Quale è lo stato degli attacchi DDoS per i primi sei mesi del 2016? Risponde a questa domanda Arbor Networks che ha registrato un loro aumento sia per dimensione che per frequenza degli attacchi. Questo grazie alla disponibilità immediata di tool gratuiti e servizi online a basso costo che permettono a chiunque sia in possesso di un grievance e di una connessione internet di lanciare un attacco.
Questi i dati maggiormente significativi del semestre
- 124.000 eventi a settimana di media negli ultimi 18 mesi.
- Un aumento del 73% della dimensione massima degli attacchi rispetto al 2015, che ha raggiunto 579Gbps.
- 274 attacchi superiori a 100Gbps rilevati nella prima metà del 2016, contro i 223 registrati in tutto il 2015.
- 46 attacchi superiori a 200Gbps rilevati nella prima metà del 2016, contro i 16 registrati in tutto il 2015.
- USA, Francia e Gran Bretagna sono i principali obiettivi degli attacchi superiori a 10Gbps.
È stato inoltre dimostrato che i grandi attacchi DDoS non richiedono l’uso di tecniche di riflessione/amplificazione. LizardStresser, una IoT botnet, è stata usata per lanciare attacchi che arrivavano a 400Gbps destinati a siti di gaming di tutto il mondo, istituzioni finanziarie brasiliane, ISP e istituzioni governative. I pacchetti di attacchi non sembrano provenire da indirizzi di origine falsificati – e non è stato utilizzato nessun tipo di protocollo UDP con amplificazione come NTP o SNMP.
QUANDO LA MEDIA È UN PROBLEMA
Un attacco DDoS da 1 Gbps è sufficiente per lasciare offline la maggior parte delle organizzazioni.
- La media delle dimensioni degli attacchi nella prima metà del 2016 è stata 986Mbps, è aumentata quindi del 30% rispetto al 2015.
- Per la fine del 2016 si prevede una dimensione media degli attacchi di 1,15Gbps.
“I dati dimostrano la necessità di sistemi di difesa contro gli attacchi DDoS ibridi o multilivello,” ha detto Darren Anstee, Responsabile Tecnologico per la Sicurezza di Arbor Networks. “Gli attacchi a larghezza di banda elevata possono essere mitigati solo nel cloud, lontano dagli obiettivi prefissati. Tuttavia, nonostante la forte crescita delle dimensioni degli attacchi più consistenti, l’80% di questi è ancora inferiore a 1Gbps e il 90% dura meno di un’ora. La protezione on premise garantisce la rapidità di reazione necessaria ed è la chiave contro gli attacchi “low and slow” a livello di applicazione e gli attacchi state-exhaustion destinati a infrastrutture come firewall e IPS.”
UN TEMPO PER LA RIFLESSIONE
La riflessione/amplificazione è una tecnica che permette agli aggressori sia di ampliare la quantità di traffico generato, sia di offuscare la sorgente originale di quel traffico di attacchi. Di conseguenza, la maggior parte dei grandi attacchi recenti si serve di questa tecnica tramite server DNS, Network Time Protocol (NTP), Chargen e Simple Service Discovering Protocol (SSDP). Di conseguenza, nella prima metà del 2016:
- Il DNS è il protocollo più usato nel 2016, avendo sostituito NTP e SSDP nel 2015.
- La media delle dimensioni degli attacchi di riflessione/amplificazione del DNS sta crescendo considerevolmente.
- La dimensione massima degli attacchi di riflessione/amplificazione rilevati nel 2016 è stata di 480Gbps (DNS).