Arbor Networks ha pubblicato oggi i dati globali sugli attacchi DDoS relativi ai primi sei mesi del 2016, i quali mostrano un aumento continuo sia della dimensione, sia della frequenza degli attacchi. Questi sfruttano la disponibilità immediata di tool gratuiti e servizi online a basso costo che permettono a chiunque sia in possesso di un grievance e di una connessione internet di lanciare un attacco.

Nel complesso è stata registrata una media di 124.000 eventi a settimana negli ultimi 18 mesi con un aumento del 73% della dimensione massima degli attacchi rispetto al 2015, che ha raggiunto 579Gbps. 274 attacchi superiori a 100Gbps sono inoltre stati rilevati nella prima metà del 2016 contro i 223 registrati in tutto il 2015, mentre sono stati 46 gli attacchi superiori a 200Gbps rilevati nella prima metà del 2016, contro i 16 registrati in tutto il 2015. USA, Francia e Gran Bretagna sono infine i principali obiettivi degli attacchi superiori a 10Gbps.

Il team Security Engineering & Research di Arbor ha recentemente dimostrato che i grandi attacchi DDoS non richiedono l’uso di tecniche di riflessione/amplificazione. LizardStresser, una IoT botnet, è stata usata per lanciare attacchi che arrivavano a 400Gbps destinati a siti di gaming di tutto il mondo, istituzioni finanziarie brasiliane, ISP e istituzioni governative. I pacchetti di attacchi tra l’altro non sembrano provenire da indirizzi di origine falsificati e non è stato utilizzato nessun tipo di protocollo UDP con amplificazione come NTP o SNMP.

È stato scoperto che la maggior parte dei grandi attacchi recenti sfrutta la riflessione/amplificazione

Un attacco DDoS da 1 Gbps è sufficiente per lasciare offline la maggior parte delle organizzazioni e la media delle dimensioni degli attacchi nella prima metà del 2016 è stata 986Mbps, in aumento del 30% rispetto al 2015, mentre per la fine del 2016 si prevede una dimensione media degli attacchi di 1,15Gbps.

“Nonostante la forte crescita delle dimensioni degli attacchi più consistenti, l’80% di questi è ancora inferiore a 1Gbps e il 90% dura meno di un’ora. La protezione on premise garantisce la rapidità di reazione necessaria ed è la chiave contro gli attacchi “low and slow” a livello di applicazione e gli attacchi state-exhaustion destinati a infrastrutture come firewall e IPS” ha puntualizzato Darren Anstee, Responsabile Tecnologico per la Sicurezza di Arbor Networks.

È stato inoltre scoperto che la maggior parte dei grandi attacchi recenti sfrutta la riflessione/amplificazione, tecnica che permette agli aggressori sia di ampliare la quantità di traffico generato, sia di offuscare la sorgente originale di quel traffico di attacchi e che viene utilizzata tramite server DNS, Network Time Protocol (NTP), Chargen e Simple Service Discovering Protocol (SSDP). Proprio il DNS, avendo sostituito NTP e SSDP nel 2015, è il protocollo più usato nel 2016 e la media delle dimensioni degli attacchi di riflessione/amplificazione del DNS sta crescendo considerevolmente. Basti pensare che la dimensione massima degli attacchi di riflessione/amplificazione rilevati nel 2016 è stata di 480Gbps (DNS).