens NBIP zoveel media-aandacht gehad, dat veel organisaties hiertegen maatregelen hebben genomen.
 
Voor het halfjaarlijkse onderzoek analyseerde NBIP de aanvallen die werden geregistreerd door de Nawas. Deze zogeheten nationale wasstraat leidt malafide internetverkeer langs anti-DDoS-apparatuur en stuurt het verkeer 'schoon' terug naar deelnemers van NBIP. Naar eigen zeggen beschermt de Nawas op deze wijze ruim 2,5 miljoen nl-domeinen van 68 Nederlandse internet service providers (isp's), grote banken en verzekeraars. De Nawas werd opgezet in 2013.

Meer informatie