Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Langdurig ddos-onderzoek wijst op 30.000 aanvallen per dag

Een tweejarig onderzoek van onder meer de UTwente heeft uitgewezen dat er dagelijks ongeveer 30.000 ddos-aanvallen plaatsvinden, wat meer zou zijn dat tot nu toe aangenomen. In totaal telden de onderzoekers 20,9 miljoen ddos-aanvallen.

Die aanvallen richtten zich op op 6,34 miljoen unieke ip-adressen gedurende een periode van 1 maart 2015 tot 28 februari van dit jaar, zo blijkt uit het recentelijk gepubliceerde onderzoek. Volgens de onderzoekers zijn deze aantallen hoger dan wat grote bedrijven tot nu toe naar buiten hebben gebracht. Een van de onderzoekers, Mattijs Jonker, zegt tegen Science Daily: "We waren verrast door de resultaten omdat we niet verwachtten iets dergelijks te vinden."

Om hun datasets te verzamelen, maakten de onderzoekers gebruik van het UCSD Network Telescope, een monitoringsysteem dat bijvoorbeeld ddos-aanvallen kan detecteren doordat een aanvaller ip-adressen spooft die in de ip-range van het systeem voorkomen en waar de antwoorden van het doelwit worden opgevangen. Daarnaast gebruikten ze de AmpPot-honeypots die zogenaamde amplification en reflection attacks kunnen waarnemen.

De onderzoekers schrijven dat een kwart van de aanvallen zich richtte op doelwitten in de VS. De waargenomen aanvallen zouden over het algemeen gerelateerd zijn aan het gebruik van address space op het internet, maar er waren ook een aantal uitzonderingen. Zo staat Japan op dat vlak wereldwijd op de derde plaats, maar scoorde in de getoonde tabel buiten de top tien. Bij Frankrijk en Rusland namen ze juist het omgekeerde verschijnsel waar. Nederland zou gemiddeld scoren, zo schrijft de UTwente in een bericht.

Verder blijkt dat veruit de meeste ddos-aanvallen zich richten op poorten die geassocieerd worden met http en https, gevolgd door MySQL en dns. Als het om udp gaat, scoort Steam het hoogste. De onderzoekers van de UTwente, het Californische Caida en het Cispa van de Duitse Saarland-universiteit presenteerden hun onderzoek op de Internet Measurement-conferentie in Londen.

Door

Nieuwsredacteur

18 Linkedin Google+

Reacties (18)

Wijzig sortering
" live " meekijken kun je o.a. hier :

http://map.norsecorp.com/

https://cybermap.kaspersky.com/

te vinden in deze lijst :

https://geekflare.com/real-time-cyber-attacks/

[Reactie gewijzigd door NonTweaker op 3 november 2017 20:19]

Verder blijkt dat veruit de meeste ddos-aanvallen richt richten op poorten die geassocieerd worden met websites, gevolgd door MySQL en dns.
Voor de duidelijkheid, hier bedoelen ze HTTP (80) en HTTPS (443) mee, aldus de paper. Dat is natuurlijk veel breder dan websites, niet alleen websites gebruiken HTTP(S)...

[Reactie gewijzigd door P1nGu1n op 3 november 2017 18:15]

Ik vraag me af hoe ze dan meting exclusions maken van bijvoorbeeld grote evenementen met livestreams. Zo is er wereldwijd op random apparaten heel veel interesse in de livestream van apple of die van Intel bijvoorbeeld.

Wanneer is iets een ddos? Grote bedrijven als Apple en google hebben hun infra hier wel op ingericht en kunnen bijvoorbeeld standaard al vele miljoenen requests per seconde handlen. Terwijl ik met m’n LAMP stack niet veel verder kom dan een stuk of 100.
Omdat ddos attacks vaak herkenbaar zijn en anders dan regulier verkeer. Denk hierbij aan bvb. syn flooding.
Dat geldt voor layer 4 attacks, puur de bandwidth opsouperen dus die zijn vrij easy te herkennen en te filteren meestal maar de layer 7 aanvallen komen steeds meer voor en die lijken wel op legitieme requests en zijn lastiger te filteren, vaak niet zonder handmatige interventie. Kat en muis dus,

Mijn gaming community is helaas lang zelf slachtoffer geweewt maar het goede nieuws is wel dat de verdediging beter wordt. Ik host bijv alles bij OVH nu en die kunnen een aanval van 4 TB weerstaan en zijn dat nog verder aan het verbeteren. Sindsdien heeft de aanvaller ook opgegeven na letterlijk jaren bezig te zijn geweest. Het is wel ontzettend leerzaam dat wel ik ken iptables en Wireshark helemaal van buiten nu ;)
Heb het paper ook niet gelezen maar het onderscheid is vrij makkelijk te maken. Bij een DDoS blijft het niet bij één of twee requests voor een pagina gedaan per minuut, zoals een mens zou doen. Er worden wel tientallen requests vanaf hetzelfde IP gedaan in een seconde.
Er wordt o.a. gebruik gemaakt van een darknet om aanvallen te observeren. Een darknet is IP-adres ruimte die niet wordt gebruikt om verbindingen mee op te zetten. Op het moment dat er IP pakketjes in een darknet terecht komen, dan kan dat duiden op IP-adres spoofing. Spoofing wordt in sommige typen ddos aanvallen toegepast. Plots afwijkende netwerk verkeer volumes door livestreams gaan naar gebruikte adres ruimte.
Klopt, ik heb het verduidelijkt.
Ook sinds de opkomst van IOT, zijn er alleen maar meer apparaten erbij gekomen met een IP en dit telt dan ook aardig bij op in potentiële "aanvalsmiddelen". Dit aangezien heel veel van deze smart devices niet al te goed beveiligd zijn.
Zo verrassend is dit toch niet. Als je een beetje ervaring hebt in deze markt weet je gewoon dat je elke dag helemaal kapot 'gerequest' wordt. Ik ben verantwoordelijk voor zo'n 300 sites en elke week komt er wel een ddos voorbij. Grotere issues zijn de 'dos' aanvallen. 1 cliënt kan namelijk ook heel wat schade veroorzaken.

Ik gebruik een logging platform (graylog) voor alle logs waar weer bepaalde algoritmes in zitten. Ik heb het nog niet helemaal goed geanalyseerd maar je wordt er bijna eng van hoeveel malafide verkeer er is.

Voor een gemiddelde site is het niet vreemd om dit soort requests per dag te hebben:
10k ssh login pogingen
100+ volledige 'automated pentest' indexaties over de gehele site
5k+ bruteforce logins in de applicatie
~50 crawlers die heel de site onder de loep nemen

Uiteraard staan we bovenstaande niet toe (firewall, bans etc. etc.) maar dit zijn wel de gemiddelde stats.
Hoef je geen website voor te hosten hoor, je zou eens moeten weten hoeveel requests je modem krijgt te verduren. Elk IP adres in de wereld wordt constant geprobed.
Tijd voor een Greenpeace actie om jezelf vast te laten ketenen aan een DDOS'er voor een beter milieu. :+
Er zijn al de nodige aanvallen geweest tegen y website voor x reden in het verleden dus dat zou eigenlijk niets nieuws onder de zon zijn.
Dat is dan misschien geen Greenpeace geweest maar Anonymous is een best wel bekende gelegenheidsfilantroop wat DDOS aanvallen betreft.

Mijn grootste probleem ermee is dat die websites zomaar op shared hosting (web, vps, whatever) kunnen staan en dan trek je met zo'n demonstratie DDOS gewoon een heel cluster websites ondersteboven.
Vind ik vooral voor kleinondernemers en de hostingproviders best wel kut want daar ligt bij zo'n actie de meeste schade. Niet bij het doelwit.

Je denkt nu misschien, zo serieus bedoelde ik het niet maar ze hebben het in de tweka feitelijk al eens besproken of DDoS in protestcontext geslegaliseerd/reguleerd moet worden. Volgens mij op aandringen van D66.

[Reactie gewijzigd door Ton Deuse op 3 november 2017 18:21]

Je was me net voor, dank.
Blijf het een absurd standpunt vinden om te lezen, die analogie die daar getrokken wordt slaat echt kant noch wal.
Belachelijk inderdaad, dat is nou echt zomaar iets roepen zonder enige kennis van zaken.
Ah d66, onze grote voorvechters van vrijheid en privacy.
Als je alles kapot kan DDoS'en omdat je vind dat de McD biologische augurken op hun hamburgers moet doen is dat allicht best goed voor de privacy.
Het is alleen een beetje onwetend, ik snap niet dat ze steeds analogieën moeten trekken met "de echte wereld". De meeste protesten hier in Den Haag worden weg gedirigeerd naar het malieveld vanwege de "veiligheid" en "openbare orde" en heeft dus helemaal niemand last van. I.t.t. een DDoS aanval waar aan één kant een botnet met geinfecteerde computers voor ingeschakeld moet worden en aan de andere kant op de route naar en rondom de bestemming van alles gaat klapperen en manuren en downtime aan te pas moet gaan komen.
Beleidsmakers die zo'n DDoS protest wel een goed idee vinden denken zeker dat er 50.000 mensen met LOIC een websiteje gaan aanvallen ofzo. I.p.v. de praktijk één of andere nerd of in ieder geval zeer beperkt groepje mensen op zolderkamertjes die gewoon een botnet aansturen.
Denk dat zelfs als is dat wel zo ISP's over dat eerstgenoemde ook nog wel een mening hebben overigens.

[Reactie gewijzigd door Ton Deuse op 7 november 2017 10:23]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*