Het meest recente Gcore Radar-rapport en de nasleep ervan hebben een dramatische toename van DDoS-aanvallen in meerdere sectoren benadrukt. Begin 2023 bedroeg de gemiddelde aanvalssterkte 800 Gbps, maar nu is zelfs een piek van meer dan 1,5 Tbps niet verrassend. Om de verdediging van Gcore te doorbreken, ondernamen de daders twee pogingen met twee verschillende strategieën. Lees verder om te ontdekken wat er is gebeurd en ontdek hoe de beveiligingsprovider de aanvallers tegenhield zonder de ervaringen van eindgebruikers te beïnvloeden.
Een krachtige DDoS-aanval
In november 2023 werd een van Gcore’s klanten uit de game-industrie het doelwit van twee enorme DDoS-aanvallen, met een piek van respectievelijk 1,1 en 1,6 Tbps. De aanvallers gebruikten verschillende technieken in een mislukte poging om de beveiligingsmechanismen van Gcore in gevaar te brengen.
Aanval #1: 1,1 Tbps UDP-gebaseerde DDoS
Bij de eerste cyberaanval stuurden de aanvallers een spervuur van UDP-verkeer naar een doelserver, met een piek van 1,1 Tbps. Er werden twee methoden gebruikt:
- Door het gebruiken van willekeurige UDP-bronpoortenhoopten ze conventionele filtermechanismen te omzeilen.
- De aanvallers verborgen hun echte identiteit door het vervalsen van bron-IP-adressen.
Dit was een klassieke overstromingsaanval (of volumetrische aanval), waarbij de aanvallers hoopten alle beschikbare bandbreedte van of naar een datacenter of netwerk te verbruiken, waardoor de doelservers met verkeer werden overspoeld en ze niet meer beschikbaar waren voor legitieme gebruikers.
De onderstaande grafiek toont het verkeer van klanten tijdens de aanval. De piek van 1,1 Tbps laat een agressieve maar kortstondige poging zien om het netwerk te overspoelen met data. De groene lijn (“total.general.input”) toont al het inkomende verkeer. De andere gekleurde lijnen in de grafiek vertegenwoordigen de reacties van het netwerk, inclusief maatregelen om kwaadaardig verkeer te filteren en te verwijderen, terwijl het systeem de stortvloed aan gegevens beheert.
Aanval #2: 1,6 Tbps TCP-gebaseerde DDoS
Deze keer probeerden de aanvallers het TCP-protocol te misbruiken met een combinatie van SYN flood-, PSH- en ACK-verkeer.
Bij een SYN-flood-aanval worden verschillende SYN-pakketten zonder ACK-pakketten afgeleverd bij de doelserver. Dit betekent dat de server voor elk SYN-pakket een halfopen verbinding genereert. Als dit lukt, zal de server uiteindelijk geen bronnen meer hebben en geen verbindingen meer accepteren.
De PSH-, ACK-fase van de aanval verzendt snel gegevens naar het doelsysteem. De ACK-vlag geeft aan dat de server het vorige pakket heeft ontvangen. Dit dwingt het systeem ertoe om gegevens snel te verwerken, waardoor middelen worden verspild. Een SYN-flood-aanval met behulp van PSH-, ACK-pakketten is moeilijker te verdedigen dan een SYN-flood, omdat de PSH-vlag ervoor zorgt dat de server de pakketinhoud onmiddellijk verwerkt, waardoor meer bronnen worden verbruikt.
Net als voorheen was het doel om de servers van de klant te overbelasten en hun diensten ontoegankelijk te maken voor geautoriseerde gebruikers. Deze SYN-overstroming had een piekvolume van 685,77 Mbps en de PSH, ACK had een omvang van 906,73 Mbps.
De defensieve strategieën van Gcore
De DDoS-bescherming van Gcore neutraliseerde beide aanvallen effectief, terwijl de reguliere dienstverlening voor de eindgebruikers van de klant behouden bleef. De algemene aanpak voor het afweren van DDoS-beveiligingsbedreigingen omvat verschillende technieken, zoals de frontlinieverdediging van Gcore:
- Dynamische verkeersvorming: Dynamisch aangepaste verkeerssnelheden verzachten effectief de impact van de aanval en garanderen tegelijkertijd de continuïteit van kritieke services. Om echt verkeer voorrang te geven en tegelijkertijd schadelijke transmissies te vertragen, worden adaptieve drempels en snelheidsbeperkingen gebruikt.
- Anomaliedetectie en quarantaine: Modellen gebaseerd op machine learning analyseren gedrag om afwijkingen te identificeren. Wanneer er zich een afwijking voordoet, leiden geautomatiseerde quarantainemechanismen foutief verkeer om naar geïsoleerde segmenten voor aanvullende analyse.
- Reguliere expressiefilters: Om kwaadaardige payloads te blokkeren zonder het legitieme verkeer te verstoren, zijn op reguliere expressies gebaseerde filterregels geïmplementeerd. Hun voortdurende verfijning zorgt voor optimale bescherming zonder valse positieven.
- Collaboratieve dreigingsinformatie: Gcore houdt zich actief bezig met de uitwisseling van informatie over dreigingen met branchegenoten. Collectieve inzichten en realtime bedreigingsfeeds vormen de leidraad voor de beveiligingstechnieken van Gcore, waardoor een snelle reactie op zich ontwikkelende aanvalsvectoren mogelijk is.
Door deze strategieën toe te passen, kon Gcore de impact van DDoS-aanvallen effectief beperken en het platform van hun klanten beschermen tegen verstoring, waardoor potentiële reputatie- en financiële verliezen teniet werden gedaan.
Conclusie
DDoS-aanvallen met een volume van meer dan 1,5 Tbps vormen een toenemend gevaar in alle sectoren, waarbij aanvallers fantasierijke technieken gebruiken om beveiligingsdiensten te omzeilen. In de loop van 2023 heeft Gcore stijgingen geregistreerd in zowel het gemiddelde als het maximale aanvalsvolume, en deze twee onderling verbonden aanvallen laten die trend zien.
Bij de aanvallen die in het artikel worden behandeld, kon Gcore schade voorkomen door een combinatie van dynamische verkeersvorming, detectie van afwijkingen, reguliere expressiefilters en collaboratieve dreigingsinformatie. Ontdek DDoS-beveiligingsopties om uw netwerk te beveiligen tegen de steeds evoluerende DDoS-bedreigingen.
