Arbor Networks, la división de seguridad de NETSCOUT, ha publicado hoy los datos mundiales sobre ataques DDoS correspondientes a los primeros seis meses de 2016, que muestran un aumento continuo tanto en el tamaño como en la frecuencia de los ataques.
Los datos de Arbor se recopilan a través de ATLAS™, una colaboración con más de 330 proveedores de servicios que comparten datos anónimos de tráfico con Arbor para ofrecer una visión agregada completa del tráfico global y las amenazas. ATLAS proporciona datos para el Mapa de Ataques Digitales, una visualización del tráfico de ataques global creada en colaboración con Google Ideas. Los datos de ATLAS también se han utilizado recientemente en el Informe del Índice de Redes Digitales de Cisco y en el Informe de Incidentes de Brecha de Datos de Verizon.
ACTIVIDAD GLOBAL DE DDoS
Los ataques DDoS siguen siendo una táctica frecuente en la actualidad, con herramientas gratuitas y servicios en línea de bajo coste fácilmente disponibles que permiten a cualquiera con una queja y una conexión a internet lanzar un ataque. Esto ha provocado un aumento tanto en la frecuencia como en el tamaño y la complejidad de los ataques en los últimos años.
- ATLAS registró una media de 124.000 eventos por semana en los últimos 18 meses.
- Un aumento del 73% en el tamaño máximo de los ataques en comparación con 2015, que alcanzó los 579 Gbps.
- Se detectaron 274 ataques superiores a 100 Gbps en la primera mitad de 2016, frente a los 223 registrados en todo 2015.
- Se detectaron 46 ataques superiores a 200 Gbps en la primera mitad de 2016, frente a los 16 registrados en todo 2015.
- Estados Unidos, Francia y Gran Bretaña son los principales objetivos de los ataques superiores a 10 Gbps.
El equipo de Ingeniería e Investigación de Seguridad de Arbor (ASERT) demostró recientemente que los grandes ataques DDoS no requieren el uso de técnicas de reflexión/amplificación. LizardStresser, una botnet IoT, se usó para lanzar ataques que alcanzaron los 400 Gbps dirigidos a sitios de juegos de todo el mundo, instituciones financieras brasileñas, ISP e instituciones gubernamentales. Según ASERT, los paquetes de ataque no parecen provenir de direcciones de origen falsificadas, y no se utilizó ningún tipo de protocolo UDP con amplificación como NTP o SNMP.
CUANDO LA MEDIA ES UN PROBLEMA
Un ataque DDoS de 1 Gbps es suficiente para desconectar a la mayoría de las organizaciones.
- El tamaño medio de los ataques en la primera mitad de 2016 fue de 986 Mbps, lo que supone un aumento del 30% respecto a 2015.
- Para finales de 2016, se prevé un tamaño medio de ataque de 1,15 Gbps.
“Los datos demuestran la necesidad de sistemas de defensa contra ataques DDoS híbridos o multinivel”, dijo Darren Anstee, Director de Tecnología de Seguridad de Arbor Networks. “Los ataques de gran ancho de banda solo pueden mitigarse en la nube, lejos de los objetivos previstos. Sin embargo, a pesar del fuerte crecimiento de los ataques más importantes, el 80% de ellos sigue siendo inferior a 1 Gbps y el 90% dura menos de una hora. La protección local garantiza la rapidez de respuesta necesaria y es clave contra los ataques de nivel de aplicación «low and slow» y los ataques de agotamiento de estado dirigidos a infraestructuras como firewalls e IPS.”
UN TIEMPO PARA LA REFLEXIÓN
La reflexión/amplificación es una técnica que permite a los atacantes tanto ampliar la cantidad de tráfico generado como ofuscar la fuente original de ese tráfico de ataque. En consecuencia, la mayoría de los grandes ataques recientes utilizan esta técnica a través de servidores DNS, Protocolo de Tiempo de Red (NTP), Chargen y Protocolo de Detección de Servicios Simples (SSDP). Como resultado, en la primera mitad de 2016:
- DNS es el protocolo más utilizado en 2016, habiendo sustituido a NTP y SSDP en 2015.
- El tamaño medio de los ataques de reflexión/amplificación DNS está creciendo considerablemente.
- El tamaño máximo de los ataques de reflexión/amplificación detectados en 2016 fue de 480 Gbps (DNS).
Sé el primero en comentar