Frankfurt, 6. Dezember 2016 – DDoS-Angreifer attackierten zwischen Juli und September 2016 über 9.500 Mal Unternehmen in Deutschland, Österreich und der Schweiz. Die Zahl der DDoS-Attacken ist damit das 3. Quartal in Folge gestiegen. Im Vergleich zum 1. Quartal wuchs die Zahl der Angriffe um 37,5%. Die Attacken (70%) wurden vor allem zwischen 16 und 24 Uhr gestartet. Am Sonntag ist die DDoS-Gefahr besonders hoch.
„Die Zunahme von DDoS-Attacken ist weiterhin ungebremst“
fasst Onur Cengiz, Leiter des LSOC, zusammen.
„Die Auswahl der Ziele erfolgt über alle Branchen hinweg. Die Angreifer ändern ständig ihre Taktik: Sie vereinnahmen neue Geräteklassen als Bots, setzen auf veränderte Angriffsvektoren wie HTTPS sowie TFTP und missbrauchen hemmungslos die Ressourcen der Cloud. Das erschwert ungeschützten Unternehmen die Abwehr und lässt sie schon bei Angriffen mit wenigen Gbps offline gehen.“
Beeindruckende 103 Attacken pro Tag muss das LSOC im Durchschnitt abwehren. Die Verteilung der Attacken schwankt aber im Verlauf des Quartals. Im Juli waren Server und Netzwerke mit über 3.800 Angriffen am häufigsten im Visier der Angreifer. Allein am 6. Juli registrierte das LSOC einen Spitzenwert von 256 Attacken innerhalb von 24 Stunden. Ein richtiger Ruhetag war hingegen der 26. September mit nur 38 Angriffen.
Für ihre Angriffe nutzten die Täter vorwiegend UDP Floods und ICMP Floods. Der Grund: Mit den beiden Attackenvektoren lassen sich leicht sehr große Angriffsvolumen erzeugen: Bei den beiden größten gemessenen Attacken im 3. Quartal mit 84,3 Gbps und 71,8 Gbps arbeiteten die Angreifer ausschließlich mit TCP SYN Floods. Die drittstärkste Attacke mit 65,5 Gbps basierte hingegen zu 100% auf UPD Floods.
Den starken Anstieg von HTTPS-Attacken sieht das LSOC sehr kritisch. Verschlüsselungsbasierte HTTP-Attacken ließen sich bereits in 16,2% aller Angriffe nachweisen. Die Zunahme der Attackenform geht mit der steigenden Verschlüsselung von persönlichen und Finanzdaten im Internet einher. Das Ent- und Verschlüsseln der Datenpakete ist bis zu 10 Mal rechenintensiver als die Verarbeitung unverschlüsselter Anfragen. DDoS-Angreifer nutzen das aus und bringen Zielserver so zum Absturz.
Im Quartalsrhythmus zeichnet der Link11 DDoS-Report ein umfassendes Lagebild der abgewehrten Attacken auf Kundenserver in Deutschland, Österreich und der Schweiz. Der Bericht konzentriert sich auf die Auswertung verschiedener Attackenmerkmale und vergleicht sie mit Kennzahlen aus dem vorangegangenen Untersuchungszeitraum. Fallstudien und Hintergrundberichte ergänzen das Lagebild.
Die DDoS-Schutzspezialisten des LSOC sind damit Vorreiter, da bislang kaum repräsentative Daten für die DACH-Region vorliegen. Ziel dieses Reports ist es, Entscheidern und IT-Repräsentanten einen Überblick zu geben und ihnen dabei zu helfen, ihre eigenen Systeme besser zu analysieren und zu schützen.