DDoS-aanvallers veranderen stelselmatig hun techniek bij het platleggen van websites. Het aloude botnet is steeds minder interessant, terwijl aanvallen op basis van DNS-reflectie en amplificatie technieken structureel voorkomen.

En dat is opvallend, concludeert anti-DDoS bedrijf Prolexic in zijn laatste onderzoeksrapport, deze technieken zijn niet bepaald nieuw. Onlangs kwam netwerksecuritybedrijf Nominum tot soortgelijke conclusies.

Maar de cijfers liegen niet. Het gebruik van DNS-reflectie en amplificatie zorgde het afgelopen kwartaal voor een toename van 39 procent in de gemiddelde bandbreedte van DDoS-aanvallen. Vergeleken met dezelfde periode vorig jaar is de toename 133 procent. Ruim de helft van alle DDoS-aanvallen waren gericht op de media en entertainmentindustrie.

Hoe werkt het?

Bij DNS-reflectie wordt de afzender gespoofed, waardoor het antwoord wat de DNS-servers terugsturen in werkelijkheid naar het doelwit gaat: de reflectie.

Dan komt daar bovenop de amplificatie: queries kunnen piepklein zijn, zo'n 64 bytes, terwijl het gekaatste antwoord richting doelwit tot wel 4000 bytes kan zijn. Een amplificatiefactor van maar liefst 60. Elke kogel wordt zo een bom. Bij deze aanval zijn ook veel (thuis)routers te misbruiken, die dan fungeren als een soort zombie proxy's.

Lees ook: Nieuw record: zwaarste DDoS-aanval ooit