Al meer dan een week zijn Nederlandse providers en hosters het slachtoffer van omvangrijke DDoS aanvallen. Er zijn de nodige speculaties wie achter de aanvallen zitten. Of het een enkele partij is of een groot aantal copycats maakt voor de slachtoffers weinig uit. De aandacht die de aanvallen trekken zijn reden nog eens naar dit recente A10 Networks rapport te kijken.
Steeds meer ARA
A10 Networks bracht begin augustus het Q2-2020 overzicht van DDoS aanvallen uit. Het constateert daarbij dat het aantal aanvallen wederom is toegenomen. De gebruikte technieken blijven min of meer gelijk. Een type aanval wordt wel steeds vaker ingezet , dat is de ARA (Amplified Reflection Attack) die volgens het rapport als volgt werkt:
This attack strategy exploits the connectionless nature of the UDP protocol and spoofs the victim’s IP address.The attacker sends volumes of small requests with the spoofed victim’s IP address to internet-exposed servers. The servers reply with large amplified responses to the unwitting victim. These particular servers are targeted because they answer to unauthenticated requests and are running applications or protocols with amplification capabilities.
Het is dit type aanval dat ook wordt gebruikt tegen Nederlandse bedrijven.
Zelfde landen
Het is vooralsnog onmogelijk te bepalen wie achter de aanvallen zit. De suggestie dat het vooral gaat om verveelde en gefrustreerde gamers gaat al langer de ronde. Wat die aanname steunt is de constatering dat recent nieuwe releases van games zijn uitgebracht en de gamingscene een bekend target is.
Minder onduidelijkheid is er over de bronnen van de aanvallen. DDoS aanvallen zijn alleen mogelijk bij de gratie van grote aantallen besmette systemen die deel uitmaken van een netwerk dat remote wordt bestuurd om de aanvallen uit te voeren. Tot een paar jaar terug waren de botnets vooral opgebouwd uit computers met onveilige Windows XP, W7 versies. Sindsdien zijn het vooral de IoT devices en smartdevices die grote botnets mogelijk maken.
Dit soort onveilige hardware komt in alle landen voor. Om ze deel te laten uitmaken van een actief botnet moet de internet connectiviteit en het modem of router slecht worden gemonitord. Er zijn vijf landen waar dit sinds jaar en dag het geval is. Daarom ziet ook nu weer A10 Networks de VS, China, Rusland, India en Zuid Korea als de landen die het meeste bijdragen aan botnets. Dat het ook nog eens landen met veel internetaansluitingen zijn speelt natuurlijk ook een rol.
De top 5 van landen die Botnets herbergen is niet gelijk aan de top van landen waar de C&C servers te vinden zijn. China staat daar op de eerste plek met een geschat aandeel van 15 procent. De tweede plek is in handen van Vietnam met 12 procent.
Verspreid en redundant
Opvallend aan deze ranking is niet alleen dat China als enige land in de twee rankings staat. Voor C&C servers geldt dat 60 procent over andere landen zit verspreid. Dit verklaart direct waarom het zo moeilijk is botnets op te rollen en zo DDoS aanvallen bij de bron aan te pakken. Zolang providers de verbindingen niet controleren op botnet verkeer kan dat alleen door controle over de botnets te krijgen. Die zijn met opzet over zoveel landen verspreid dat een vorm van redundantie is ontstaan die moeilijk te bestrijden is.