De statistieken van de DDoS Mitigation dienst bieden ons interessante inzichten in het snel veranderende DDoS-landschap. Zo zagen we in het eerste kwartaal van 2022 onder meer een toename van het aantal grootschalige, gerichte aanvallen.
Belnet-klanten die gebruikmaken van de DDoS Mitigation dienst beschikken over een dashboard en monitoringplatform dat hen toelaat om aanvallen in realtime te visualiseren en de oorzaak en impact ervan beter te begrijpen.
Dezelfde data worden op regelmatige basis ook door Belnet zelf geanalyseerd. Ze geven ons namelijk inzicht in bepaalde trends en veranderingen in het DDoS-landschap. Momenteel nemen een twintigtal organisaties de dienst af. De gegevens en conclusies die we hieronder voorstellen, omvatten dus niet de volledige Belnet-community.
Volledig nieuwe anti-DDoS dienst tegen eind 2022
Om nog beter te kunnen inspelen op de veranderende behoeften van onze klanten en de snel wijzigende cyberdreigingen is Belnet gestart met de vernieuwing van de DDoS Mitigation dienst. De nieuwe oplossing, waarvan de lancering tegen eind dit jaar gepland staat, zal in staat zijn om heel wat meer klanten te beschermen dan vandaag het geval is. Momenteel wordt de markt bevraagd en staan er onderhandelingsrondes in het vooruitzicht. Na de finale keuze van de oplossing zullen we verder communiceren over de extra functionaliteiten en beschermingsmogelijkheden van de geselecteerde oplossing.
Wat valt er ons op uit de DDoS monitoring (vergelijking Q4 2021 en Q1 2022)?
Volume en type aanvallen
- We zien het volume van het gefilterde dataverkeer gestaag toenemen. In het vierde kwartaal van 2021 ging het om 29.644 miljard pakketten. In het eerste kwartaal van 2022 waren dat er 33.293 miljard. Dat is een toename van 12,3 %.
- Tijdens de eerste drie maanden van 2022 heeft Belnet ongeveer 3 keer vaker zijn externe cloud scrubbing center moeten inschakelen dan in Q4 2021. Dit komt omdat er meer aanvallen waren op specifieke klanten die zo krachtig waren dat ze de uplinks van het Belnet-netwerk dreigden te verzadigen. Ook al blijft het aantal activaties van deze extra beschermingslaag gering, toch vermijdt het bij elke activatie een niet te onderschatten impact op het netwerk.
- IP Fragmentation aanvallen waren het meest voorkomende type aanvallen, gevolgd door UDP Flood en SYN flood aanvallen. Het aantal TCP Push aanvallen is in verhouding sterk afgenomen.
Duur van de aanvallen
- De duur van aanvallen hangt sterk af van de mitigatietechnieken. We merken dat aanvallen die snel kunnen worden gemitigeerd, doorgaans niet zo lang duren. We veronderstellen dat aanvallers meestal niet verder willen investeren zodra ze merken dat hun aanval niet succesvol blijkt.
- Soms gebeurt het dat cybercriminelen hun aanval toch urenlang doorzetten. Zo werd in Q1 2022 een overheidsorganisatie het doelwit van een DDoS die in totaal meer dan 48 uur heeft geduurd.
Doelwitten
- Bepaalde types organisaties krijgen door de aard van hun activiteiten meer DDoS-aanvallen te verwerken. Zo zien we dat zowel in Q4 2021 als in Q1 2022 de meeste aanvallen gericht waren tegen instellingen uit de publieke sector en de federale overheid.
- De meerderheid van de aanvallen vond plaats tijdens de kantooruren. Dit is logisch, gezien de aanvallers op deze momenten de grootste impact / hinder voor hun doelwit kunnen bereiken.
Onze expertise: mitigatie van volumetrische DDoS-aanvallen
Door de jaren heen heeft Belnet heel wat expertise en ervaring opgebouwd op vlak van de identificatie en mitigatie van volumetrische DDoS-aanvallen. De DDoS Mitigation dienst die we sinds 2016 aanbieden binnen de pijler ‘Trust & Security’ van ons dienstenaanbod beschermt individuele klanten tegen volumetrische- en sessieaanvallen.
De dienst focust bewust niet op bescherming tegen applicatieve aanvallen (zogenaamde “Layer 7” aanvallen). Dat is een bewuste keuze: de centrale rol van een ISP zoals Belnet leent zich uitstekend tot het mitigeren van volumetrische aanvallen. Een bescherming tegen aanvallen op de hogerliggende lagen van het OSI-model is echter niet schaalbaar op het niveau van een ISP. Dergelijke applicatieve aanvallen hangen immers sterk samen met de aard van de applicaties die binnen een bepaalde organisatie worden gebruikt en onze ervaring leert dat deze zeer sterk verschillen naargelang het type aangesloten instelling.
Extern scrubbing center
Wat met de organisaties die nog geen DDoS Mitigation dienst afnemen? Zij worden alsnog reactief geholpen door Belnet wanneer zij onder aanval komen te staan. Waar nodig kunnen zij rekenen op de expertise van onze technische teams om bepaalde filters te installeren om de aanval af te weren. Dit verloopt steeds in samenwerking met en na goedkeuring van de klant die wordt aangevallen. Gezien deze filters manueel moeten worden ingesteld, vergt dit meer tijd dan een proactieve aanpak.
Wanneer een aanval op een specifieke Belnet-klant (die al dan niet over individuele bescherming beschikt) zodanig krachtig is dat er verzadiging dreigt op de rest van het netwerk, kan Belnet een beroep doen op een extern cloud scrubbing center. Dat vormt een extra beschermingsmechanisme en werd geïmplementeerd in mei 2021.
Het bestaat uit een gigantisch wereldwijd scrubbing netwerk - buiten het Belnet-netwerk - dat het verkeer van de getroffen klant absorbeert en filtert. Het scrubbing center dient in de eerste plaats ter bescherming van het Belnet-netwerk zelf en dus niet om individuele klanten te beschermen.
Volumetrische aanvallen proberen het netwerk van een organisatie te overspoelen met grote hoeveelheden door aanvallers gegenereerd verkeer in een poging alle beschikbare netwerkbandbreedte voor een bepaalde toepassing te verbruiken, waardoor deze vertraagt of uitvalt.
Sessieaanvallen proberen een server of een applicatiefirewall plat te leggen met een groot aantal verbindingsverzoeken. Ze slorpen de resources van de server op waardoor het onmogelijk wordt om nieuwe legitieme verbindingen te openen en de server of firewall zelfs kan crashen.
Applicatieve aanvallen (zogenaamde “Layer 7” of L7-aanvallen) richten zich op zwakke punten in specifieke systemen of applicaties. Zo’n aanval stuurt bijvoorbeeld een verzoek dat achter de schermen heel veel werk vraagt, waardoor de applicatie vertraagt of zelfs crasht.
IP Fragmentation is een vaak voorkomend type DDoS-aanval, waarbij de aanvaller een netwerk overmeestert door gebruik te maken van datagramfragmentatiemechanismen. Datapakketten worden daarbij bewust in kleine stukjes afgebroken voor ze naar het doelwit worden gestuurd. Op die manier blijft de server voortdurend bezig om ze opnieuw samen te stellen waardoor hij overbelast geraakt.
Een SYN flood is een type DDoS-aanval dat erop gericht is een server onbeschikbaar te maken voor legitiem verkeer door alle beschikbare serverresources op te gebruiken. Door herhaaldelijk initiële verbindingsverzoekpakketten (SYN-pakketten) te verzenden, kan de aanvaller alle beschikbare poorten op een doelgerichte servermachine overbelasten, waardoor het doelapparaat traag of helemaal niet meer reageert op legitiem verkeer.
Een UDP flood is een type DDoS-aanval waarbij een groot aantal UDP-pakketten (User Datagram Protocol) naar een specifieke server wordt gezonden met als doel het verwerkings- en reactievermogen van die server te verzadigen. De firewall die de aangevallen server beschermt, kan ook crashen als gevolg van UDP flooding, wat leidt tot een onbereikbaarheid voor legitiem verkeer.
TCP Push is een type aanval waarbij aanvallers een server overspoelen met valse push-verzoeken. De server moet elk ontvangen verzoek verwerken, waarbij hij zoveel rekenkracht gebruikt dat hij niet meer kan reageren op legitiem verkeer.