Twee dagen geleden maakte Google bekend ervaring te hebben opgedaan met een 2.5 Tbps DDoS en niemand heeft dat wat van gemerkt. De aanval was daarbij niet recent, het voorval speelde zich af in september 2017. Over het soort aanvallen heeft Google nu een blogpost online staan. Een andere Google publicatie gaat in op de aanvallers.
DDoS aanvallen nemen toe
Met enige regelmaat valt te horen en lezen dat het aantal DDoS aanvallen toeneemt en dat dit ook opgaat voorde omvang van de aanvallen. De Nederlandse consumenten, providers, banken en overheidsinstellingen hebben daar allemaal al ervaringen mee. Naar verluidt zijn de aanvallen die Nederlandse online omgevingen als doelwit hebben in verreweg de meeste gevallen te herleiden op stressers. Dat daarachter deels verveelde pubers schuilgaan, die al eerder de pers hebben gehaald voor deze overlast, ligt voor de hand
MIRAI was leerzaam
Deze groep veroorzaak overlast, ernstige overlast zelfs. Toch is het niet de groep waar Google zich het meest zorgen om maakt. IT security professionals hebben tot nu toe altijd gekeken naar de MIRAI botnet aanvallen. Daarmee was het rond 2016 mogelijk een DDoS aanval van +620 Gbps te starten. Daarmee is onder andere geprobeerd OVH offline te halen. Voor die aanval was en is nog steeds veel belangstelling. Dat is omdat men wil inschatten hoe iets dergelijks is af te weren met de eigen oplossingen.
Hoe leerzaam het MIRAI botnet ook mag zijn, als er minder dan een jaar daarna al een aanval van viervoudige omvang (!) mogelijk was, is het verkeerd nog naar de 2016 piek te kijken. De mensen bij Google doen dat dus ook niet. Zij hebben de 2017 aanvallen geanalyseerd en zijn daarbij tot een paar opmerkelijke conclusies gekomen. De eerste is dat hier sprake is geweest van een “state-sponsored UDP amplification attack”. Er worden vier ASNs genoemd die nadrukkelijk aanwezig waren en die zijn in gebruik bij Chinese operators (zie ook link).
Maatregelen opschalen
De gebruikte methoden staan in de gelinkte artikelen genoemd. Echte primeurs vallen niet op. Dat betekent dat de capaciteiten die stressers kunnen aanbieden verder kunnen zullen toenemen, zonder dat de criminelen die deze diensten leveren extra inspanningen moeten verrichten.
Het belang van die constatering is dat iedereen die zich nu zorgen maakt om het afweren van DDoS aanvallen op zijn IT omgeving, of die van de klant, het huiswerk over moet doen. Als een professionele, door een staat ingezette DDoS aanval 2.5 Tbps kan bedragen is het niet verstandig te verwachten dat aanvallen van anderen nog lang onder de +620Gbps of 1 Tbps zullen blijven. De bestaande DDoS afweermaatregelen moeten verder worden opgeschaald.
