A Arbor Networks Inc., divisão de segurança da Netscout, divulga os dados globais de ataque DDoS para os primeiros seis meses de 2016, que mostram uma escalada contínua tanto no tamanho quanto na frequência dos ataques.
Os dados da Arbor são recolhidos por meio do ATLAS, uma parceria colaborativa reunindo mais de 330 provedores de serviços que usam sistemas Arbor e concordaram em compartilhar dados de tráfego, de forma anônima, com a finalidade de obter uma visão abrangente do tráfego e ameaças globais. O ATLAS fornece estatísticas para o Mapa de ataques digitais, uma visualização gráfica do tráfego de ataques globais criada em colaboração com o Google Ideas. Dados do ATLAS também foram utilizados recentemente no Relatório Cisco Visual Networking Index e no Relatório de Investigações de Violação de Dados da Verizon.
O DDoS ainda continua sendo um tipo de ataque utilizado comumente, em razão da disponibilidade de ferramentas gratuitas e serviços on-line de custo baixo que permitem a qualquer pessoa que tenha um motivo e uma conexão Internet lançar um ataque. Isso tem levado a um aumento na frequência, tamanho e complexidade dos ataques nos últimos anos.
- O ATLAS observou uma média de 124.000 eventos por semana nos últimos 18 meses.
- Um aumento de 73% no tamanho do maior ataque (comparado aos ataques em 2015), que atingiu 579Gbps.
- 274 ataques maiores que 100Gbps monitorados no primeiro semestre de 2016, contra 223 durante todo o ano de 2015.
- 46 ataques maiores que 200Gbps monitorados no primeiro semestre de 2016, contra 16 durante todo o ano de 2015.
- Os EUA, França e o Reino Unido são os maiores alvos para ataques maiores do que 10Gbps.
Como o Arbor's Security Engineering & Research Team (ASERT) documentou recentemente, grandes ataques DDoS não precisam utilizar técnicas de reflexão amplificada. O LizardStresser, malware para formação de botnet com dispositivos IoT (Internet of Things), foi utilizado para lançar ataques de 400Gbps, tendo como alvo sites de jogos no mundo todo, e, no Brasil, instituições financeiras, ISPs e instituições governamentais. De acordo com a ASERT, os pacotes de ataque não parecem se originar de endereços falsos – e não foram utilizados protocolos de amplificação baseados em UDP, como NTP ou SNMP.
Problema
Um ataque DDoS de 1 Gbps é suficientemente grande para deixar a maioria das organizações fora de serviço.
- O tamanho médio do ataque no 1º semestre de 2016 foi de 986Mbps, um aumento de 30% comparado a 2015.
- A projeção é de que até o final de 2016 o tamanho médio dos ataques seja de 1,15Gbps.
"Os dados demonstram a necessidade de uma defesa contra DDoS híbrida ou multicamada", afirmou Darren Anstee, que está à frente da área de tecnologia da Arbor Networks. Para ele, "ataques utilizando grande largura de banda só podem ser mitigados na nuvem, longe do alvo pretendido. No entanto, apesar do enorme crescimento do tamanho dos ataques de maiores proporções verificados, 80% de todos os ataques ainda são menores do que 1Gbps e 90% duram menos do que uma hora. A proteção no local (on-premise) oferece a reação rápida de que se necessita nesses casos, e é crucial contra os ataques mais lentos, usando menor largura de banda, dirigidos à camada de aplicação, e também contra os ataques de exaustão que miram elementos de infraestrutura como firewalls e IPS".
Reflexão
A reflexão amplificada é uma técnica que permite ao atacante tanto aumentar o volume de tráfego que ele gera quanto obscurecer as fontes originais do tráfego de ataque. Assim, em sua maioria, os recentes ataques de grandes dimensões tiram partido dessa técnica, usando servidores DNS, além de protocolos NTP (Network Time Protocol) ou SSDP (Simple Service Discovery Protocol). Como resultado, no primeiro semestre de 2016:
- O DNS foi o protocolo mais comumente utilizado em 2016, assumindo a posição do NTP e SSDP em 2015.
- O tamanho médio dos ataques de reflexão amplificada de DNS está crescendo muito.
- O ataque de reflexão amplificada de maior tamanho monitorado no primeiro semestre de 2016 foi de 480Gbps (DNS).