Bedrohungssituation in der DACH-Region

Zahl der DDoS-Angriffe steigt weiter

02.02.2017
Von Jens-Philipp Jung
Distributed-Denial-of-Service-Attacken in Deutschland, Österreich und der Schweiz stiegen auch im dritten Quartal 2016 weiter an und erreichten ein neues Rekordhoch.

Das Ausmaß der DDoS-Attacken wächst in Deutschland, Österreich und der Schweiz (DACH) mit jedem Quartal. Die Zahlen von Juli bis September 2016 aus dem Link11 Security Operation Center (LSOC) bestätigen diesen Trend: 9.513 Mal zielten Angreifer über alle Branchen hinweg auf Organisationen in der DACH-Region. Im ersten Quartal 2016 waren es mit 6.921 Attacken noch 37,5 Prozent weniger Vorfälle.

Das Ausmaß der DDoS-Attacken wächst in der DACH-Region mit jedem Quartal.
Das Ausmaß der DDoS-Attacken wächst in der DACH-Region mit jedem Quartal.
Foto: Link11 GmbH

Entwicklung der Angriffsbandbreiten

Rechnet man die Länge aller Angriffe im dritten Quartal zusammen, ergibt sich eine Gesamtdauer von 1.012 Stunden. Das bedeutet ein Plus von 29,9 Prozent gegenüber den DDoS-Attacken von Januar bis März. Die Angriffe waren im Durchschnitt jedoch kürzer als in den vorherigen Quartalen. Und auch die mittlere Angriffsbandbreite ist leicht gesunken und lag bei 1,3 Gbit/s. Dennoch trafen 51 Attacken mit Höchstbandbreiten zwischen 20 und 40 Gbit/s auf Server, Webseiten und IT-Infrastrukturen. 11 Mal konnte das LSOC Spitzen von 40 bis 80 Gbit/s messen. Der größte DDoS-Angriff wurde mit 84,3 Gbit/s registriert. Die Grafik zeigt, dass der Angreifer die Bandbreite innerhalb weniger Minuten erreichte. Der Wert dieser Hyper-Attacke lag unterhalb der Maximalbandbreite von 141,8 Gbit/s aus dem 2. Quartal. Den Rekord bei der Datenübertragung legte im aktuellen Quartal ein Angriff mit 37,9 Millionen Paketen pro Sekunde.

Eine Hyper-Attacke erreichte im 3. Quartal eine Stärke von 84,3 Gbit/s. Die Spitzenbandbreite der Hyper-Attacke baute sich in weniger als drei Minuten auf.
Eine Hyper-Attacke erreichte im 3. Quartal eine Stärke von 84,3 Gbit/s. Die Spitzenbandbreite der Hyper-Attacke baute sich in weniger als drei Minuten auf.
Foto: Link11

HTTPS-Attacken auf dem Vormarsch

Immer häufiger nutzen Angreifer die zunehmende Verbreitung von HTTPS aus, das zur Verschlüsselung von Daten und Kommunikation im Internet eingesetzt wird. Über 50 Prozent der Webseiten verwenden inzwischen HTTPS. Das steigert die Sicherheit bei der Übertragung von Shopping-, Finanz- und persönlichen Daten, erfordert aber auch sehr viel Rechenleistung auf dem Webserver. Die Angreifer verschicken daher eine Vielzahl von HTTPS-Anfragen, mit deren Verarbeitung der Server nicht nachkommt und in der Folge den Dienst verweigert. Bereits 16,4 Prozent aller Attacke aus dem dritten Quartal basieren inzwischen auf diesen HTTPS-Floods. Im zweiten Quartal waren es noch 4 Prozent. UDP Floods (38,7 Prozent) und TCP SYN Floods 24,8 Prozent führten weiterhin die Spitze der Top-Angriffsvektoren an.

Am häufigsten starteten die Angreifer ihre DDoS-Attacken zwischen 16 und 24 Uhr.
Am häufigsten starteten die Angreifer ihre DDoS-Attacken zwischen 16 und 24 Uhr.
Foto: Link11

Hohe DDoS-Gefahr am Sonntag

Im dritten Quartal 2016 musste das LSOC an Sonntagen die meisten Attacken (16,3 Prozent) abwehren. Der zweitgefährlichste Tag der Woche war der Mittwoch, auf den 15,2 Prozent aller Angriffe entfielen. Die Freitage, an denen 13,3 Prozent der Attacken starteten, verliefen im Vergleich dazu am ruhigsten. Eine Analyse der Angriffe nach der Tageszeit zeigt sehr starke Aktivitäten zwischen 16 und 24 Uhr, wie die Grafik zeigt. Allein sieben von zehn Attacken werden in diesem Zeitfenster ausgeführt. Die Versuracher scheinen die Angriffe vor allem in ihrer freien Zeit auszuführen. Attacken in den ersten Stunden des Tages zwischen Mitternacht und 8 Uhr machten nur 14,7 aller Angriffe aus. Dem Zeitfenster von 8 bis 16 Uhr konnte das LSOC 15,3 Prozent aller Attacken zuordnen.

Der 6. Juli 2016 war für DDoS-Angreifer ein besonders aktiver Tag, an dem sie 256 Angriffe mit Ziel Deutschland, Österreich und Schweiz starteten. Das entsprach einer durchschnittschlichen Frequenz von fast 11 Attacken pro Stunde. Der Ruhetag des Quartals war der 26. September 2016 mit nur 38 Attacken. Im Mittel registrierte das LSOC pro Tag 103 Attacken. (haf)

Zur Startseite