Imperva: Die wichtigsten Erkenntnisse aus dem „Global DDoS Threat Landscape Report“ Q2 2017

Insgesamt ging die Zahl der DDoS-Attacken zurück + Der größte Angriff in diesem Quartal war eine „Pulse Wave“-Attacke – eine neue Angriffsform, die die Sicherheitsforscher von Imperva dieses Jahr identifiziert hatten + Die Zahl der Wiederholungsangriffe stieg drastisch, und US-Websites standen stärker unter Beschuss als alle anderen Websites weltweit + Verstärkte Botnet-Aktivitäten wurden aus der Türkei, der Ukraine und Indien registriert

Dazu Igal Zeifman, Incapsula Security Evangelist bei Imperva:

„Dies ist das fünfte Quartal in Folge, in dem wir einen Rückgang der Angriffe auf der Netzwerkebene beobachten, von 296 pro Woche im vorigen Quartal auf 196 Angriffe pro Woche in diesem. Zudem stellten wir auch bei den Attacken auf der Anwendungsebene eine leichte Wachstumsdelle fest, mit 973 Angriffen pro Woche nach einem Allzeithoch von 1.099 Angriffen.“

Jedoch besteht kein Anlass zu der Annahme, dass dieser leichte Rückgang der Attacken auf der Anwendungsschicht eine Trendwende bedeutet. Vielmehr ist der anhaltende jahrelange Abwärtstrend bei der Zahl der Angriffe auf der Netzwerkebene ein starkes Anzeichen für eine Verschiebung in der DDoS-Bedrohungslandschaft. Dafür gibt es mehrere mögliche Gründe, darunter die ständig wachsende Zahl von Lösungen zum Schutz der Netzwerkebene, die auf dem Markt erhältlich sind. Die Kommerzialisierung führt zu einer breiteren Nutzung solcher Dienste, was die Angreifer vermutlich dazu bewegt, sich nach anderen Angriffsmethoden umzusehen.   

Der größte Angriff auf der Netzwerkebene, den wir im 2. Quartal 2017 abwehren mussten, erreichte einen Spitzenwert von 350 Gbps. Er wurde mittels einer neuartigen „Pulse Wave“-Taktik ausgeführt, die wir in diesem Quartal mehrfach erlebt haben und die den Angreifer in die Lage versetzt, mehrere Ziele mit alternierenden, hochvolumigen Bursts zu fluten.

Im 2. Quartal des Jahres wurden 75,9 Prozent der Ziele mehrmals unter Beschuss genommen – der höchste Prozentsatz, den wir bei unseren Untersuchungen je verzeichnet haben. Insbesondere in den USA gehostete Websites hatten unter diesen wiederholten Angriffen zu leiden: 38 Prozent wurden sechs Mal oder noch öfter attackiert und von diesen wiederum 23 Prozent mehr als zehn Mal. Diese steigende Zahl an Wiederholungsattacken ist ein weiterer klarer Trend und ein Beleg dafür, wie leicht sich Angriffe auf der Anwendungsebene durchführen lassen.  Die Zahlen zeigen, dass die minimalen Ressourcenanforderungen die Täter selbst nach mehreren fehlgeschlagenen Versuchen dazu motivieren, ihr Ziel weiter anzugreifen.

Auch wenn Schutzlösungen vorhanden sind, haben solch wiederholte Attacken das Potenzial, in einem Zermürbungskrieg zu münden – vergleichbar mit der Belagerung einer uneinnehmbaren Festung. Die Vielzahl dieser Angriffe unterstreicht, dass automatisierte Lösungen zum Schutz vor DDoS-Angriffen benötigt werden, damit ein Unternehmen Angriffe in hoher Zahl abwehren kann, ohne dass sein IT-Team zermürbt wird oder merkliche Störungen für die legitimen Nutzer seiner Dienste entstehen.

Im 2. Quartal waren wir mit verstärkten Botnet-Aktivitäten aus der Türkei, der Ukraine und Indien konfrontiert. In der Türkei registrierten wir mehr als 3.000 angreifende Rechner, die über 800 Millionen bösartige Anfragen generierten, mehr als doppelt so viele wie im Quartal zuvor. In der Ukraine und in Indien verzeichneten wir 4.300 Angriffsrechner, rund 75 Prozent mehr als im 1. Quartal 2017. Das Angriffsvolumen aus der Ukraine und Indien belief sich in diesem Quartal auf insgesamt 1,45 Milliarden bösartige Anfragen. 

1. Die Anzahl der DDoS-Angriffe ging zurück


In diesem Quartal beobachteten wir zum fünften Mal in Folge einen Rückgang der Angriffe auf der Netzwerkebene, von 296 pro Woche im vorigen Quartal auf  196 Angriffe pro Woche in diesem. Zudem stellten wir auch bei den Attacken auf der Anwendungsebene eine leichte Wachstumsdelle fest, mit 973 Angriffen pro Woche nach einem Allzeithoch von 1.099 Angriffen.

Jedoch besteht kein Anlass zu der Annahme, dass dieser leichte Rückgang der Attacken auf der Anwendungsschicht eine Trendwende bedeutet. Vielmehr ist der anhaltende jahrelange Abwärtstrend bei der Zahl der Angriffe auf der Netzwerkebene ein starkes Anzeichen für eine Verschiebung in der DDoS-Bedrohungslandschaft. Dafür gibt es mehrere mögliche Gründe, darunter die ständig wachsende Zahl von Lösungen zum Schutz der Netzwerkebene, die auf dem Markt erhältlich sind. Die Kommerzialisierung führt zu einer breiteren Nutzung solcher Dienste, was die Angreifer vermutlich dazu bewegt, sich nach anderen Angriffsmethoden umzusehen.  

2. Ein „Pulse Wave“-Angriff war die größte Attacke in diesem Quartal

Der größte Angriff auf der Netzwerkebene, den wir im 2. Quartal 2017 abwehren mussten, erreichte einen Spitzenwert von 350 Gbps. Er wurde mittels einer neuartigen „Pulse-Wave“-Taktik ausgeführt, die wir in diesem Quartal mehrfach erlebt haben.

Diese Taktik versetzt einen Angreifer in die Lage,  mehrere Ziele mit alternierenden, hochvolumigen Bursts zu fluten.

3. Die Zahl der Wiederholungsangriffe steigt, US-Ziele am stärksten betroffen


Im 2. Quartal des Jahres wurden 75,9 Prozent der Ziele mehrmals unter Beschuss genommen – der höchste Prozentsatz, den wir je verzeichnet haben.  


Insbesondere in den USA gehostete Websites hatten unter diesen wiederholten Angriffen zu leiden: 38 Prozent wurden sechs Mal oder noch öfter attackiert und von diesen wiederum 23 Prozent mehr als zehn Mal. 



Diese steigende Zahl an Wiederholungsattacken ist ein weiterer klarer Trend und ein Beleg dafür, wie leicht sich Angriffe auf der Anwendungsebene durchführen lassen. Die Zahlen zeigen, dass die minimalen Ressourcenanforderungen die Täter selbst nach mehreren fehlgeschlagenen Versuchen dazu motivieren, ihr Ziel weiter anzugreifen.

Auch wenn Schutzlösungen vorhanden sind, haben solch wiederholte Attacken das Potenzial, in einem Zermürbungskrieg zu münden – vergleichbar mit der Belagerung einer uneinnehmbaren Festung. Die Vielzahl dieser Angriffe unterstreicht, dass automatisierte Lösungen zum Schutz vor DDoS-Angriffen benötigt werden, damit ein Unternehmen Angriffe in hoher Zahl abwehren kann, ohne dass sein IT-Team zermürbt wird oder merkliche Störungen für die legitimen Nutzer seiner Dienste entstehen.



4. Erhöhte Botnet-Aktivität aus der Türkei, der Ukraine und Indien

In der Türkei registrierten wir mehr als 3.000 angreifende Rechner, die über 800 Millionen bösartige Anfragen generierten, mehr als doppelt so viele wie im Quartal zuvor. In der Ukraine und in Indien verzeichneten wir 4.300 Angriffsrechner, rund 75 Prozent mehr als im 1. Quartal 2017. Das Angriffsvolumen aus der Ukraine und Indien belief sich in diesem Quartal auf insgesamt 1,45 Milliarden bösartige Anfragen.

5. DDoS Attacken in Deutschland in Q2

Erstmals seit Q2 2016 ist Deutschland von Platz zehn der Top Ten abgerutscht. Deutsch Gehostete Domains in Deutschland ziehen aber nach wie vor die Aufmerksamkeit von DDoS-Tätern auf sich. Im zweiten Quartal dieses Jahres gingen 0,9 Prozent aller DDoS-Attacken auf Domains in Deutschland.

Autor: kro

Diesen Artikel empfehlen