Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Meer kleine, maar gerichte en complexe ddos-aanvallen in Nederland'

Ddos-aanvallen in Nederland zijn steeds vaker beperkt van omvang en van korte duur, maar ze worden ook steeds complexer en aanvallers zetten ze gerichter in. Dat blijkt uit onderzoek van de Nationale Beheersorganisatie Internet Providers.

In 2017 leverde de aanval met de grootste omvang 36Gbit/s aan verkeer op, waar in 2016 een aanval van maar liefst 53Gbit/s werd gemeten en een andere aanval uitkwam op bijna 40Gbit/s aan verkeer. Niet alleen de uitschieters vielen in 2016 hoger uit, de hele top tien van grootste aanvallen leverde in 2016 meer verkeer op dan die van 2017.

Het aantal ddos-aanvallen steeg van 680 in 2016 naar 826 in 2017. Van de aanvallen in 2017 hadden er 437 een omvang tussen de 1 en 10Gbit/s; 294 bleven onder de 1Gbit/s steken en 95 aanvallen zorgden voor 10Gbit/s of meer aan dataverkeer.

Van de 826 geconstateerde aanvallen duurden er 340 langer dan een kwartier, maar korter dan een uur. Bovendien waren 209 aanvallen na minder dan 15 minuten al voorbij. Slechts 28 hielden langer dan 4 uur aan en geen enkele duurde langer dan een dag, terwijl in 2016 nog 5 aanvallen langer dan 3 dagen duurden, met als uitschieter een aanval die bijna 8000 minuten, oftewel meer dan 5 dagen, aanhield.

Aanvallen via udp-amplificatie waren met een percentage van 58 veruit het populairst, maar tcp-flooding bleef met 28 procent ook populair. Bij 14 procent ging het om udp-floods. Binnen udp-amplification ging het bij meer dan de helft om de relatief eenvoudig uit te voeren dns-amplificatie. Aanvallers maken echter steeds vaker gebruik van verschillende soorten aanvallen, waarbij eenvoudige met complexere methoden worden gecombineerd. Dat gebeurde bij bijna een kwart van de aanvallen uit de top tien. De aanvallen in 2017 waren daarom volgens de NBIP doelmatiger en professioneler, en om ze te weerstaan zou een combinatie van hardware, software en kennis nodig zijn.

De cijfers blijken uit het DDoS Data Rapport 2017 van de Nationale Beheersorganisatie Internet Providers, een stichting die meer dan tien jaar geleden is opgericht. De NBIP heeft in 2013 de Nationale Wasstraat, of NaWas, ontwikkeld als bescherming tegen ddos-aanvallen. De NaWas is bedacht door AMS-IX, NL-IX en de Dutch Hosting Provider Association, en naast providers zijn banken en verzekeraars deelnemers. De data is afkomstig van aanvallen op deelnemers van de NaWas.

Voor dit jaar verwacht de NBIP onder andere een toename van het aantal memcached-aanvallen, zoals die op Github van begin maart. Daarnaast verwacht de organisatie een toename van het aantal aanvallen, door de beschikbaarheid van stressers, booters en kwetsbare internet-of-thingsapparaten.

Door Olaf van Miltenburg

Nieuwscoördinator

17-05-2018 • 10:00

21 Linkedin Google+

Reacties (21)

Wijzig sortering
40Gbps is best weinig, als ik Ovh hun status in de gate houd hebben ze pas 1.3tbps gefilterd maar offtopic
ja dit hoort er eenmaal bij. Internet of war
Dit is alleen informatie van NaWas, ik vermoed dat als je de informatie van de diverse CDN zoals Cloudfare er bij optelt dat je vergelijkbare getallen krijgt als OVH.
Daarom ook dit artikel. Een Layer 7 attack is gericht op o.a. applicaties en dan hoef je niet veel bandbreedte te hebben om iets langzaam down te brengen. Denk aan exploits in websites, apps of gameservers.

OVH wordt vaak genoemd om een aanval te testen. Ik heb zelf goede ervaringen met de filtering/vac van OVH en daar kan vrijwel niemand tegenop. Vooral de udp filtering voor gameservers is erg goed afgestemd.
NBiP moet eens uit ivoren toren komen en met security / netwerk engineers spreken.

Volume is ondergeschikt aan resultaat.

Slow DDoS is namelijk al tijdje de trend en veel effectiever en men moet engineers hebben die out-of-the-box denken die ze zullen opmerken.
Hoe kan een ISP een 'slow DDoS' herkennen dan? Ik zou denken dat dat ondergaat in het 'normale' verkeer.
Resources eind bestemming monitoren.

Temperatuur, memory, cpu, disk I/O soms opslag (storage torrent) en vooral doorlooptijd en/of response tijd processen.

Maar inderdaad IDS'en, SIEM zal het niet opvallen als iemand een database write proces vanaf veel verschillen IP's aanroept net genoeg dat alles bagger traag is of net niet/soms werkt. Funest voor je SEO en als een klant/bezoeker je er niet op wijst zul je er waarschijnlijk alleen achterkomen indien indien je SEO of omzet lager is.
Hmmm, ik gok dat dit alleen maar de tip van ijsberg is. 826 in 2017 vind ik wel echt een heel erg laag getal...
Inderdaad. Wat ik mij dan ook afvraag is hoe dit zal zijn bij kleine bedrijven die aangevallen worden. Als er dan maar een kleine aanval nodig is om de systemen te overloaden.
Soms kan je inderdaad een server op de knieen krijgen met veel minder bandwith als je de zwakke plekken kent van een website. Typisch zijn dit functies die veel resources v/d server gerbuiken zoals een zoek functie/ sorteren van grote data lijsten etc.
Blijft toch heel treurig dat dit op zo'n grote schaal plaatsvindt en dat mensen het nog steeds ook hacken noemen. Beetje off-topic maar met welk programma maken jullie de grafieken zoals deze in de tekst zijn opgenomen?
Van de week zat ik op een forum waar er zat mensen zijn die hun diensten aanbieden websites plat te leggen. Vanaf een euro of 20 doen ze het met alle plezier voor je.

Het is zo makkelijk te vinden.... Dan het is ook niet vreemd dat ddos'en zovaak uitgevoerd worden.
irritant, maar gelukkig wordt er tegenwoordig wel iets tegen gedaan waar mogelijk.
Was ooit ergens op een IRC netwerk beheerder...
Was op een gegeven moment zucht niet alweer. en hmm ik kan 7 TB data niet opbrengen. (was toen erg veel/duur). Volgens mij was het dusdanig erg dat de hoofd beheerders leningen hadden enzo daardoor.
Gaan deze ook snel opgespoord worden als die gozer die ook op Tweakers zat. Die gepakt werd door een Tweaker medwerker :p
Die werd gepakt omdat hij aan het opscheppen was tegen Kees, de beheerder van de Tweaker servers in de IRC van Tweakers... Met een VPN maar niet met genoeg kennis om te weten dat het alsnog sporen achterlaat wanneer je naar iemand toe gaat en zegt dat jij het gedaan hebt terwijl je het bewijst door live aan te geven dat je het 'nu' gaat doen...
Hij nam de gok wie slimmer was: een scriptkiddie of een ervaren beheerder...
Volgens mij omdat er een Tnet registratie plaats vond op met IP dat hier en daar terug kwam in de dramatiek die deze persoon aan het onderhouden was.

[Reactie gewijzigd door Core2016 op 18 mei 2018 01:19]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True