DDoS-Report: Bitcoin-Industrie im Fokus

Igal Zeifman, Senior Manager bei Imperva

Imperva stellt seinen DDoS-Report (Global DDoS Threat Landscape Report) für das 3. Quartal vor. Insgesamt wurden weltweit 5.765 DDoS-Angriffe auf der Netzwerk- und Anwendungsebene analysiert, die von den Imperva Incapsula-Diensten entschärft wurden. Viele Attacken zielten vor allem auf die Bitcoin-Industrie ab. Drei von vier abgewehrten Angriffen zielten auf solche Services.

Igal Zeifman, Senior Manager bei Imperva zuständig für Incapsula, sagt: „Warum werden vor allem Bitcoin Tauschbörsen angegriffen? Das ist ein klares Zeichen dafür, dass DDoS-Angreifer dem Geld folgen. Cyberkriminelle suchen sich vor allem neue erfolgreiche Branchen, in denen Unternehmen und Organisationen eher schwächer vor Cyberangriffen geschützt sind. Speziell bei den Angriffen auf Bitcoin könnte es sich um Manipulationsversuche gehandelt haben, um den Preis zu beeinflussen.“ 

Die wichtigsten Erkenntnisse aus der Studie:

- Die Zahl der Netzwerkangriffe mit sehr hohen Paketübermittlungsraten – das heißt mehr als 50 Mpps – stieg im 3. Quartal 2017 erneut und erreichte fünf Prozent.

- 144 Angriffe erreichten 100 Mpps, und die schwerwiegendste Attacke in diesem Quartal kam sogar auf einen Spitzenwert von 238 Mpps, verglichen mit 190 Mpps im Q2 2017. Im Q1 2017 hatten wir dagegen nur sechs DDoS-Angriffe entschärfen müssen, die die 100-Mpps-Marke sprengten.

- Dagegen sank die Zahl der wiederholten Angriffe auf der Anwendungsebene im Quartalsvergleich von 75,8 Prozent auf 46,7 Prozent, was großenteils darauf zurückzuführen ist, dass wir einzelne DDoS-Ereignisse jetzt nach einer anderen Methode messen. Trotz dieser Änderungen kommt man im Q3 2017 jedoch bei fast 16 Prozent der Ziele immer noch auf sechs oder mehr Angriffe. 

- Nachdem der Botnet-Traffic aus Indien und der Türkei bereits im Q2 2017 angestiegen war, legte er in diesem Quartal erneut zu. Der Traffic aus Indien stieg um mehr als das Doppelte, von 1,8 Prozent im vorigen Quartal auf 4,0 Prozent im Q3 2017. Und im Fall der Türkei war die Zunahme noch stärker: Im Lauf des Quartals erhöhten sich die Botnet-Aktivitäten gegenüber dem letzten Quartal um mehr als das Dreifache, von 2,1 Prozent auf 7,2 Prozent.

- In Deutschland wurden 1,5 Prozent der verfolgten Geräte von Botnets aus anderen Ländern angegriffen (S. 18). Unter den Ländern, die am meisten Angriffe auf der Anwendungsebene erlitten, liegt Deutschland mit 3,9 Prozent auf Platz 6. Nach Anzahl der Ziele gerechnet, belegt Deutschland mit 3,1 Prozent angegriffenen Geräten sogar auf Platz 5 (S. 13). Unter den Ländern mit den meisten Angriffen auf der Netzwerkebene belegt Deutschland Platz 3 (12,8 Prozent der Angriffe) bzw. Platz 8 nach Anzahl der Ziele (3,2 Prozent) (S. 6).

Sicherheitsforscher wenden unterschiedliche Methoden an, um zu definieren, wann ein DDoS-Angriff stattgefunden hat. Bei manchen wird jeder Angriff einzeln gezählt, während bei anderen eine Reihe von Attacken als ein einziges Ereignis aufgefasst wird. Die Unterschiede bestehen somit hauptsächlich in der Frage, wann ein Angriff begonnen und wann er aufgehört hat.

In früheren Berichten haben wir eine Methodik angewandt, die auf das Jahr 2015 zurückgeht. Dabei wurde ein ruhiger (angriffsfreier) Zeitraum von mindestens zehn Minuten als Zeichen für das Ende einer Attacke gewertet. Im Lauf des vergangenen Jahres hatten wir jedoch immer mehr Fälle zu verzeichnen (z.B. Pulse-Wave-Attacken), bei denen die Täter DDoS-Bursts in sehr schneller Abfolge feuerten. Dies machte die bisherige Art der Messung einzelner Angriffe weniger zuverlässig: Bisweilen wurden auf diese Weise mehrere DDoS-Bursts, die in Abständen von nur wenig mehr als 10 Minuten erfolgten, als separate Angriffsereignisse gewertet.

Wir haben daraufhin unsere Methodik aktualisiert und die Ruhezeit von 10 auf 60 Minuten verlängert. So können wir aufeinanderfolgende Angriffe gegen dasselbe Ziel besser aggregieren, was die statistische Verzerrung im Hinblick auf wiederholte kurze Angriffe erheblich verringert. Die Änderung unserer Methodik gab uns zugleich Gelegenheit, auch unsere Stichprobenverfahren zu überarbeiten und damit den Umfang und die Qualität der Informationen zu optimieren, die wir bieten.

Das Ergebnis, das wir nach einer substantiellen Investition in Personal- und sonstige Ressourcen vorlegen können, ist ein Bericht, der nicht nur überschaubarer und leichter lesbar ist, sondern auch mehr als doppelt so detailliert wie die früheren. Die Zahl der Datenpunkte beträgt jetzt 19 statt der bisherigen 9.

Zum Report hier.

Autor: mir

Diesen Artikel empfehlen