De fleste identificerbare DDoS-angreb kommer fra Storbritannien

De største oprindelseslande for DDoS i tredje kvartal 2015. (Kilde: State of the Internet, Akamai) Illustration: Virrage Images/Bigstock
Kina må se sig slået af Storbritannien på listen over oprindelseslande for DDoS-angreb, viser nye data fra Akamai.

Der er vækst i diverse DDoS-angreb og så har Storbritannien overhalet Kina som oprindelsesland for den slags trafik. Det fremgår af en nyligt udgivet rapport fra CDN-leverandøren (Content Distribution Network) Akamai om tingenes sikkerhedsmæssige tilstand på internettet under titlen State of The Internet for tredje kvartal 2015.

Ifølge rapporten har der været en stigning i mængden af DDoS på 180 pct. i tredje kvartal 2015 sammenholdt med tredje kvartal 2014.

Angrebene er til gengæld blevet af kortere varighed og af mindre kapacitet - målt i bits per tidsenhed. Den udvikling tilskriver Akamai blandt andet brugen af booter-stresser værktøjer. Det er webtjenester, der umiddelbart er sat op for at gøre web-admins i stand til at teste kapaciteten på deres hjemmesider.

I virkeligheden er mange af disse tjenester dog DDoS-til-leje forklædt som noget legitime værktøjer.

Tjenesterne er ofte abonnementsbaserede og tillader ‘kun’ DDoS-angreb af 20 - 60 minutters varighed. Brugen af booter-stresser-værktøjer er et skifte væk fra de Botnet-baserede DDoS-angreb, som er mere møjsommelige for de it-kriminelle at opbygge.

Fald i mega-DDoS

Generelt set har der været et fald i det, Akamai kalder mega-DDoS-angreb. Det vil sige angreb på mindst 100 gigabit i sekundet. Således blev der målt 12 af disse angreb i andet kvartal 2015 mod otte i tredje kvartal 2015.

Og så er der de data, der viser, at Storbritannien er det hyppigste oprindelsesland for DDoS i tredje kvartal 2015 sammenholdt med kvartalet før. Akamai har kun set på applikations-forbindelser i den sammenhæng, hvor det faktisk er muligt at se, hvor trafikken kommer fra, og ikke eksempelvis UDP-trafik.

Virksomheden forklarer det med, at ip-adressen i UDP er nem at spoofe, og dermed siger den ikke noget om det faktiske oprindelsessted for datatrafikken.

Rapporten fra Akamai siger heller ikke noget om, hvorvidt det faktisk er personer i Storbritannien, der trykker på DDoS-knappen.

»Det er korrekt, at dataene ikke siger noget om, om en given server er blevet overtaget af en hacker eller kompromitteret, men man kan med sikkerhed sige, hvor en server er geografisk placeret baseret på dens ip-adresse,« oplyser Jonas Hogue Solutions Engineer, Akamai Nordics i en mail til Version2 via virksomhedens danske pr-bureau.

Rapporten er endnu ikke tilgængelig via stateoftheinternet.com, men kan formentlig hentes herfra, når den bliver det.

Artiklen er præciseret, så det tydligere fremgår, at det kun er den DDoS-trafik, hvor oprindelseslandet kan identificeres med sikkerhed, der ligger til grund for Akamais topplacering af Storbritanninen. Og altså ikke eksempelvis den betydelige del af DDoS-trafikken, hvor ip-adressen kan være spoofet, og hvor det derfor ikke er muligt at se, hvor trafikken kommer fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Brian Hansen

"men man kan med sikkerhed sige, hvor en server er geografisk placeret baseret på dens ip-adresse" I samme artikel bliver der rigtigt nok nævnt hvor nemt det er at spoofe UDP afsender, så den statistik er ikke til meget. Realistisk set er afsender adressen nok nærmere offeret, hvis det nu er et DNS amplification bounce af en art.

  • 0
  • 0
Log ind eller Opret konto for at kommentere