Arbor Networks ha pubblicato i dati sugli attacchi DDoS globali relativi al secondo trimestre 2015. I risultati mostrano una forte crescita della dimensione media degli attacchi DDoS, in termini sia di bit per secondo che di pacchetti per secondo.
Il più grande attacco monitorato nel secondo trimestre è stato uno Udp flood -un denial of service su protocollo Udp anziché su Tcp- da 196GB/s, dimensioni certamente rilevanti ma non più insolite. Inoltre la maggior parte dei sistemi adotta meccanismi che riducono le conseguenze di questo attacco.
Più preoccupante per le reti aziendali è l’aumento delle dimensioni medie degli attacchi: nel secondo trimestre il 21% degli attacchi ha superato la soglia di 1GB/sec, mentre la crescita maggiore si è registrata nell’intervallo dei 2-10GB/s. Nel mese di giugno vi è stato inoltre un picco significativo di attacchi nella fascia dei 50-100GB/s, soprattutto Syn flood (Ddos su Tcp) diretti contro bersagli situati negli Stati Uniti e in Canada.
“Gli attacchi molto grandi conquistano i titoli dei giornali, ma è la crescita della dimensione media degli attacchi DDoS a creare problemi alle aziende di tutto il mondo“, ha dichiarato Darren Anstee, Chief Security Technologist di Arbor Networks. Parlando di DdoS, le aziende devono definire chiaramente i rischi sul business: “oggi che gli attacchi medi sono capaci di provocare la congestione della connettività Internet di molte aziende, è essenziale comprendere i rischi e i costi di un attacco e predisporre piani, servizi e soluzioni in maniera appropriata“.
La partnership Atlas
Arbor Networks, leader nelle soluzioni per la protezione da attacchi DDoS e minacce avanzate rivolte a reti enterprise e service provider, raccoglie questi dati attraverso Atlas, una partnership collaborativa con oltre 330 service provider che condividono dati di traffico raccolti in modo anonimo. In questo modo viene tracciata una panoramica aggregata completa del traffico e delle minacce a livello globale. Atlas raccoglie statistiche che rappresentano 120TB/s di traffico Internet e che costituiscono la base per la realizzazione della Digital Attack Map, una visualizzazione del traffico globale degli attacchi DDoS creata in collaborazione con Google Ideas.
Device non protetti amplificano gli attacchi
La tecnica di riflessione e amplificazione permette a chi attacca di moltiplicare il volume di traffico generabile e nascondere contemporaneamente le fonti originali di tale traffico. Questa tecnica approfitta di due fatti: innanzitutto, molti service provider non implementano ancora alla periferia delle loro reti i filtri necessari a bloccare il traffico associato a indirizzi Ip di origine falsificata (‘spoofed’); in secondo luogo, Internet pullula di tantissimi dispositivi malamente configurati e scarsamente protetti che mettono a disposizione servizi Udp che forniscono un fattore di amplificazione tra la query ricevuta e la risposta generata. La maggior parte degli attacchi volumetrici di grandissime dimensioni sfrutta una tecnica di riflessione e amplificazione che si avvale di server Network Time Protocol (Ntp), Simple Service Discovery Protocol (Ssdp) e Dns, con grandi quantità di attacchi significativi rilevati in tutto il mondo.
Tra le curiosità si nota che il 50% degli attacchi a riflessione e amplificazione del secondo trimestre è stato rivolto contro la porta Udp 80 (Http/U) e che la durata media degli attacchi a riflessione nel secondo trimestre è stata di 20 minuti, contro i 19 minuti nel primo trimestre.
