Större och mer komplexa – DDoS-attackerna blir bara värre

Säkerhetsföretaget Link11 som är specialiserat på skydd mot överbelastningsattacker har presenterat en rapport för årets tredje kvartal. Rapporten som heter ”Link11 DDoS Report Q3 2019” beskriver som namnet anger läget för DDos-attacker (distribuerade överbelastningsattacker). Syftet med sådana attacker är att överbelastar servrar och hela nätverk, så att de slutar att fungera.

Den rådande trenden med både stora attackvolymer och komplexa attackstrategier fortsätter oförminskad. Varannan attack under årets tredje kvartal innefattade flera attackvektorer, eller med andra ord: buset anföll på flera ställen samtidigt.

En annan tydlig trend är att olika tekniker för att förstärka attackerna används flitigt. I de fall som attackvolymerna inte är stora så innehåller de ofta många paket. Volymattacker med syftet att blockera attackerade företags externa kommunikation är dock vanligast. Den högsta belastningstopp för en attack som uppmättes under det tredje kvartalet var 102 Gbps.

Döljer ursprunget

Bland de olika tekniker som används för att förstärka attacker är vidarebefordring via DNS (DNS reflection) vanligast, med en förekomst på 42 procent. Det innebär att attacken tar en omväg via en tredje part innan den når offret, i syfte att dölja källan för attacken. Värt att notera är att 52 procent av de analyserade attackerna är uppbyggda med flera olika attacktekniker. Som mest noteras elva olika attackvektorer i en attack.

Siktar in sig på applikationer

Attacker som siktar in sig på specifika applikationer blir allt vanligare. Tillvägagångssättet är att anropa applikationernas API:er (programmeringsgränssnitt) och att på andra sätt aktivera funktioner i applikationerna. Syftet är att slå ut servrarna som applikationerna körs på, snarare än att blockera förbindelser med internet.

Attacker mot applikationer kännetecknas av förhållandevis små attackvolymer, men de innehåller i stället många paket.

– Våra analyser visar tydligt att faran med DDoS-attacker inte är över, tvärtom. Inkräktarna kombinerar allt oftare flera olika attacktekniker och använder nya protokoll. Eftersom attackerna oftare kamoufleras som vanlig nätverkstrafik är de svårare att upptäcka och ställer större krav på automation för motverka attackeran, säger Richard Kullenberg, försäljningschef Norden och Baltikum Link11.