Immer mehr DDoS-Attacken ( "Distributed Denial of Service") und Attacken auf Web-Applikationen nehmen zu. Die Anzahl der Attacken auf Web-Applikationen stieg im ersten Vierteljahr 2016 um rund 26% und die Anzahl der DDoS-Attacken um rund 22% gegenüber dem vorangegangenen Vierteljahr, so der aktuelle State of the Internet Security Bericht von Akamai[1].
Im Vergleich zum ersten Vierteljahr 2015 stiegen die DDoS-Angriffe sogar um 125% an. Die grösste DDoS-Attacke im ersten Vierteljahr 2016 erreicht einen Höchstwert von 289 Gbps (bei 289 Mio. Packungen pro Sekunde). Die meisten DDoS-Attacken verwenden seit einiger Zeit Stress- und Booter-basierte Werkzeuge und Reflexionsmethoden.
Die Werkzeuge erweitern ihre Attacken mit Hilfe von Server-Systemen, die Dienste wie Domain Name System (DNS), Charaktergeneratorprotokoll ( "NTP") und Network Time Protokoll (NTP) ausführen. Fast 70 % aller DDoS-Attacken im ersten Vierteljahr 2016 verwendeten das Reflection-basierte User Datagram Protokoll (UDP) für Angriffsfragmente, DNS, Batches und NTP.
Akamai wehrt seit fast einem Jahr DDoS-Attacken ab, die eine mit Hilfe von DNS (Domain Name System Security Extensions) eingerichtete Domain missbrauchen[2]. Darüber hinaus verwenden einige Attacken im DDoS-Mietlösungsmarkt sehr ähnlich gelagerte Scripts, wie das "amp one x", das "NTP amp" und das "Dominate TCP-Angriffsscript". Bei dem Angriffsskript Dominieren von TCP handelt es sich um eine geänderte Variante des Angriffsskripts Enhanced SYN (ESSYN).
Die drei sind im Netz erhältlich und dienen in erster Linie als kostengünstige Einführung in DDoS-Attacken. Folgende Zeile enthält beispielhaft Attacken aus einer Testumgebung: Genau wie andere Scripte, die dasselbe tun, verdeckt das "Dominate TCP Angriffsskript " die IP-Adresse. Dominieren ist auch dafür bekannt, eine zufällige Mischung aller TCP-Flags zu verwenden - eine Möglichkeit, einige DDoS Schutzmechanismen zu umgehen.
Sobald die Reflection-Attacken ihr Angriffsziel erreichen, sieht es auf den ersten Blick so aus, dass die Attacken von den DNS- und NTP-Quelladressen ausgehen. Die DNS- und NTP-Reflexionsangriffe verwenden DNS-Resolver und NTP-Server für ihre Tätigkeiten, die dies nicht bemerken, so dass die tatsächlichen Darsteller kaum identifiziert werden können. Eines der ersten Scripte, das in Perl zur Verfügung stand und nun auch in C zur Verfügung steht; das selbe trifft auf TCP-basierte Attacken zu.
Zum einen sind es verteilte Attacken, zum anderen werden sie durch Verstärkungstechniken unterstützt und zum anderen werden Botnetze als zusätzliche Stellhebel eingesetzt. In Anbetracht der sich stetig ändernden Natur, Gestalt und Stärke von DDoS-Attacken und Attacken auf Web-Applikationen ist es für Firmen entscheidend, ihre IT-Sicherheitsmaßnahmen im Detail zu konzipieren, umzusetzen und laufend zu prüfen. Damit können Firmen auf große Mengen von Attacken schnell und einfach agieren und sich gegen diese verteidigen.