Anti-DDoS bedrijf Prolexic publiceert een nieuw kwartaalonderzoek en concludeert dat het afgelopen kwartaal de bandbreedte die door DDoS-aanvallen wordt gebruikt is toegenomen met 718 procent. Er wordt nu 48,25 Gbps aan bandbreedte opgeslokt door deze aanvallen. Het laatste kwartaal van 2012 was dat nog 5,9 Gbps.

Het totale aantal DDoS-aanvallen is slechts met 1,75 procent gegroeid, maar er wordt veel meer bandbreedte gebruikt en ze duren gemiddeld langer, meldt het anti-DDoS-bedrijf. Meer dan een kwart van alle aanvallen zijn SYN-floods, waarbij servers worden vastgepind met een vloedgolf aan valse synchronisatieaanvragen.

Meer serverbotnets

De belangrijkste reden daarvoor is dat de DDoS-functionaliteit van de meeste botnets volgens Prolexic is gebouwd rond SYN-floods. Ook wordt hierbij steeds vaker DNS-amplification ingezet. Hierbij nemen aanvallers een slecht geconfigureerde DNS-server over om daarmee IP-adressen te spoofen.

Serverbotnets zijn een betrekkelijk nieuwe bron van DDoS. Dit zijn botnets waarbij webservers worden ingezet als zombies. Voor deze botnets worden slecht beschermde webservers afgezocht op zoek naar eenvoudige doelwitten. De laatste tijd zoeken cybercriminelen naar Wordpress-sites die zijn beveiligd met een standaardinlogs om zo webcapaciteit te bemachtigen.

Factoren die doelwit bepalen

“Landen met een uitgebreide infrastructuur worden over het algemeen sneller gekozen als doelwit door cyberbendes”, meldt Prolexic. Om die reden worden Nederlanders vaak op de korrel genomen door botnetbeheerders, zo meldde beveiligingsbedrijf Symantec gisteren nog. Maar wat DDoS betreft staat Nederland niet in de door Prolexic samengestelde tien van bronlanden.

“Er spelen nog andere factoren in het kiezen van doelwitten, zoals de hoeveelheid kwetsbare applicaties die op een grote hoeveelheid webservers zijn te vinden", schrijft Prolexic. "Andere factoren zijn dat sommige webhosters traag reageren op malware-meldingen en dat bepaalde landen in de beleving van cybercriminelen moeilijk bereikbaar zijn voor internationale opsporingsdiensten.”

China staat op één als bronland van de DDoS'ende botnets, gevolgd door de VS en Duitsland. Volgens Prolexic is Iran een opvallende nieuwe speler die vanuit het niets in de top 10 opduikt.

Meer blackholing

Het bedrijf merkt op dat de grote verandering is dat DDoS’ers nu meer dan ooit providers en backbone-infrastructuur misbruiken voor hun aanvallen. Prolexic stelt dat het volume van het verkeer (het bedrijf ziet een forse toename van de packets per seconde) ervoor zorgt dat DDoS-aanvallen lastiger zijn af te slaan door anti-DDoS-diensten.

De oplossing die daarom steeds vaker wordt gehanteerd bij dit soort incidenten de vloedgolf aan verkeer naar een black hole wordt geleid.