DDoS-angreb: Linux-botnet stormer frem, Windows på retur
Hvis det skal være effektivt, skal det være Linux. Når det gælder DDoS-angreb, er det øjensynligt den fremherskende tankegang blandt cyberkriminelle.
I hvert fald fremgår det af en nyligt offentliggjort rapport fra den russiske it-sikkerhedsvirksomhed Kaspersky Lab, at Linux-botnet er stadigt mere populære at udføre DDoS-angreb med.
Af rapporten om DDoS-angreb for tredje kvartal 2016 fremgår det, at 78,9 pct. af de botnet-baserede denial-of-service-angreb, den russiske virksomhed har opsamlet data for, kommer fra Linux-botnet.
Det er en stigning fra andet kvartal, hvor andelen var på 70,8 pct.
Windows-platformens andel var ifølge Kasperskys tal på 29,2 pct. i andet kvartal, mens andelen var faldet til 21,1 pct. i tredje kvartal.
Det er en bemærkelsesværdig udvikling. Så sent som i første kvartal af 2016 udgjorde Windows faktisk med 55,5 pct. størstedelen af botnet-baserede DDoS-angreb.
Kaspersky forklarer udvikling med en stigning i antallet af SYN-baserede DDoS-angreb, som Linux-systemer ifølge virksomheden skulle være særligt velegnet til.
Og derudover er der, som Kaspersky også bemærker, den stigende tendens med, at Linux-baserede IoT-enheder (webcam, router, tv etc.) bliver brugt til DDoS-angreb. En stigning som vil fortsætte, spår virksomheden.
Pas på smart-DDoS
Blandt andre bemærkelsesværdige observationer i Kaspersky-rapporten er en stigning i, hvad virksomheden benævner 'smart' HTTPS-baserede DDoS-angreb.
Denne type angreb udnytter, at det er en forholdsvis ressourcekrævende proces at etablere en krypteret forbindelse til en web-service.
Som eksempel nævner Kaspersky Lab, at en ikke-krypteret webserver måske kan håndtere adskillige tusinde HTTP-opkoblinger, mens dette tal falder til hundrede, når det er en HTTPS-forbindelse.
Med andre ord, kan det være nemmere med få ressourcer at bringe en web-tjeneste i knæ, når forbindelsen er krypteret. Dertil kan HTTPS-angrebene rettes mod særligt ressourcekrævende dele af en webtjeneste, eksempelvis en søgeformular, der generer mange forespørgsler.
DDoS-angreb via krypterede forbindelser giver også nogle andre udfordringer i forhold til at beskytte sig mod angreb.
Det hænger sammen med, at det grundet krypteringen ikke nødvendigvis er muligt at spotte de ondsindede datapakker på netværksniveau, da trafikken i udgangspunktet først bliver dekrypteret, og altså læsbar, når den når web-serveren.
Kaspersky forklarer til dels stigningen i smart-DDoS-angreb med, at de såkaldte amplification-angreb er på retur. Det vil sige angreb, hvor relativt lidt trafik til en sårbar tjeneste kan bruges til at generere meget trafik rettet mod et offer.
Tilbagegangen i amplification hænger ifølge Kaspersky sammen med, at antallet af sårbare servere, der tidligere har været anvendt til at orkestrere denne type angreb, er på retur.
Derudover har mange amplification-angreb ifølge den russiske sikkerhedsvirksomhed fælles karakteristika, hvilket skulle gøre denne type angreb lettere at blokere.
Endeligt er der en stigning i antallet af sites med HTTPS, bemærker Kaspersky. Altså målskiven bliver større for cyberangriberne.
Så: stigningen i de HTTPS-rettede DDoS-angreb kommer til at fortsætte, spår virksomheden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
