DDoS-aanvallen steeds kleiner en korter

De tijd van enorme DDoS-aanvallen lijkt voorbij. In de eerste helft van dit jaar was nog maar 5% van de aanvallen 1 Gbps of groter. 99% van de DDos-aanvallen is kleiner dan 10 Gbps. Het aantal kleine aanvallen is met 233% gestegen in die periode. Dat blijkt uit metingen van beveiliger Nexusguard.

Volgens Nexusguard wordt zo vaak voor kleinere aanvallen gekozen omdat die makkelijker over het hoofd worden gezien. Aanvallers proberen er detectie op basis van signatures mee te omzeilen. Bovendien worden de meeste kleine aanvallen via goedkope ingehuurde aanvallers gedaan.

Bij 40% van de kleinere aanvallen werd gebruik gemaakt van TCP ACK-verkeer als nieuwe aanvalsvector. De TCP ACP-packets wordt gebruikt om high packet rates te genereren, dus grotere volumes van packets per seconde. Zo kunnen de netwerk resources overstroomd en lamgelegd worden die de enorme vloed van TCP-packets proberen te verwerken. En omdat een TCP ACP-packet van groot belang is voor het TCP-handshakingproces worden deze packets als normaal verkeer beschouwd. Dat maakt de detectie van aanvalsverkeer dat verborgen zit in het normale verkeer bijzonder moeilijk.

Anderhalf uur

Aanvallen duren ook relatief kort. Bijna 85% duurde korter dan 90 minuten. Gemiddeld duurt een aanval nog wel ruim 2 uur. De langste aanval nam zelfs 256 uur in beslag, maar dat was een uitzondering.

Hoewel het er niet meer zo veel zijn, worden er nog steeds zeer grote aanvallen - van meer dan 100 Gbp -  uitgevoerd. Ook hun omvang blijft groeien. De grootste aanval die Nexusguard in de eerste helft van dit jaar zag, had een omvang van 302 Gbps.