Akamai Security Report: DDoS-Angriffe verdoppelt

Akamai hat seinen "State of the Internet Security Report" für das erste Quartal 2015 veröffentlicht. Im ersten Quartal 2015 erreichte die Zahl der Distributed-Denial-of-Service-Angriffe (DDoS) im PLX-gerouteten Netzwerk einen neuen Höchststand: Im Vergleich zum ersten des Vorjahrs stieg die Anzahl um mehr als das Doppelte an. Dabei hat sich das Angriffsprofil gewandelt: Im Vorjahr stellten Angriffe mit einer hohen Datenübertragungsrate und einer kurzen Dauer die Norm dar. Im ersten Quartal 2015 hatte die typische DDoS-Attacke eine Datenübertragungsrate von weniger als zehn Gbit/s, dauerte aber mehr als 24 Stunden. Bei acht großen Angriffen im ersten Quartal 2015 überstieg die Datenübertragungsrate jeweils 100 Gbit/s. Im Vergleich zum vierten Quartal 2014 war dies zwar nur ein großer Angriff mehr, aber vor einem Jahr wurden Attacken dieser Dimension kaum beobachtet. Der größte beobachtete DDoS-Angriff im ersten Quartal 2015 erreichte eine Übertragungsrate von 170 Gbit/s.

Während des vergangenen Jahres haben sich auch die Angriffsvektoren verändert. Im ersten Quartal 2015 lag der Anteil der Angriffe auf das Simple-Service-Discovery-Protokoll (SSDP) bei mehr als 20 Prozent, während in den ersten beiden Quartalen des Jahres 2014 solche Angriffe noch überhaupt nicht beobachtet worden waren. SSDP ist standardmäßig auf Millionen privater und Unternehmensgeräte wie Router, Media-Server, Web-Kameras, Smart-TVs und Drucker aktiviert. Dadurch können sich die Geräte gegenseitig im Netzwerk erkennen, miteinander Verbindung aufnehmen und ihre Aktivitäten koordinieren. Wenn solche an das Internet angebundene lokale Geräte aber ungeschützt und häufig auch falsch konfiguriert sind, lassen sie sich als Reflektoren bei der Durchführung einer DDoS-Attacke nutzen.

Für die aktuelle Ausgabe des Reports konzentrierte sich Akamai auf die Analyse von sieben weit verbreiteten Angriffsmethoden, die zusammen 178,85 Millionen Angriffe auf Web-Anwendungen im Akamai-Edge-Netzwerk verzeichneten. Dazu gehörten die Einschleusungstechniken SQL Injection (SQLi), Local File Inclusion (LFI), Remote File Inclusion (RFI), PHP Injection (PHPi), Command Injection (CMDi), OGNL Java Injection (JAVAi) sowie der böswillige Upload von Dateien (Malicious File Upload – MFU).

Während des ersten Quartals 2015 gingen mehr als 66 Prozent der Angriffe von Webapplikationen auf das Konto von Local-File-Inclusion (LFI)-Attacken. Darunter befanden sich zwei massive Offensiven gegen zwei große Einzelhandels-Unternehmen im März 2015, die das WordPress-Plug-in RevSlider angriffen. 29 Prozent der Angriffe wurden mit SQL-Injection durchgeführt. Die verbleibenden fünf Prozent teilten sich auf die übrigen Angriffsvektoren auf. 

Diesen Ergebnissen zufolge war der Einzelhandel am meisten von Angriffen auf Web-Anwendungen betroffen, gefolgt von Unternehmen aus dem Bereich Medien und Unterhaltung sowie aus der Tourismus- und Hotelbranche.