Als wir das erste Quartal des Jahres 2020 abschlossen, fragten wir uns, ob und wie DDoS-Angriffs-Trends sich in dieser beispiellosen Zeit des globalen Lockdowns verschoben haben. Seitdem ist das Traffic-Aufkommen in vielen Ländern um über 50 % gestiegen, aber haben auch die DDoS-Angriffe zugenommen?

Traffic steigt häufig während der Feiertage. Während der Feiertage verbringen Menschen mehr Zeit im Internet, sei es beim Online-Shopping, Bestellen von Lebensmitteln, Online-Games oder einer Vielzahl anderer Online-Aktivitäten. Da die Nutzung steigt, steigen auch die Einnahmen pro Minute für die Unternehmen, die diese verschiedenen Online-Dienste betreiben.

Ausfallzeiten oder eine Verschlechterung des Dienstes während dieser Spitzenzeiten könnten in sehr kurzer Zeit dazu führen, dass Nutzer abwandern und ein Unternehmen erhebliche Verluste macht. Die ITIC schätzt, dass die durchschnittlichen Kosten eines Ausfalls bei 5.600 Dollar pro Minute liegen, was sich auf weit über 300.000 Dollar pro Stunde hochrechnen lässt. Es ist daher keine Überraschung, dass Angreifer die Gelegenheit nutzen, während der Feiertagszeit eine höhere Anzahl von DDoS-Angriffen zu starten.

Die aktuelle Pandemie wirkt sich ähnlich aus. Menschen sind gezwungen, zu Hause zu bleiben. Sie sind bei der Bewältigung ihrer täglichen Aufgaben immer mehr auf Online-Dienste angewiesen, was zu einem Anstieg des Internet-Traffic und zu einem Anstieg von DDoS-Angriffen geführt hat.

Kleinere, kürzerer Angriffe nehmen zu

Die meisten der Angriffe, die wir im 1. Quartal 2020 beobachtet haben, waren, gemessen an ihren Bitraten, relativ klein. Wie aus der folgenden Abbildung hervorgeht, lagen im ersten Quartal 2020 92 % der Angriffe unter 10 Gbit/s, verglichen mit 84 % im vierten Quartal 2019.

Wenn man genauer hinschaut, lässt sich eine interessante Verschiebung in der Verteilung der Angriffe unter 10 Gbit/s im Q1 im Vergleich zum Vorquartal beobachten. Im Q4 erreichten 47 % der DDoS-Angriffe auf das Network Layer ihren Höhepunkt unter 500 Mbit/s, während sie im ersten Quartal auf 64 % anstiegen.

Was die Paketzahl angeht, bewegten sich die Spitzenwerte der meisten Angriffe bei weniger als 1 Mio. Pakete pro Sekunde (pps). An diesen beiden Werten zeigt sich, dass die Angreifer ihre Aufmerksamkeit und ihre Ressourcen nicht länger auf hochratige Floods konzentrieren – Bits oder Pakete pro Sekunde.

Es sinken jedoch nicht nur die Paket- und Bitraten, sondern auch die Angriffsdauer. Die folgende Abbildung zeigt, dass 79 % der DDoS-Angriffe im ersten Quartal zwischen 30 und 60 Minuten dauerten, verglichen mit 60 % im vierten Quartal, was einem Anstieg von 19 % entspricht.

Diese drei Trends lassen sich wie folgt erklären:

  • Die Durchführung eines DDoS-Angriff ist billig und man braucht nicht viel technischen Hintergrundwissen. Mit DDoS-as-a-Service-Tools können böswillige Akteure mit wenig bis gar keinem technischen Fachwissen, DDoS-Angriffe schnell, einfach, kostengünstig und mit begrenzter Bandbreite starten. Laut Kaspersky kann man einen DDoS-Angriffsdienst für einen 300-Sekunden-Angriff (5 Minuten) bereits für 5 US-Dollar kaufen. Zusätzlich können auch Amateur-Angreifer problemlos kostenlose Tools einsetzen, um eine Flut von Paketen zu erzeugen. Wie wir im nächsten Abschnitt sehen werden, wurden fast 4 % aller DDoS-Angriffe im ersten Quartal mit Variationen des öffentlich verfügbaren Mirai-Codes generiert.
  • Auch wenn ein Angriff unter 10 Gbit/s klein erscheinen mag, kann er dennoch ausreichen, um schlecht geschützte Websites und Webapplikationen zu beeinträchtigen. Kleinere und schnellere Angriffe erweisen sich so für Angreifer als sehr rentabel, wenn sie Lösegeld von Unternehmen dafür erpressen, die Verfügbarkeit ihrer Websites und Webapplikationen nicht zu beeinträchtigen.

Größere Angriffe finden immer noch statt, wenn auch in geringerer Zahl

Obwohl die meisten im ersten Quartal 2020 registrierten Angriffe unter 10 Gbit/s blieben, waren größere Angriffe weiterhin verbreitet. Die folgende Grafik zeigt einen Trend der größten Bitrate von DDoS-Angriffen auf das Network Layer, die Cloudflare im vierten Quartal 2019 und im ersten Quartal 2020 beobachtet und bekämpft hat. Der größte Angriff in diesem Quartal wurde im März beobachtet und erreichte einen Spitzenwert von knapp über 550 Gbit/s.

Wenn's beim ersten Mal nicht klappt, dann vielleicht beim zweiten

Ein hartnäckiger Angreifer ist einer, der nicht aufgibt, wenn seine Angriffe fehlschlagen; er versucht es immer und immer wieder. Die Art von Angreifern starten mehrere Angriffe auf ihr Ziel, wobei sie oft mehrere Angriffsvektoren benutzen. In der Feiertagszeit von Q4 2019 starteten hartnäckige Angreifer an einem Tag 523 DDoS-Angriffe gegen eine einzige Cloudflare-IP. Jede angegriffene Cloudflare-IP war im Durchschnitt täglich bis zu 4,6 DDoS-Angriffen ausgesetzt.

Während des ersten Quartals, als die ganze Welt in den COVID-19-Lockdown ging, beobachteten wir, dass die Zahl der Angriffe verglichen mit dem Monatsdurchschnitt zunahm. Das letzte Mal sahen wir einen solchen Anstieg während der Feiertage im Q4 2019. Ein interessanter Unterschied ist jedoch, dass die Angreifer jetzt weniger hartnäckig zu sein scheinen als während der Feiertage. Im 1. Quartal 2020 sank die durchschnittliche Persistenzrate auf 2,2 Angriffe pro Cloudflare-IP-Adresse pro Tag, mit einem Maximum von 311 Angriffen auf eine einzelne IP; 40 % weniger als im vorherigen Feiertagsquartal.

In den vergangenen zwei Quartalen lag die durchschnittliche Anzahl der Angriffsvektoren, die bei DDoS-Angriffen pro IP und Tag eingesetzt werden, im Großen und Ganzen konstant bei etwa 1,4, mit einem Maximum von 10.

Im letzten Quartal wurden mehr als 34 verschiedene Angriffsvektoren in Layer 3 und 4 verzeichnet. SYN-Angriffe bildeten im ersten Quartal die Mehrheit (60,1 %), gefolgt von ACK-Angriffen mit 12,4 % und an dritter Stelle CLDAP (5,3 %). Zusammen machten SYN- und ACK-DDoS-Angriffe (TCP) im ersten Quartal 72 % aller Angriffsvektoren in Layer 3 und 4 aus.

Top-Angriffsvektoren

Eine Krise ist leider auch eine gute Chance für böswillige Akteure

Die Zahl der DDoS-Angriffe im März 2020 hat im Vergleich zu Januar und Februar zugenommen. Die Angreifer hielten die Krisenzeit für einen günstigen Zeitpunkt, um eine erhöhte Anzahl von DDoS-Angriffen zu starten, wie unten dargestellt.

Als verschiedene Regierungsbehörden damit begannen, Lockdowns anzuordnen und Bürger anzuweisen, zu Hause zu bleiben, starteten Angreifer in der zweiten Märzhälfte eine erhöhte Zahl von Großangriffen. In der zweiten Monatshälfte (16. bis 31. März) wurden 55 % mehr Angriffe beobachtet als in der ersten Hälfte des Monats (1. bis 15. März). Darüber hinaus wurde 94 % der Angriffe mit Spitzenwerten von 300 bis 400 Gbit/s im Monat März gestartet.

Blockieren Sie kleine und große DDoS-Angriffe näher am Ursprung

Angesichts der sich ständig verändernden DDoS-Landschaft ist eine umfassende und anpassungsfähige DDoS-Schutzlösung essentiell. Im Zusammenhang mit den oben dargestellten Erkenntnissen über Angriffe zeigen wir hier, wie wir bei Cloudflare diesen Veränderungen einen Schritt voraus bleiben, um unsere Kunden zu schützen.

  • Da die Anzahl und Dauer der Angriffe abnimmt, sind die von den Altanbietern zur Verfügung gestellten Time To Mitigate SLAs mit einer Dauer von 15 Minuten einfach nicht mehr praktikabel. Cloudflare bekämpft DDoS-Angriffe auf das Network Layer in den meisten Fällen in unter 10 Sekunden – was besonders wichtig für die immer kürzer werdenden Angriffe ist. Lesen Sie mehr über die jüngsten Verbesserungen unserer DDoS-Erkennungs- und Abwehrsysteme, die es uns ermöglichen, DDoS-Angriffe in großem Maßstab so schnell automatisch zu erkennen und einzudämmen.
  • Eine zunehmende Zahl von DDoS-Angriffen sind lokalisiert. Das heißt, dass ältere DDoS-Lösungen, die einen Scrubbing-Center-Ansatz verfolgen, keine praktikable Lösung darstellen. Der Grund: Sie sind in ihrer globalen Abdeckung begrenzt und stellen gleichzeitig ein Nadelöhr dar, da der DDoS-Traffic von ihnen hin- und hergeschleppt werden muss. Die einzigartige verteilte Architektur von Cloudflare ermöglicht es jedem unserer Rechenzentren, die sich über 200 Städte weltweit erstrecken, DDoS-Abwehr in vollem Maßstab zu bieten.
  • Es gibt immer noch große verteilte volumetrische Angriffe, die von einfallsreichen Angreifern eingesetzt werden, wenn sich die Gelegenheit bietet. In Zukunft kann man mit einem Angriff von mehr als 1 Tbit/s rechnen. Daher muss eine moderne DDoS-Lösung vor allem große DDoS-Angriffe bekämpfen können . Cloudflare verfügt über eines der am stärksten vernetzten Netzwerke der Welt mit einer Kapazität von über 35 Tbit/s, mit dem wir selbst die größten DDoS-Angriffe abwehren können. Diese massive Netzwerkkapazität in Verbindung mit der global verteilten Architektur ermöglicht es Cloudflare, kleine und große Angriffe näher am Ursprung zu bekämpfen.

Wenn Sie weitere Informationen zu Cloudflares DDoS-Lösung wünschen, kontaktieren Sie uns oder legen Sie gleich los.