Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

70% DDoS-aanvallen bestaat uit minder dan 1 Gbps dataverkeer

  • Door
  • Veenman
  • geplaatst op
  • 17 juli 2013 08:13 uur

BotnetDDoS-aanvallen blijven een groot probleem. Was een DDoS-aanval vroeger een aangelegenheid die voornamelijk de aandacht van IT-afdelingen had, tegenwoordig staat het onderwerp op de agenda van de directie van menig bedrijf. Uit een onderzoek van Neustrar onder Britse bedrijven blijkt dat 70 procent van de DDoS-aanvallen er sprake is van minder dan 1 Gbps dataverkeer, terwijl er in 40 procent van de gevallen zelfs sprake is van minder dan 100 Mbps aan dataverkeer. In veel gevallen is dat echter wel ruimschoots voldoende om een (enkele) website of server plat te leggen.

Daar staat echter tegenover dat 11 procent van de DDoS-aanvallen gepaard gaan met meer dan 20 Gbps aan dataverkeer en daarmee een serieuze bedreiging vormen voor vrijwel elk netwerk dat geen adequate DDoS-bescherming heeft. Ook blijkt uit het onderzoek dat 63 procent van de Brtise DDoS-aanvallen minder dan 1 dag duurde, terwijl 22 procent van de DDoS-aanvallen juist meer dan een week aanhielden. Opvallend is dat maar 2 procent van de DDoS-aanvallen tussen de 3 en 7 dagen duurt. Daaruit blijkt dus dat aanvallers er blijkbaar voor kiezen een doelwit juist kortstondig of langdurig aan te vallen, maar dat er geen middle ground is. Wat zou hier de achtergrond van zijn?

Een ander punt dat door Neustrar is onderzocht, wat de gemiddelde kosten per branche zijn wanneer het bedrijf een uur plat ligt door een DDoS-aanval. Ongeveer de helft van de Britse bedrijven geeft aan minder dan 1.000 Britse pond aan schade te lijden per uur downtime door een DDoS-aanval. Opvallend is dat naast telecombedrijven het vooral financiële instellingen zijn (respectievelijk 30 en 25 procent van de bedrijven in die branches) die aangeven per uur downtime een schade te lijden van meer dan 100.000 Britse, terwijl webwinkels aangeven maximaal 50.000 Britse pond per uur schade te lijden bij downtime door een DDoS-aanval.

DDoS Infographic

 

Michiel Klaver, 17 juli 2013 11:36 am

Bij een ddos gaat het heel vaak juist niet om de hoeveelheid bandbreedte, maar eerder om het aantal data-pakketten per seconde. Bijvoorbeeld 150.000 pakketjes van 64 bytes groot zal nauwelijks opvallen in het dataverkeer, het is in totaal minder dan 10 mbit, maar een gemiddelde webserver zal grote moeite hebben om 150.000 nieuwe verzoeken per seconde af te handelen.

Michiel Klaver, 17 juli 2013 11:42 am

Hm, rekenfoutje met bits/bytes... 64 bytes x 150.000 = 76,8 MegaBits. Maar nog steeds geen schokkende getallen.

F, 17 juli 2013 5:36 pm

@Michiel Klaver Bij dergelijke aanvallen is de impact beperkt tot één of een aantal webservers.

Het zijn toch juist de aanvallen met juist de grotere hoeveelheden bandbreedte die overlast veroorzaken binnen een heel AS met gevolgen voor alle leveranciers en klanten binnen dat AS.

Frans ter Borg, 18 juli 2013 5:22 pm

@F dat hangt af van de omgeving waarin de webservers staan. We zien met regelmaat "geavanceerdere" hostingnetwerken (dus geen kale colo + bandbreedte), waar behoorlijk wat servers achter een shared firewall draaien. Deze shared firewalls willen nog wel eens in de problemen komen als er 150KPPS doorheen wordt gestuurd. Sessietabellen lopen vol en CPU's schieten door het dak, waardoor alle achterliggende servers problemen hebben.

Menig budget hosting provider werkt met refurbished of enigszins gedateerde routing apparatuur. Die blijken ook veelal vatbaar voor DDoS aanvallen door hoge CPU load als de attack zich richt op de routing engine zelf, in plaats van op een host achter die routing engine (dat laatste overleven die routers vaak nog wel). Als de CPU van de routing-engine overloaded is, dan beginnen BGP sessies te bouncen en heeft het hele achterliggende netwerk er last van, ook bij 150KPPS. Modernere en ook veelgebruikte routers (MX series van Juniper, ASR9K van Cisco, of XMR van Brocade) kunnen dergelijke attacks op hun CPU beter hebben.

Qua bandbreedte heb je zeker een punt, maar een volumetric attack is geen zeker geen voorwaarde om grote impact te hebben op veel hosts in een netwerk.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.