La dimensione media degli attacchi DDoS, in termini sia di bit per secondo che di pacchetti per secondo, continua a crescere. Lo rivelano gli ultimi dati ATLAS di Arbor Networks relativi al secondo trimestre 2015. I dati raccolti tramite l’Active Threat Level Analysis System sono frutto di una partnership collaborativa con oltre 300 service provider che condividono con Arbor dati di traffico raccolti in modo anonimo per tracciare una panoramica aggregata completa del traffico e delle minacce a livello globale.
L’attacco più grande monitorato è stato un UDP flood da 196GB/sec, una dimensione rilevante ma che ormai non rappresenta più l’eccezione. A preoccupare le reti aziendali, adesso, è l’aumento delle dimensioni medie degli attacchi: nell’arco di tempo preso in considerazione il 21% degli attacchi ha superato la soglia di 1GB/sec, mentre la crescita maggiore si è registrata nell’intervallo dei 2-10GB/sec. Nel mese di giugno vi è stato inoltre un picco significativo di attacchi nella fascia dei 50-100GB/sec, soprattutto SYN flood diretti contro bersagli situati negli Stati Uniti e Canada.
“Attacchi molto grandi conquistano i titoli dei giornali, ma è la crescita della dimensione media degli attacchi DDoS a creare problemi alle aziende di tutto il mondo – ha dichiarato Darren Anstee, Chief Security Technologist di Arbor Networks -. Quando si tratta di DDoS le aziende devono definire chiaramente i propri rischi di business. Quando un attacco medio è capace di provocare la congestione della connettività Internet di molte aziende, è essenziale comprendere i rischi e i costi di un attacco e predisporre piani, servizi e soluzioni in maniera appropriata”.
La tecnica di riflessione e amplificazione permette a chi attacca di moltiplicare il volume di traffico generabile e nascondere contemporaneamente le fonti originali di tale traffico. Questa tecnica approfitta di due fatti: innanzitutto, molti service provider non implementano ancora alla periferia delle loro reti i filtri necessari a bloccare il traffico associato a indirizzi IP di origine falsificata (‘spoofed’); in secondo luogo, Internet pullula di tantissimi dispositivi malamente configurati e scarsamente protetti che mettono a disposizione servizi UDP che forniscono un fattore di amplificazione tra la query ricevuta e la risposta generata. La maggior parte degli attacchi volumetrici di grandissime dimensioni sfrutta una tecnica di riflessione e amplificazione che si avvale di server Network Time Protocol (NTP), Simple Service Discovery Protocol (SSDP) e DNS, con grandi quantità di attacchi significativi rilevati in tutto il mondo.
Dal report emergono alcune indicazioni circa la possibilità che la tempesta di attacchi a riflessione e amplificazione basata su SSDP sia in leggera attenuazione, con 84.000 casi rilevati nel secondo trimestre (un valore simile a quello del quarto trimestre dello scorso anno) rispetto ai 126.000 del primo trimestre; ma intanto le dimensioni medie degli attacchi a riflessione e amplificazione DNS, NTP, SSDP e Chargen sono tutte aumentate nel corso del secondo trimestre 2015.
Il 50% degli attacchi a riflessione e amplificazione del secondo trimestre è stato rivolto contro la porta UDP 80 (HTTP/U) e la durata media degli attacchi a riflessione è stata di 20 minuti (19 minuti nel primo trimestre).
