Langdurig ddos-onderzoek wijst op 30.000 aanvallen per dag

Een tweejarig onderzoek van onder meer de UTwente heeft uitgewezen dat er dagelijks ongeveer 30.000 ddos-aanvallen plaatsvinden, wat meer zou zijn dat tot nu toe aangenomen. In totaal telden de onderzoekers 20,9 miljoen ddos-aanvallen.

Die aanvallen richtten zich op op 6,34 miljoen unieke ip-adressen gedurende een periode van 1 maart 2015 tot 28 februari van dit jaar, zo blijkt uit het recentelijk gepubliceerde onderzoek. Volgens de onderzoekers zijn deze aantallen hoger dan wat grote bedrijven tot nu toe naar buiten hebben gebracht. Een van de onderzoekers, Mattijs Jonker, zegt tegen Science Daily: "We waren verrast door de resultaten omdat we niet verwachtten iets dergelijks te vinden."

Om hun datasets te verzamelen, maakten de onderzoekers gebruik van het UCSD Network Telescope, een monitoringsysteem dat bijvoorbeeld ddos-aanvallen kan detecteren doordat een aanvaller ip-adressen spooft die in de ip-range van het systeem voorkomen en waar de antwoorden van het doelwit worden opgevangen. Daarnaast gebruikten ze de AmpPot-honeypots die zogenaamde amplification en reflection attacks kunnen waarnemen.

ddos-statistieken

De onderzoekers schrijven dat een kwart van de aanvallen zich richtte op doelwitten in de VS. De waargenomen aanvallen zouden over het algemeen gerelateerd zijn aan het gebruik van address space op het internet, maar er waren ook een aantal uitzonderingen. Zo staat Japan op dat vlak wereldwijd op de derde plaats, maar scoorde in de getoonde tabel buiten de top tien. Bij Frankrijk en Rusland namen ze juist het omgekeerde verschijnsel waar. Nederland zou gemiddeld scoren, zo schrijft de UTwente in een bericht.

Verder blijkt dat veruit de meeste ddos-aanvallen zich richten op poorten die geassocieerd worden met http en https, gevolgd door MySQL en dns. Als het om udp gaat, scoort Steam het hoogste. De onderzoekers van de UTwente, het Californische Caida en het Cispa van de Duitse Saarland-universiteit presenteerden hun onderzoek op de Internet Measurement-conferentie in Londen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 03-11-2017 17:50 18

03-11-2017 • 17:50

18

Lees meer

'Ruim 80.000 open memcached-servers kunnen gebruikt worden voor ddos-aanvallen'
'Ruim 80.000 open memcached-servers kunnen gebruikt worden voor ddos-aanvallen' Nieuws van 27 februari 2018
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten'
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten' Nieuws van 20 oktober 2017
Veroorzaker ddos-aanval geeft zichzelf aan bij 'fintechbank' Bunq
Veroorzaker ddos-aanval geeft zichzelf aan bij 'fintechbank' Bunq Nieuws van 15 september 2017
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers'
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers' Nieuws van 21 augustus 2017
Belgisch OM eist dertig maanden tegen enig lid DownSec Belgium
Belgisch OM eist dertig maanden tegen enig lid DownSec Belgium Nieuws van 24 mei 2017
Meer producten en artikelen
Netwerk en systeembeheer Ddos onderzoek

Reacties (18)

-Moderatie-faq
18
18
11
1
0
4
Wijzig sortering

Sorteer op:

Weergave:
NonTweaker 3 november 2017 20:02
" live " meekijken kun je o.a. hier :

http://map.norsecorp.com/

https://cybermap.kaspersky.com/

te vinden in deze lijst :

https://geekflare.com/real-time-cyber-attacks/

[Reactie gewijzigd door NonTweaker op 22 juli 2024 16:28]

P1nGu1n 3 november 2017 18:15
Verder blijkt dat veruit de meeste ddos-aanvallen richt richten op poorten die geassocieerd worden met websites, gevolgd door MySQL en dns.
Voor de duidelijkheid, hier bedoelen ze HTTP (80) en HTTPS (443) mee, aldus de paper. Dat is natuurlijk veel breder dan websites, niet alleen websites gebruiken HTTP(S)...

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 16:28]

supersnathan94 @P1nGu1n3 november 2017 18:34
Ik vraag me af hoe ze dan meting exclusions maken van bijvoorbeeld grote evenementen met livestreams. Zo is er wereldwijd op random apparaten heel veel interesse in de livestream van apple of die van Intel bijvoorbeeld.

Wanneer is iets een ddos? Grote bedrijven als Apple en google hebben hun infra hier wel op ingericht en kunnen bijvoorbeeld standaard al vele miljoenen requests per seconde handlen. Terwijl ik met m’n LAMP stack niet veel verder kom dan een stuk of 100.
Verwijderd @supersnathan943 november 2017 22:49
Omdat ddos attacks vaak herkenbaar zijn en anders dan regulier verkeer. Denk hierbij aan bvb. syn flooding.
mkools24 @Verwijderd4 november 2017 08:26
Dat geldt voor layer 4 attacks, puur de bandwidth opsouperen dus die zijn vrij easy te herkennen en te filteren meestal maar de layer 7 aanvallen komen steeds meer voor en die lijken wel op legitieme requests en zijn lastiger te filteren, vaak niet zonder handmatige interventie. Kat en muis dus,

Mijn gaming community is helaas lang zelf slachtoffer geweewt maar het goede nieuws is wel dat de verdediging beter wordt. Ik host bijv alles bij OVH nu en die kunnen een aanval van 4 TB weerstaan en zijn dat nog verder aan het verbeteren. Sindsdien heeft de aanvaller ook opgegeven na letterlijk jaren bezig te zijn geweest. Het is wel ontzettend leerzaam dat wel ik ken iptables en Wireshark helemaal van buiten nu ;)
laptopleon @supersnathan943 november 2017 21:34
Heb het paper ook niet gelezen maar het onderscheid is vrij makkelijk te maken. Bij een DDoS blijft het niet bij één of twee requests voor een pagina gedaan per minuut, zoals een mens zou doen. Er worden wel tientallen requests vanaf hetzelfde IP gedaan in een seconde.
em.jay @supersnathan944 november 2017 18:34
Er wordt o.a. gebruik gemaakt van een darknet om aanvallen te observeren. Een darknet is IP-adres ruimte die niet wordt gebruikt om verbindingen mee op te zetten. Op het moment dat er IP pakketjes in een darknet terecht komen, dan kan dat duiden op IP-adres spoofing. Spoofing wordt in sommige typen ddos aanvallen toegepast. Plots afwijkende netwerk verkeer volumes door livestreams gaan naar gebruikte adres ruimte.
Auteurduqu @P1nGu1n3 november 2017 22:13
Klopt, ik heb het verduidelijkt.
Phntm 3 november 2017 17:57
Ook sinds de opkomst van IOT, zijn er alleen maar meer apparaten erbij gekomen met een IP en dit telt dan ook aardig bij op in potentiële "aanvalsmiddelen". Dit aangezien heel veel van deze smart devices niet al te goed beveiligd zijn.
Douweegbertje 4 november 2017 10:02
Zo verrassend is dit toch niet. Als je een beetje ervaring hebt in deze markt weet je gewoon dat je elke dag helemaal kapot 'gerequest' wordt. Ik ben verantwoordelijk voor zo'n 300 sites en elke week komt er wel een ddos voorbij. Grotere issues zijn de 'dos' aanvallen. 1 cliënt kan namelijk ook heel wat schade veroorzaken.

Ik gebruik een logging platform (graylog) voor alle logs waar weer bepaalde algoritmes in zitten. Ik heb het nog niet helemaal goed geanalyseerd maar je wordt er bijna eng van hoeveel malafide verkeer er is.

Voor een gemiddelde site is het niet vreemd om dit soort requests per dag te hebben:
10k ssh login pogingen
100+ volledige 'automated pentest' indexaties over de gehele site
5k+ bruteforce logins in de applicatie
~50 crawlers die heel de site onder de loep nemen

Uiteraard staan we bovenstaande niet toe (firewall, bans etc. etc.) maar dit zijn wel de gemiddelde stats.
batjes @Douweegbertje4 november 2017 13:41
Hoef je geen website voor te hosten hoor, je zou eens moeten weten hoeveel requests je modem krijgt te verduren. Elk IP adres in de wereld wordt constant geprobed.
Chrotenise 3 november 2017 17:57
Tijd voor een Greenpeace actie om jezelf vast te laten ketenen aan een DDOS'er voor een beter milieu. :+
Verwijderd @Chrotenise3 november 2017 18:06
Er zijn al de nodige aanvallen geweest tegen y website voor x reden in het verleden dus dat zou eigenlijk niets nieuws onder de zon zijn.
Dat is dan misschien geen Greenpeace geweest maar Anonymous is een best wel bekende gelegenheidsfilantroop wat DDOS aanvallen betreft.

Mijn grootste probleem ermee is dat die websites zomaar op shared hosting (web, vps, whatever) kunnen staan en dan trek je met zo'n demonstratie DDOS gewoon een heel cluster websites ondersteboven.
Vind ik vooral voor kleinondernemers en de hostingproviders best wel kut want daar ligt bij zo'n actie de meeste schade. Niet bij het doelwit.

Je denkt nu misschien, zo serieus bedoelde ik het niet maar ze hebben het in de tweka feitelijk al eens besproken of DDoS in protestcontext geslegaliseerd/reguleerd moet worden. Volgens mij op aandringen van D66.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:28]

Kalief @Verwijderd3 november 2017 18:27
https://www.security.nl/p...DoS-aanvallen+legaliseren
Verwijderd @Kalief3 november 2017 18:30
Je was me net voor, dank.
Blijf het een absurd standpunt vinden om te lezen, die analogie die daar getrokken wordt slaat echt kant noch wal.
mkools24 @Verwijderd4 november 2017 08:30
Belachelijk inderdaad, dat is nou echt zomaar iets roepen zonder enige kennis van zaken.
ChAiNsAwII @Verwijderd4 november 2017 19:43
Ah d66, onze grote voorvechters van vrijheid en privacy.
Verwijderd @ChAiNsAwII7 november 2017 10:17
Als je alles kapot kan DDoS'en omdat je vind dat de McD biologische augurken op hun hamburgers moet doen is dat allicht best goed voor de privacy.
Het is alleen een beetje onwetend, ik snap niet dat ze steeds analogieën moeten trekken met "de echte wereld". De meeste protesten hier in Den Haag worden weg gedirigeerd naar het malieveld vanwege de "veiligheid" en "openbare orde" en heeft dus helemaal niemand last van. I.t.t. een DDoS aanval waar aan één kant een botnet met geinfecteerde computers voor ingeschakeld moet worden en aan de andere kant op de route naar en rondom de bestemming van alles gaat klapperen en manuren en downtime aan te pas moet gaan komen.
Beleidsmakers die zo'n DDoS protest wel een goed idee vinden denken zeker dat er 50.000 mensen met LOIC een websiteje gaan aanvallen ofzo. I.p.v. de praktijk één of andere nerd of in ieder geval zeer beperkt groepje mensen op zolderkamertjes die gewoon een botnet aansturen.
Denk dat zelfs als is dat wel zo ISP's over dat eerstgenoemde ook nog wel een mening hebben overigens.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:28]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq