Distributed Denial-of-service (DDoS)-aanvallen zijn vorig jaar in aantal licht afgenomen, maar werden wel steeds groter en complexer van aard. Het totale volume van in 2021 geregistreerde aanvallen is met 3 procent gedaald ten opzichte van een jaar eerder, maar de ernst van de aanvallen is in de loop van het jaar aanzienlijk toegenomen. Tegen het vierde kwartaal van 2021 bedroeg de gemiddelde omvang van de aanvallen meer dan 21 Gbps, meer dan vier keer het niveau van begin 2020.
Vorig jaar werd ook het record voor de grootste aanval ooit meermaals gebroken; dit staat inmiddels op 1,4 Tbps. Deze gegevens komen uit F5 Labs, op basis van F5 Silverline, een cloudgebaseerd managed services-platform dat DDoS-aanvallen in realtime opspoort en tegenhoudt.
Aanvallen worden groter
Hoewel de meeste aanvallen die in 2021 werden geregistreerd onder de 100 Mbps bleven, waren er enkele opmerkelijke uitzonderingen. De grootste aanval in 2020 kwam neer op 253 Gbps. In februari 2021 werd dit record verbroken door een aanval van 500 Gbps. In november werd echter een aanval geregistreerd van 1,4 Tbps, meer dan vijf keer zo groot als het record van het jaar daarvoor.
“Het volume van DDoS-aanvallen fluctueerde per kwartaal, maar de onmiskenbare trend is dat deze aanvallen steeds groter worden”, zegt David Warburton, Director van F5 Labs. “Terwijl de piekgrootte van de aanvallen gedurende 2020 stabiel bleef, zagen we vorig jaar een consistente stijging. Zo heeft Silverline DDoS Protection verschillende aanvallen aangepakt die achtereenvolgens de grootste waren die we ooit hadden gezien.”
De maximale bandbreedte van de aanval, die gericht was op een ISP/hosting-bedrijf, werd in slechts 1,5 minuut bereikt en duurde in totaal vier minuten, waarbij gebruik werd gemaakt van een combinatie van volumetrische methoden (DNS-reflectie) en methoden op de applicatielaag (HTTPS GET floods).
Complexiteit neemt toe
Volumetrische aanvallen, waarbij gebruik wordt gemaakt van openbaar beschikbare tools en diensten om het netwerk van een doelwit te overspoelen met meer bandbreedte dan het aankan, bleven in 2021 de meest voorkomende vorm van DDoS, goed voor 59 procent van alle geregistreerde aanvallen. Dit is een lichte daling ten opzichte van de 66 procent van het voorgaande jaar, omdat protocol- en applicatie-type DDoS-aanvallen toenamen; de laatste met bijna 5 procent op jaarbasis. Deze lichte verschuiving werd ingezet door het veranderende gebruik van protocollen: 27 procent van de aanvallen in 2021 maakte gebruik van TCP; het jaar daarvoor was dit nog 17 procent.
Wat specifieke aanvalsmethoden betreft, waren er enkele opmerkelijke veranderingen. DNS query-aanvallen kwamen vaker voor, met een stijging van 3,5 procent op jaarbasis; het gebruik van UDP-fragmentatie daalde met 6,5 procent. LDAP-reflectie daalde ook met 4,6 procent en DNS-reflectie met 3,3 procent.
“Naast veranderingen in aanvalstype bleven we een sterke aanwezigheid van multivector-aanvallen waarnemen, waaronder het incident van 1,4 Tbps waarbij gebruik werd gemaakt van een combinatie van DNS-reflectie en HTTPS GETS”, aldus Warburton. “Dit was met name het geval aan het begin van het jaar, toen het aantal multivector-aanvallen aanzienlijk groter was dan het aantal aanvallen met één vector. Het illustreert het steeds uitdagender wordende landschap voor bescherming tegen bedreigingen, waarbij verdedigers meer technieken tegelijk moeten inzetten om deze geavanceerdere aanvallen af te zwakken en een denial of service moeten voorkomen.”
Financiële diensten in het vizier Het bankwezen, financiële diensten en verzekeringen waren in 2021 het vaakst doelwit van DDoS-aanvallen, met meer dan een kwart van het totale volume. Daarmee werd een trend voortgezet waarbij de aanvallen tegen de financiële sector sinds begin 2020 gestaag zijn toegenomen.
Technologie, de meest aangevallen sector van 2020, kwam daarentegen op de vierde plaats terecht, na telecommunicatie en onderwijs. Deze vier sectoren waren samen goed voor 75 procent van alle geregistreerde aanvallen, met een long tail van andere sectoren, waaronder energie, detailhandel, gezondheidszorg, transport en juridische instellingen, die nauwelijks dreigende activiteit zagen.
“Hoewel het aantal aanvallen in 2021 licht afnam, is het DDoS-probleem zeker niet afgenomen”, aldus Warburton. “Zowel de omvang als de complexiteit van deze aanvallen nemen toe en vragen om een meer wendbare en veelzijdige reactie van verdedigers. Hoewel het redelijk is om vraagtekens te zetten bij de doeltreffendheid van aanvallen die slechts een paar minuten duren, weten aanvallers dat zelfs een korte onderbreking van een dienst aanzienlijke gevolgen kan hebben en een negatief effect kan hebben op merk en reputatie.”
“Naarmate de DDoS-aanvallen geraffineerder en gevarieerder worden, zullen organisaties een breed scala aan maatregelen moeten nemen om zich ertegen te beschermen, waaronder upstream-controles om het verkeer dat endpoints bereikt te inspecteren en te beperken, en managed service providers die naast interne beveiligingsteams kunnen werken om aanvallen te voorkomen en snel op te treden om lopende aanvallen in te dammen.”