DDoS-Report 2021: Multivektorangriffe und Carpet Bombing

Laut DDoS-Report 2021 von Link11 ist die Anzahl der im eigenen Netzwerk gemessenen DDoS-Attacken gegenüber dem Vorjahr um 41 Prozent. Vor dem Hintergrund der Ereignisse im Ukraine-Konflikt ist damit zu rechnen, dass Cyberattacken auch als Mittel der asymmetrischen Kriegsführung weiter zunehmen werden. Schwerpunktartig sorgen dabei DDoS-Angriffe für den Ausfall von komplexen IT-Infrastrukturen beispielsweise bei Behörden oder Finanzinstituten zum Ziel der Sabotage und Verunsicherung.

„Nicht nur die Anzahl der DDoS-Attacken steigt, zunehmend verändert sich auch deren DNA. Die Komplexität steigt, neue Angriffsvektoren und Methoden wie das „Carpet Bombing“ etablieren sich. Umso wichtiger sind höchste Präzision und Geschwindigkeit in der Erkennung und Abwehr der Angriffe”, sagt Marc Wilczek, Geschäftsführer von Link11.

Angriffsbandbreite bis zu 1 Terabyte pro Sekunde

Auch die Angriffsbandbreiten haben beständig zugenommen. Die höchste im Link11-Netzwerk gemessene Bandbreite lag über 1 Terabytes pro Sekunde (Tbps) und summierte sich in knapp zwei Stunden auf über 4,5 Tbps Volumen. Zahlreiche weitere Hochvolumen-Attacken gab es besonders in der zweiten Jahreshälfte 2021. Die durchschnittliche Höchst-Angriffsbandbreite in 2021 lag demnach bei 437 Gbps gegenüber 161 Gbps in 2020. Dagegen ist die mittlere Gesamtbandbreite von 1,5 auf 1,4 Gbps aufgrund der Zunahme des sog. „Carpet-Bombings“ gesunken. Verantwortlich für die Zunahme der Hochvolumen-Attacken war unter anderem das neue und massive Botnet Meris, das selbst sehr robuste Netzwerke durch eine große Anzahl von Anfragen pro Sekunde (RPS) nachhaltig stören kann.

Darüber hinaus wurden 71 Prozent aller Angriffe als Multivektor identifiziert. Das heißt, dass die Täter mehrere Zugangswege und Methoden nutzten. Je mehr Schwachstellen und Protokolle die Angreifer nutzen, umso schwieriger ist die Angriffserkennung und Abwehr, womit die Erfolgswahrscheinlichkeit für Angreifer steigt. Denn es handelt sich um verschiedene, synchron ablaufende Attacken, die einzeln identifiziert werden müssen. Im Jahr 2020 hatte der Anteil von Multivektor-Angriffen noch bei 59 Prozent gelegen. „Multivektor-Angriffe zu bekämpfen, gleicht dem Kampf gegen die Hydra: Entschärft man einen Vektor, wird dieser durch zwei Neue ersetzt“, sagt Jag Bains, VP Solution Engineering bei Link11.

Zusätzlich lässt sich eine Zunahme des “Carpet Bombings” feststellen. Dabei handelt es sich um konzertierte Überflutungen von Systemen mit einzelnen Nadelstichen. Bei diesen technisch sehr komplexen Angriffen ist der Datenverkehr pro IP-Adresse im Gegensatz zu den Hochvolumen-Attacken so gering, dass viele Schutzlösungen sie nicht als Anomalie erkennen. Die Angriffe unterwandern das Radar und sind schwer zu entschärfen.