DDoS in 2017: korter, krachtiger en complexer

Het DDoS-jaarrapport van de NBIP heeft dan ook de ondertitel ‘De opkomst van slimme DDoS-aanvallen’. Het is het eerste extern gepubliceerde rapport van de beheersorganisatie voor Nederlandse ISP’s. AG Connect heeft dit document op voorhand in handen gekregen. De praktijkmetingen bij providers in ons land bevestigen de trends dat DDoS-aanvallen met vernuftigere middelen en doelgerichter worden ingezet.

Nationale Wasstraat

De NBIP heeft zijn rapport samengesteld met cijfers en trends van DDoS-aanvallen die zijn afgeslagen of beperkt via de NaWas (Nationale Wasstraat). Dat is een gezamenlijke voorziening van NBIP-aangesloten providers waarbij de grote hoeveelheden verkeer van een DDoS-aanval worden omgeleid en gefilterd. Legitieme dataverzoeken van echte websitebezoekers, internetgebruikers en klanten krijgen dan tijdens een lopende DDoS-campagne wel normale, vlotte toegang.

De vorig jaar ondervonden en ingeperkte aanvallen tonen enkele opvallende trends. Niet alleen loopt de hevigheid (in Gbps) terug, maar ook de tijdsduur neemt af. Laatstgenoemde komt volgens de NBIP doordat aanvallers steeds gerichter te werk gaan. Het NBIP meldt dart DDoS-aanvallen relatief makkelijk zijn: zowel qua uitvoering als ook qua aanschaf of inhuur.

‘Minder brute kracht’

Afgelopen jaar zijn de aanvalsmethodes vernuftiger geworden. “De uitvoerder van een DDoS-aanval gaat niet langer uit van ‘brute kracht’, maar gaat steeds subtieler te werk”, zegt Octavia de Weerdt, algemeen directeur van de NBIP. Het merendeel (437 stuks) van de aanvallen had een omvang van tussen de 1 en 10 Gbps, meldt de NBIP in het rapport dat vandaag uitkomt.

Naast dit merendeel waren er 294 aanvallen van minder van 1 Gbps. Boven de capaciteit van de middenmoot was er een relatief kleine kopgroep (95 stuks) van zeer zware DDoS-aanvallen van 10 Gbps of meer. De Weerdt: “Een aanval net boven de capaciteit van de doelserver is namelijk efficiënter dan een hele grote DDoS-aanval.”

Kleiner en meer

Het totale aantal DDoS-aanvallen lag in 2017 op 826 stuks, aldus NBIP. Het gros van de aanvallen afgelopen jaar duurde niet langer dan een uur. Deze verkorting is gerelateerd aan de slimmere aanpak door de aanvallers. Meerdere kleinere aanvallen zijn namelijk lastiger tegen te gaan dan een enkele grote aanval, legt de NBIP uit.

Het aantal uitgevoerde DDoS-aanvallen zit wel in de lift. In 2016 heeft de NBIP 680 DDoS-aanvallen geregistreerd, vermeldt het rapport. Dit komt neer op ongeveer 1,9 aanvallen per dag. In 2017 is dat aantal gegroeid naar 826 (ongeveer 2,3 aanvallen per dag). Deze stijging van 21,5 procent heeft plaatsgevonden ondanks een bescheiden groei van drie nieuwe deelnemers aan de NaWas (naar 56 deelnemers in 2017).