Der Sicherheitsanbieter Cloudflare hat in den vergangenen Wochen einen Anstieg von Distributed Denial of Service (DDoS)-Angriffen allgemein sowie auf israelische Zeitungs- und Medienseiten beobachtet.

Security provider Cloudflare has seen an increase in Distributed Denial of Service (DDoS) attacks in general and against Israeli newspaper and media sites in recent weeks.

Cloudflare wehrte im dritten Quartal 2023 Tausende von hypervolumetrischen HTTP-DDoS-Angriffen ab, von denen 89 mehr als 100 Millionen Anfragen pro Sekunde (Requests per Second, RPS) erreichten, wobei der größte Angriff 201 Millionen RPS erreichte – eine Zahl, die dreimal so hoch ist wie der bisher größte Angriff (71 Millionen RPS).

Die Kampagne trug dazu bei, dass der HTTP-DDoS-Angriffsverkehr im 3. Quartal im Vergleich zum Vorquartal insgesamt um 65 % anstieg. Auch L3/4-DDoS-Angriffe nahmen um 14 % zu.

Glücksspielunternehmen sahen sich mit dem größten Volumen an HTTP-DDoS-Angriffsverkehr konfrontiert und überholten damit die Kryptowährungsbranche, die im zweiten Quartal am stärksten betroffen war.

Ein HTTP-DDoS-Angriff ist ein DDoS-Angriff über das Hypertext Transfer Protocol (HTTP). Er zielt auf HTTP-Internetwebsites wie mobile Anwendungsserver, E-Commerce-Websites und API-Gateways ab.

HTTP/2, das 62 % des HTTP-Traffics ausmacht, ist eine Version des Protokolls, die die Anwendungsperformance verbessern soll. Der Nachteil ist, dass HTTP/2 auch die Performance eines Botnets zu verbessern kann.

Ab Ende August 2023 waren Cloudflare und verschiedene andere Anbieter Gegenstand einer ausgeklügelten und anhaltenden DDoS-Angriffskampagne, die die HTTP/2 Rapid Reset-Schwachstelle (CVE-2023-44487) ausnutzte.

Die DDoS-Kampagne umfasste Tausende von hypervolumetrischen DDoS-Angriffen über HTTP/2, die Spitzenwerte im Bereich von Millionen von Anfragen pro Sekunde (rps) erreichten. Die durchschnittliche Angriffsrate betrug 30 Mio. rps. Etwa 89 der Angriffe erreichten Spitzenwerte von über 100 Mio. rps, und der größte Angriff, den wir verzeichneten, erreichte 201 Mio. rps.

Durch VM-basierte Botnets ermöglichte hypervolumetrische DDoS-Angriffe

Botnets, die Cloud-Computing-Plattformen nutzen und HTTP/2 ausbeuten, sind in der Lage, bis zu 5.000 Mal mehr Wirkung pro Botnet-Knoten zu erzeugen. Dies ermöglichte es ihnen, mit einem kleinen Botnet von nur 5.000-20.000 Knoten hypervolumetrische DDoS-Angriffe zu starten. Zum Vergleich: In der Vergangenheit bestanden IoT-basierte Botnets aus Flotten von Millionen von Knoten und konnten kaum ein paar Millionen Anfragen pro Sekunde erreichen.

Bei der Analyse der zweimonatigen DDoS-Kampagne wird deutlich, dass die Cloudflare-Infrastruktur das primäre Ziel der Angriffe war. Genauer gesagt richteten sich 19 % aller Angriffe gegen die Websites und die Infrastruktur von Cloudflare. Weitere 18 % zielten auf Glücksspielunternehmen und 10 % auf bekannte VoIP-Anbieter ab.

HTTP-DDoS-Angriffs-Traffic stieg um 65 %

Die Angriffskampagne trug zu einem allgemeinen Anstieg des Traffics bei. Im letzten Quartal stieg das Volumen der HTTP-DDoS-Angriffe im Vergleich zum Vorquartal um 15 %. In diesem Quartal fiel der Anstieg noch deutlicher aus. Das Angriffsvolumen stieg im Quartalsvergleich um 65 % auf insgesamt 8,9 Bio. HTTP-DDoS-Anfragen.

Neben dem 65 %-Anstieg der HTTP-DDoS-Angriffe gab es auch einen geringfügigen Anstieg von 14 % bei den L3/4-DDoS-Angriffen – ähnlich wie im ersten Quartal dieses Jahres.

Ein Anstieg großer volumetrischer DDoS-Angriffe trug zu diesem Anstieg bei. Im 3. Quartal haben  DDoS-Abwehrsysteme zahlreiche DDoS-Angriffe im Terabit-pro-Sekunde-Bereich automatisch erkannt und abgewehrt. Der größte Angriff, den wir verzeichneten, erreichte einen Spitzenwert von 2,6 Tbit/s. Dabei handelte es sich um eine UDP-Flood, die von einer Variante des Mirai-Botnets ausging.

Wichtigste Ursprungsländer für HTTP-DDoS-Angriffe

Beim Vergleich des globalen und länderspezifischen HTTP-DDoS-Anfragevolumens zeigt sich, dass die USA nach wie vor das Land sind, in dem die meisten HTTP-DDoS-Angriffe gestartet werden. Eine von 25 HTTP-DDoS-Anfragen stammte aus den USA. China bleibt an zweiter Stelle. Brasilien hat Deutschland als drittgrößtes Ursprungsland von HTTP-DDoS-Angriffen abgelöst, Deutschland liegt nunmehr an vierter Stelle.

HTTP-DDoS-Angriffe: Wichtigste Quellen im Vergleich zum gesamten Angriffs-Traffic

Bei einigen Ländern gehen aufgrund verschiedener Faktoren, z. B. der Bevölkerung und der Internetnutzung, natürlich größere Datenströme ein, weshalb diese Länder auch mehr Angriffe verzeichnen bzw. von dort ausgehen. Es ist interessant, eine bessere Vorstellung von der Gesamtmenge des aus einem bestimmten Land stammenden oder des in dieses Land eingehenden Volumens an Angriffs-Traffic zu erhalten. Gleichzeitig ist es aber auch hilfreich, diese Verzerrung zu beseitigen, indem man den Angriffs-Traffic zu dem gesamten, bei einem bestimmten Land eingehenden Traffic ins Verhältnis setzt.

In diesem Fall ergibt sich ein anderes Muster. Die USA schaffen es dann nicht einmal unter die Top Ten. Stattdessen liegt Mosambik (wieder einmal) an erster Stelle. Jede fünfte HTTP-Anfrage, die aus Mosambik kam, ließ sich auf einen HTTP-DDoS-Angriff zurückführen.

Ägypten bleibt an zweiter Stelle – etwa 13 % der aus Ägypten stammenden Anfragen waren Teil eines HTTP-DDoS-Angriffs. Libyen und China folgen als dritt- und viertwichtigste Ursprungsländer von HTTP-DDoS-Angriffen.

Die wichtigsten Ursprungsländer von L3/4-DDoS-Angriffen

Im dritten Quartal stammten rund 36 % des gesamten L3/4-DDoS-Angriffs-Traffics, den wir im dritten Quartal verzeichneten, aus den USA. Mit großem Abstand folgten Deutschland mit 8 % und das Vereinigte Königreich mit fast 5 % an dritter Stelle.

L3/4 DDoS-Angriffe: Wichtigste Ursprungsländer im Vergleich zum gesamten Angriffs-Traffic

Wenn man die Daten normalisiert, sieht man, dass Vietnam zum zweitwichtigsten Ursprungsland von L3/4-DDoS-Angriffen wurde, nachdem es zwei Quartale in Folge an erster Stelle stand. Neukaledonien, ein französisches Territorium mit Dutzenden von Inseln im Südpazifik, belegte den ersten Platz. Zwei von vier Bytes, die in den Rechenzentren von Cloudflare in Neukaledonien eingingen, waren Angriffe.

Hinsichtlich des absoluten Volumens des HTTP-DDoS-Angriffs-Traffics springt die Glücksspielbranche auf den ersten Platz und überholt die Kryptowährungsbranche. Über 5 % des gesamten HTTP-DDoS-Angriffs-Traffics, den Cloudflare verzeichnete, zielte auf die Glücksspielbranche ab.

HTTP-DDoS-Angriffe: Die am häufigsten angegriffenen Branchen

Die Glücksspielindustrie gehört seit langem zu den Branchen, die im Vergleich zu anderen am häufigsten angegriffen werden. Wenn wir jedoch den HTTP-DDoS-Angriffs-Traffic im Verhältnis zu den einzelnen Branchen betrachten, ergibt sich ein anderes Bild. Die Glücksspielbranche hat so viel Nutzer-Traffic, dass sie, obwohl sie gemessen am Volumen die am meisten angegriffene Branche ist, nicht einmal in die Top Ten kommt, wenn wir sie in den Kontext der einzelnen Branchen stellen.

Stattdessen zeigt sich, dass die Bergbau- und Metallindustrie im Vergleich zum gesamten Traffic am häufigsten von Angriffen betroffen war – 17,46 % des gesamten Traffics zu Bergbau- und Metallunternehmen waren DDoS-Angriffe.

An zweiter Stelle liegt die Non-Profit-Branche, 17,41 % der an Non-Profit-Organisationen gerichteten Traffics ließen sich auf einen HTTP-DDoS-Angriff zurückführen. Viele dieser Angriffe richten sich gegen mehr als 2.400 gemeinnützige und unabhängige Medienorganisationen in 111 Ländern.

Europa

Im vierten Quartal in Folge bleibt die Glücksspielindustrie die am häufigsten angegriffene Branche in Europa. An zweiter Stelle stehen die Einzelhandelsunternehmen und an dritter Stelle die Softwarebranche.

 

Am häufigsten von L3/4-DDoS-Angriffen betroffene Branchen

Betrachtet man die nächsttiefere Schicht des OSI-Modells, gehörten die am meisten angegriffenen Internetnetzwerke zur Informationstechnologie- und Dienstleistungsbranche. Fast 35 % des gesamten L3/4-DDoS-Angriffs-Traffics (in Bytes) zielten auf die Informationstechnologie- und Internetbranche ab.

 

Weit abgeschlagen folgten die Telekom-Unternehmen mit einem Anteil von nur 3 % auf dem zweiten Platz. An dritter Stelle lag die Glücksspielbranche, an vierter das Bank-, Finanzdienstleistungs- und Versicherungsgewerbe (BFSI).

Vergleicht man die Angriffe auf Branchen mit dem gesamten Traffic für die jeweilige Branche, so stellt man fest, dass die Musikindustrie an erster Stelle steht, gefolgt von Computer- und Netzwerksicherheitsunternehmen, IT- und Internetunternehmen sowie Luft- und Raumfahrt.

Am häufigsten von HTTP-DDoS-Angriffen betroffene Länder

Betrachtet man das Gesamtvolumen des Angriffs-Traffics, so bleiben die USA das größte Ziel von HTTP-DDoS-Angriffen. Fast 5 % des gesamten HTTP-DDoS-Angriffs-Traffics zielten auf die USA. Singapur belegte den zweiten und China den dritten Platz.

Am häufigsten von L3/4-DDoS-Angriffen betroffene Länder

Zum zweiten Mal in Folge (wie auch im Q2 2023) sind chinesische Internet-Netzwerke und -Dienste das Hauptziel von L3/4-DDoS-Angriffen. Diese in China erfolgenden Angriffe machen 29 % aller Angriffe aus, die wir im 3. Quartal 2023 verzeichneten.

Wenn man den Umfang des angreifenden Traffics im Vergleich zum gesamten Traffic in ein Land normalisiert, bleibt China auf dem ersten Platz und die USA verschwinden aus den Top Ten. Cloudflare stellte fest, dass 73 % des Traffics zu chinesischen Internetnetzwerken Angriffe waren. Die normalisierte Rangfolge ändert sich jedoch ab dem zweiten Platz, wobei die Niederlande den zweithöchsten Anteil am Angriffs-Traffic ausmachen (35 % des gesamten Traffics des Landes), dicht gefolgt von Thailand, Taiwan und Brasilien.

Top-Angriffsvektoren

Das Domain Name System (DNS) dient als das Telefonbuch des Internets. DNS hilft bei der Übersetzung der menschenfreundlichen Website-Adresse (z. B. www.cloudflare.com) in eine maschinenfreundliche IP-Adresse (z. B. 104.16.124.96). Durch die Störung von DNS-Servern beeinträchtigen Angreifer die Fähigkeit der Rechner, eine Verbindung zu einer Website herzustellen. Dadurch wird die Website für die Nutzer unerreichbar.

Das zweite Quartal in Folge waren DNS-basierte DDoS-Angriffe am häufigsten. Fast 47 % aller Angriffe waren DNS-basiert. Dies entspricht einem Anstieg von 44 % gegenüber dem Vorquartal. SYN-Floods stehen weiterhin an zweiter Stelle, gefolgt von RST-Floods, UDP-Floods und Mirai-Angriffen.

Abgesehen von den gängigsten Angriffsvektoren haben auch weniger bekannte Angriffsvektoren erheblich zugenommen. Diese sind in der Regel sehr unbeständig, da die Bedrohungsakteure versuchen, ältere Angriffsvektoren zu „reduzieren, erneut zu verwenden und zu recyceln“. Dabei handelt es sich in der Regel um UDP-basierte Protokolle, die für Amplification- und Reflection-DDoS-Angriffe genutzt werden können.

Eine bekannte Taktik ist die Verwendung von Amplification-/Reflection-Angriffen. Bei dieser Angriffsmethode lässt der Angreifer den Traffic von Servern abprallen und richtet die Antworten auf sein Opfer. Die Angreifer sind in der Lage, den abgeprallten Traffic durch verschiedene Methoden wie IP-Spoofing auf ihr Opfer zu lenken.

Eine andere Form der Reflection kann durch einen Angriff namens „DNS-Laundering-Angriff“ erreicht werden. Bei einem DNS-Laundering-Angriff fragt der Angreifer Subdomains einer Domain ab, die vom DNS-Server des Opfers verwaltet wird. Das Präfix, das die Subdomain definiert, ist zufällig und wird bei einem solchen Angriff nie mehr als ein- oder zweimal verwendet. Rekursive DNS-Server haben aufgrund der Randomisierung nie eine Antwort im Cache und müssen die Anfrage an den autoritativen DNS-Server des Opfers weiterleiten. Der autoritative DNS-Server wird dann mit so vielen Anfragen bombardiert, dass er legitime Anfragen irgendwann nicht mehr bearbeiten kann oder sogar ganz zusammenbricht.

mDNS-DDoS-Angriffe stiegen um 456 %

Multicast DNS (mDNS) ist ein UDP-basiertes Protokoll, das in lokalen Netzwerken zur Erkennung von Diensten/Geräten verwendet wird. Anfällige mDNS-Server antworten auf Unicast-Anfragen von außerhalb des lokalen Netzes, die mit der Quelladresse des Opfers „gefälscht“ (verändert, gespooft) werden. Dies führt zu Amplification-Angriffen. Im 3. Quartal haben wir einen starken Anstieg der mDNS-Angriffe festgestellt, und zwar um 456 % im Vergleich zum Vorquartal.

CoAP-DDoS-Angriffe um 387 % gestiegen

Das Constrained Application Protocol (CoAP) wurde für den Einsatz in einfachen elektronischen Geräten entwickelt und ermöglicht eine stromsparende und schlanke Kommunikation zwischen Geräten. Es kann jedoch für DDoS-Angriffe über IP-Spoofing oder -Amplification missbraucht werden, da böswillige Akteure seine Multicast-Unterstützung ausnutzen oder schlecht konfigurierte CoAP-Geräte einsetzen, um große Mengen unerwünschten Netzwerk-Traffics zu erzeugen. Dies kann zur Unterbrechung von Diensten oder zur Überlastung der Zielsysteme führen, so dass diese für legitime Nutzer nicht mehr verfügbar sind.

 

ESP DDoS-Angriffe stiegen um 303 %

Das Encapsulating Security Payload (ESP)-Protokoll ist Teil von IPsec und gewährleistet die Vertraulichkeit, Authentifizierung und Integrität der Netzwerkkommunikation. Es könnte jedoch für DDoS-Angriffe missbraucht werden, wenn böswillige Akteure falsch konfigurierte oder anfällige Systeme ausnutzen, um den Traffic in Richtung eines Ziels zu lenken (durch Reflection) oder zu verstärken, was zu einer Unterbrechung der Dienste führt. Wie bei anderen Protokollen muss man die Systeme, die ESP verwenden, sichern und richtig konfigurieren, um die Risiken von DDoS-Angriffen minimieren.

 

Vergleich von Ransomware und Ransom-DDoS-Angriffen

Bei Ransomware-Angriffen laden die Opfer in der Regel eine schädliche Datei herunter oder sie klicken auf einen kompromittierten E-Mail-Link, wodurch ihre Dateien gesperrt, gelöscht oder offengelegt werden, bis ein Lösegeld gezahlt wird. Ransom-DDoS-Angriffe sind im Vergleich dazu für kriminelle Akteure viel einfacher auszuführen. Dafür sind keine Täuschungsmanöver nötig, um das Opfer zum Öffnen dubioser E-Mails oder zum Anklicken betrügerischer Links zu verleiten. Auch ein Einbruch in das Netzwerk oder der Zugriff auf Firmenressourcen ist nicht erforderlich.

Im vergangenen Quartal sind die Berichte über Ransom-DDoS-Angriffe weiter zurückgegangen. Etwa 8 % der Befragten gaben an, von Random-DDoS-Angriffen bedroht oder betroffen zu sein, was einen Rückgang bedeutet, den wir das ganze Jahr über beobachtet haben. Hoffentlich liegt es daran, dass die Bedrohungsakteure erkannt haben, dass Unternehmen nicht zahlen werden (was unsere empfohlene Vorgangsweise ist).

 

 

Ransom-DDoS-Angriffe nach Quartal

Bedenken Sie jedoch, dass dies auch sehr saisonabhängig ist und wir in den Monaten November und Dezember einen Anstieg der Ransom-DDoS-Angriffe erwarten können. Wenn wir uns die Q4-Zahlen der letzten drei Jahre ansehen, stellen wir fest, dass die Zahl der Ransom-DDoS-Angriffe im November im Vergleich zum Vorjahr deutlich gestiegen ist. In den vierten Quartalen der vorangegangenen Jahre gab einer von vier Befragten an, Opfer von Ransom-DDoS-Angriffen geworden zu sein.

Cloudflare fended off thousands of hypervolumetric HTTP DDoS attacks, 89 of which reached more than 100 million requests per second (RPS), with the largest attack reaching 201 million RPS – a figure three times higher than the previous largest attack (71 million RPS).

The campaign contributed to an overall 65% increase in HTTP DDoS attack traffic in Q3 compared to the previous quarter. L3/4 DDoS attacks also increased by 14%.

Gaming companies faced the highest volume of HTTP DDoS attack traffic, overtaking the cryptocurrency industry, which was the hardest hit in Q2.

An HTTP DDoS attack is a DDoS attack using the Hypertext Transfer Protocol (HTTP). It targets HTTP Internet sites such as mobile application servers, e-commerce sites, and API gateways.

HTTP/2, which accounts for 62% of HTTP traffic, is a version of the protocol designed to improve application performance. The downside is that HTTP/2 can also improve the performance of a botnet.

Beginning in late August 2023, Cloudflare and several other providers were the subject of a sophisticated and sustained DDoS attack campaign exploiting the HTTP/2 Rapid Reset vulnerability (CVE-2023-44487).

The DDoS campaign included thousands of hypervolumetric DDoS attacks over HTTP/2 that reached peaks in the millions of requests per second (rps) range. The average attack rate was 30 million rps. About 89 of the attacks peaked above 100 million rps, and the largest attack we recorded reached 201 million rps.

Hypervolumetric DDoS attacks enabled by VM-based botnets.

Botnets using cloud computing platforms and exploiting HTTP/2 are able to generate up to 5,000 times more impact per botnet node. This allowed them to launch hypervolumetric DDoS attacks with a small botnet of only 5,000-20,000 nodes. By comparison, in the past, IoT-based botnets consisted of fleets of millions of nodes and could barely reach a few million requests per second.

Analyzing the two-month DDoS campaign, it is clear that Cloudflare infrastructure was the primary target of the attacks. More specifically, 19% of all attacks targeted Cloudflare’s websites and infrastructure. Another 18% targeted gaming companies and 10% targeted well-known VoIP providers.

HTTP DDoS attack traffic increased by 65%.

The attack campaign contributed to an overall increase in traffic. Last quarter, the volume of HTTP DDoS attacks increased by 15% compared to the previous quarter. This quarter, the increase was even more significant. Attack volume increased 65% quarter-over-quarter to a total of 8.9 trillion HTTP DDoS requests.

In addition to the 65% increase in HTTP DDoS attacks, there was also a small 14% increase in L3/4 DDoS attacks – similar to the first quarter of this year.

An increase in large volumetric DDoS attacks contributed to this increase. In Q3, DDoS defense systems automatically detected and defended against numerous DDoS attacks in the terabit-per-second range. The largest attack we recorded peaked at 2.6 Tbit/s. This was a UDP flood originating from a variant of the Mirai botnet.

Top countries of origin for HTTP DDoS attacks

When comparing global and country-specific HTTP DDoS request volumes, it appears that the U.S. remains the country where the most HTTP DDoS attacks are launched. One in 25 HTTP DDoS requests originated in the US. China remains in second place. Brazil has replaced Germany as the third largest country of origin for HTTP DDoS attacks, with Germany now in fourth place.

HTTP DDoS Attacks: Top sources vs. total attack traffic

Some countries naturally receive larger traffic flows due to various factors, such as population and Internet usage, which is why these countries also see more attacks or originate from them. It is interesting to get a better idea of the total volume of attack traffic coming from or going into a particular country. At the same time, it is also helpful to remove this bias by relating the attack traffic to the total traffic coming into a particular country.

 

In this case, a different pattern emerges. The USA does not even make it into the top ten. Instead, Mozambique (once again) comes out on top. Every fifth HTTP request that came from Mozambique could be traced back to an HTTP DDoS attack.

Egypt remains in second place – about 13% of requests originating from Egypt were part of an HTTP DDoS attack. Libya and China follow as the third and fourth most important countries of origin of HTTP DDoS attacks.

Top countries of origin of L3/4 DDoS attacks.

In the third quarter, approximately 36% of the total L3/4 DDoS attack traffic we recorded in the third quarter originated from the United States. This was followed by a wide margin by Germany at 8% and the UK at almost 5% in third place.

L3/4 DDoS attacks: Most important countries of origin compared to total attack traffic.

Normalizing the data, we see that Vietnam became the second most important country of origin for L3/4 DDoS attacks after ranking first for two consecutive quarters. New Caledonia, a French territory with dozens of islands in the South Pacific, ranked first. Two out of every four bytes received by Cloudflare’s data centers in New Caledonia were attacks.

In terms of absolute volume of HTTP DDoS attack traffic, the gaming industry jumps to first place, overtaking the cryptocurrency industry. Over 5% of the total HTTP DDoS attack traffic Cloudflare recorded targeted the gaming industry.

HTTP DDoS Attacks: The most frequently attacked industries

The gambling industry has long been one of the most frequently attacked industries compared to others. However, when we look at HTTP DDoS attack traffic relative to each industry, the picture is different. The gaming industry has so much user traffic that even though it is the most attacked industry by volume, it does not even make the top ten when we put it in the context of each industry.

Instead, it shows that the mining and metals industry was the most attacked compared to total traffic – 17.46% of all traffic to mining and metals companies were DDoS attacks.

In second place was the non-profit industry, 17.41% of traffic directed to non-profit organizations could be attributed to an HTTP DDoS attack. Many of these attacks target more than 2,400 non-profit and independent media organizations in 111 countries.

Europe

For the fourth consecutive quarter, the gaming industry remains the most attacked industry in Europe. Retail companies are second and the software industry is third.

 

 

Industries most frequently affected by L3/4 DDoS attacks.

Looking at the next layer down in the OSI model, the most attacked Internet networks belonged to the information technology and services industry. Nearly 35% of the total L3/4 DDoS attack traffic (in bytes) targeted the information technology and Internet industry.

 

 

Telecom companies followed far behind in second place with a share of only 3%. In third place was the gaming industry, and in fourth place the banking, financial services and insurance (BFSI) industry.

Comparing the attacks on industries to the total traffic for each industry, we find that the music industry ranked first, followed by computer and network security companies, IT and Internet companies, and aerospace.

Countries most affected by HTTP DDoS attacks

Looking at the total volume of attack traffic, the US remains the largest target of HTTP DDoS attacks. Nearly 5% of all HTTP DDoS attack traffic targeted the US. Singapore ranked second and China third.

Countries most frequently affected by L3/4 DDoS attacks.

For the second year in a row (as well as Q2 2023), Chinese internet networks and services are the main target of L3/4 DDoS attacks. These attacks occurring in China account for 29% of all attacks we recorded in Q3 2023.

When normalizing the amount of attacking traffic compared to total traffic to a country, China remains in first place and the US disappears from the top ten. Cloudflare found that 73% of traffic to Chinese internet networks were attacks. However, the normalized ranking changes from second place, with the Netherlands accounting for the second highest share of attack traffic (35% of the country’s total traffic), followed closely by Thailand, Taiwan and Brazil.

 

Top attack vectors

The Domain Name System (DNS) serves as the Internet’s phone book. DNS helps translate the human-friendly website address (e.g., www.cloudflare.com) into a machine-friendly IP address (e.g., 104.16.124.96). By disrupting DNS servers, attackers impair the ability of machines to connect to a website. This makes the website inaccessible to users.

For the second quarter in a row, DNS-based DDoS attacks were the most common. Almost 47% of all attacks were DNS-based. This represents a 44% increase from the previous quarter. SYN floods continue to rank second, followed by RST floods, UDP floods, and Mirai attacks.

Aside from the most common attack vectors, lesser known attack vectors have also increased significantly. These tend to be highly volatile as threat actors attempt to „reduce, reuse, and recycle“ older attack vectors. These are typically UDP-based protocols that can be used for amplification and reflection DDoS attacks.

One well-known tactic is the use of amplification/reflection attacks. In this attack method, the attacker bounces traffic off servers and directs responses to its victim. The attackers are able to direct the bounced traffic to their victim through various methods such as IP spoofing.

Another form of reflection can be achieved through an attack called a „DNS laundering attack.“ In a DNS laundering attack, the attacker queries subdomains of a domain managed by tthe victim’s DNS server. The prefix defining the subdomain is random and is never used more than once or twice in such an attack. Recursive DNS servers never have a cached response due to randomization and must forward the request to the victim’s authoritative DNS server. The authoritative DNS server is then bombarded with so many queries that it eventually cannot handle legitimate requests or even collapses altogether.

mDNS DDoS attacks increased by 456

Multicast DNS (mDNS) is a UDP-based protocol used in local area networks to discover services/devices. Vulnerable mDNS servers respond to unicast requests from outside the local network that are „spoofed“ (changed, spoofed) with the victim’s source address. This leads to amplification attacks. In Q3, we saw a sharp increase in mDNS attacks, up 456% from the previous quarter.

CoAP DDoS attacks up 387%.

The Constrained Application Protocol (CoAP) was developed for use in simple electronic devices and enables low-power and lean communication between devices. However, it can be abused for DDoS attacks via IP spoofing or amplification, as malicious actors exploit its multicast support or use poorly configured CoAP devices to generate large amounts of unwanted network traffic. This can disrupt services or overload target systems, making them unavailable to legitimate users.

ESP DDoS attacks increased by 303

The Encapsulating Security Payload (ESP) protocol is part of IPsec and ensures the confidentiality, authentication and integrity of network communications. However, it could be abused for DDoS attacks if malicious actors exploit misconfigured or vulnerable systems to direct traffic toward a target (through reflection) or amplify it, resulting in service disruption. As with other protocols, systems using ESP must be secured and properly configured to minimize the risks of DDoS attacks.

Comparing ransomware and ransomware DDoS attacks

In ransomware attacks, victims typically download a malicious file or click on a compromised email link, which locks, deletes or exposes their files until a ransom is paid. Ransom DDoS attacks, in comparison, are much easier for criminal actors to execute. This does not require deception to trick the victim into opening dubious emails or clicking fraudulent links. Nor does it require breaking into the network or accessing company resources.

Last quarter, reports of ransom DDoS attacks continued to decline. About 8% of respondents reported being threatened or affected by random DDoS attacks, a decline seen all year. Hopefully, it’s because threat actors have realized that companies won’t pay.

However, keep in mind that this is also very seasonal and you can expect to see an increase in Ransom DDoS attacks in November and December. If we look at the Q4 numbers for the last three years, we see that the number of Ransom DDoS attacks increased significantly in November compared to the previous year. In the fourth quarters of previous years, one in four respondents reported being a victim of Ransom DDoS attacks.

 

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner