TDC DDoS trusselsrapport for 2017

Relaterede dokumenter
TDC DDoS trusselsrapport for 2016

Produktspecifikationer Anti DDOS Version 1.2. Anti DDOS. Side 1 af 8

Historiske benzin- og dieselpriser 2011

Den grønlandske varmestue Naapiffik Statistik

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012

Undgå DNS Amplification attacks

Faxe, indbrud. Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec. SSJÆ, indbrud. Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec.

Dansk Energi F:\Statistikdata\Uddata\Energipriser\Elpris-sammensætning-måned-4000kWh.xlsx/Elpris4000 Side 1 af 12

Opbygning af firewall regler. Overvejelser med mere

1 Kalenderen. 1.1 Oversigt over de til årstallene hørende søjlenumre

Dansk Energi F:\Statistikdata\Uddata\Energipriser\Elpris-sammensætning-måned-4000kWh.xlsx/Elpris Side 1 af 6

Produktspecifikationer Hosted Firewall Version 2.5

Departementet for Erhverv, Arbejdsmarked og Handel 17. juni Køn og beskæftigelse i en økonomi i forandring

Reducér risikoen for falske mails

Det strategiske perspektiv


Nr. 2 - Januar Detailmarkedsrapport. Dok. 15/

Modtagere af integrationsydelse

Tidsplan Allindelille Skee, 2015 Dato: 7. april 2015

Medlemsudvikling i a-kasserne

30. mar apr :00 Boldopsamling 16:00 Junior 17:30 Fri Elite

Bypassing ISP and Enterprise Anti-DDoS with 90 s technology

OPFØLGNING PÅ BESKÆFTIGELSESINDSATSEN I LANGELAND KOMMUNE

Situationsbillede af sikkerhedstilstanden på internettet. April Center for Cybersikkerhed

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Reglerne om afholdelse af samtaler for forsikrede ledige Antallet af afholdte CV-samtaler i a-kasserne

MEDLEMSSTATISTIK. Indhold. November Emne: Nøgletal Radiografer. Frekvens: Månedlig.

Nyuddannedes ledighed

DataHub Markedsrapport

MEDLEMSSTATISTIK. Indhold. Juni Emne: Nøgletal Ergoterapeuter. Frekvens: Månedlig.

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

DDPS. DeiC DDoS Prevention System

SKAL VI OGSÅ FORSYNE JERES EJENDOM MED BESPARELSER?

Transkript:

TDC DDoS trusselsrapport for Udarbejdet af TDC Security Operations Center

2 DDoS TRUSSELSRAPPORT TDC 3 Indhold Resumé...3 Statistikgrundlag...3 TDC Security Operations Center (SOC)...4 Angrebsstørrelse...6 Angrebsvarighed...8 Angrebsfrekvens...10 Angrebstyper...12 Bilag A. TDC s produkter til beskyttelse mod DDoS-angreb...16 TDC DoS Protection TDC DoS Protection Always On Bilag B. De mest almindelige DDoS-angrebstyper...17 TCP SYN flood ICMP flood UDP flood Amplification-angreb Velkommen til den fjerde udgave af TDC Group s rapport om DDoS-trusselsbilledet set fra et TDC-perspektiv. Rapporten er baseret på informationer om de angreb, som er registreret i TDC s net i rettet mod danske og norske kunder, der er beskyttet med TDC DoS Protection-produktet 1. Resume I faldt den gennemsnitlige størrelse på de DDoSangreb, som var rettet mod TDC DoS Protection-kunderne. Den gennemsnitlige angrebsstørrelse faldt fra 4,5 Gbit/s i til 2,8 Gbit/s i. Det er samtidig værd at notere, at der ikke har været markante udsving i den gennemsnitlige angrebsstørrelse i perioden -. Den gennemsnitlige angrebsstørrelse har i perioden ligget i intervallet 2,8-4,5 Gbit/s. Det største angreb set mod en TDC DoS Protection-kunde i var 18 Gbit/s (: 64 Gbit/s). Det største angreb i det hele taget mod en ip-adresse i TDC s net var på 185 Gbit/s (: 230 Gbit/s). Antallet af angreb over 1 Gbit/s faldt fra 66% i til 57% i. Antallet af angreb over 10 Gbit/s faldt fra 7% i til 5% i. I gennemsnit varede et angreb 31 minutter i. 88% af alle angreb varede under en time, og 56% af alle angreb varede under 15 minutter. Her skal det bemærkes, at kunderne typisk angribes af flere kortvarige angreb med mindre pauser imellem. Derfor har kunderne den oplevelse, at et DDoS-angreb er væsentligt længere, end disse tal angiver. Traditionelle UDP flood-angreb var i den hyppigste angrebstype overhovedet med 32% af alle angreb (: 5%). Ved et traditionelt UDP flood-angreb skal forstås et UDPbaseret oversvømmelsesangreb, hvor trafikken ikke sendes via åbne servere på nettet for at få forstærket angrebet. Når angrebstrafikken sendes via åbne servere på nettet for at få forstærket angrebet, er der tale om et såkaldt amplification-angreb. I var NTP amplification-angreb den hyppigste amplification-angrebstype. I udgjorde denne angrebstype 23% af alle angreb (: 8%). Statistikgrundlag Rapportens indhold er baseret på analyse af et tre-cifret antal DDoS-angreb, som er blevet bekæmpet af TDC s Security Operations Center (SOC) med TDC DoS Protectionproduktet. Kunderne på dette produkt kommer fra alle markedssegmenter, hvilket bl.a. betyder, at der både er tale om offentlige og private erhvervskunder. Som skrevet ovenfor består mange DDoS-angreb af flere kortvarige angreb med pauser imellem. Hvert af disse kortvarige angreb er i statistikken opgjort som et enkeltstående angreb. Antallet af oversvømmelsesangreb steg fra 79% i til 82% i. Oversvømmelsesangreb er der, hvor internetforbindelsen hos målet fyldes op, så reel trafik ikke kan komme igennem. 1 Se Bilag A. TDC s produkter til beskyttelse mod DDoS-angreb for produktbeskrivelse

4 DDoS TRUSSELSRAPPORT TDC 5 TDC Security Operations Center (SOC) TDC Security Operations Center er en 24/7 enhed, der beskytter både TDC Group og TDC Group s kunder mod cybertrusler og -angreb. Fakta om TDC SOC: Operationel enhed Overvågningscenteret er placeret i København Leverer 24/7/365 beredskab Dækker bl.a. følgende arbejdsområder: o Analyse o Forensics o Threat og vulnerability management o Threat intelligence o Incident response o Anti-abuse Er autoriseret til at anvende den anerkendte varemærkebeskyttede CERT-titel Er akkrediteret af Trusted Introducer, som står bag et samarbejdsforum for europæiske CERT/CSIRT incident response teams Understøtter TDC Erhvervs Managed Security Services Helt centralt for TDC SOCs virke er anvendelse af intelligence feeds fra bl.a. følgende kilder: Malware analyse TDC s honeynet TDC core infrastruktur TDC sikkerhedsprodukter Nationale og internationale samarbejdsfora 3. parts feeds (både open source og kommercielle)

6 DDoS TRUSSELSRAPPORT TDC 7 Det største DDoS-angreb og udviklingen fra til fremgår af figuren nedenfor. Angrebsstørrelse Største angreb (Gbit/s) DDoS-angrebenes gennemsnitlige størrelse og udviklingen fra til fremgår af figuren nedenfor. 70 60 Gennemsnitlig angrebsstørrelse (Gbit/s) 50 40 5.0 30 4.5 20 4.0 10 3.5 0 3.0 2.5 2.0 Det største angreb i mod en TDC DoS Protection kunde var på 18 Gbit/s (: 64 Gbit/s). Det største angreb i det hele taget mod en ip-adresse i TDC s net var i på 185 Gbit/s (: 230 Gbit/s). I blev der alt i alt registreret 8 angreb over 100 Gbit/s mod en ip-adresse i TDC s net (: 33 angreb). 1.5 1.0 0.5 Fordelingen af DDoS-angrebenes størrelse og udviklingen fra til fremgår af figuren nedenfor. 0.0 Den gennemsnitlige angrebsstørrelse var i : 2,8 Gbit/s (: 4,5 Gbit/s). Det er værd at notere, at der ikke har været markante udsving i den gennemsnitlige angrebsstørrelse i perioden -. Den gennemsnitlige angrebsstørrelse har i perioden ligget i intervallet 2,8-4,5 Gbit/s. Fordeling af angrebsstørrelse 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 57% af alle angreb var i på minimum 1 Gbit/s (: 66%). 21% af alle angreb var i på minimum 5 Gbit/s (: 29%). 5% af alle angreb var i på minimum 10 Gbit/s (: 7%).

8 DDoS TRUSSELSRAPPORT TDC 9 Angrebsvarighed DDoS-angrebenes varighed og udviklingen fra til fremgår af figuren nedenfor. Fordeling af angrebsvarighed 60% 55% 50% 45% 40% 35% 30% 25% DDoS-angrebenes gennemsnitlige varighed og udviklingen fra til fremgår af figuren nedenfor. 20% 15% 10% Gennemsnitlig angrebsvarighed (minutter) 5% 0% < 15 min. 15-30 min. 30-60 min. 1-2 timer Mange DDoS-angreb består af flere korte angreb med pauser imellem. 56% af alle angreb i varede mindre end 15 min (: 43%). 88% af alle angreb i varede mindre end en 1 time (: 87%). Det længste angreb i varede 17 timer og 6 min (: 9 t og 14 min). 2-3 timer 3-24 timer 45 40 35 30 25 20 15 10 5 0 I var den gennemsnitlige angrebsvarighed 31 min (: 36 min). Det er værd at notere, at der ikke har været markante udsving i den gennemsnitlige angrebsvarighed i perioden -. Den gennemsnitlige angrebsvarighed har i perioden ligget i intervallet 31-41 min.

10 DDoS TRUSSELSRAPPORT TDC 11 Angrebsfrekvens Det gennemsnitlige antal angreb pr. TDC DoS Protection-kunde og udviklingen fra til fremgår af figuren nedenfor. Angrebsfrekvens pr. kunde 4.0 3.5 3.0 2.5 2.0 1.5 Nedenstående figur viser antallet af angreb fordelt pr. måned i (indekseret ift. indeks 100, som er gennemsnittet for en måned i ) mod kunder med TDC DoS Protection. 1.0 0.5 0.0 Angreb pr. måned i (index 100) 350 En TDC DoS Protection-kunde blev i gennemsnit udsat for 2,0 angreb i (: 2,5 angreb). Det gennemsnitlige antal angreb pr. kunde i er det laveste i perioden -. Det er værd at notere, at der ikke har været markante udsving i det gennemsnitlige antal angreb pr. kunde i perioden -. Det gennemsnitlige antal angreb pr. kunde har ligget i intervallet 2,0-3,7 i perioden. 300 250 200 150 100 50 0 Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec

12 DDoS TRUSSELSRAPPORT TDC 13 Angrebstyper Stort set alle DDoS-angreb set i kan placeres i en af følgende to hovedkategorier: 1) Et oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes 2) Et connection-angreb, hvor det er connection-tabellen i fx en firewall eller en web-server, som angribes. I figuren nedenfor kan man se en mere detaljeret opdeling af de forskellige angrebstyper i. I figuren nedenfor kan man se fordelingen mellem angreb i disse to hovedkategorier og udviklingen fra til. Angrebstyper, connection- vs. oversvømmelsesangreb Angrebstyper i 90% 80% 70% 60% 50% TCP ACK Flood 1% Sentinel amplification 0% SSDP amplification 2% SNMP amplification 1% NTP amplification 23% LDAP amplification 0% STEAM amplification 0% RIP reflection 1% TCP Reset 2% UDP flood 32% 40% 30% 20% 10% 0% Connection-angreb Oversvømmelsesangreb CharGen amplification 4% ICMP flood 0% I var 82% af alle angreb oversvømmelsesangreb (UDP flood 2, ICMP flood 2 og diverse amplification-angreb 2 ) (: 79%). 18% af alle angreb i var et connection-angreb (TCP SYN flood 2 ). (: 21%). DNS amplification 19% TCP SYN flood 15% UDP flood-angreb (excl. UDP-baserede amplification-angreb) var i den hyppigste angrebstype med 32% af alle angreb (: 5%). I var NTP amplification-angreb den hyppigste amplification-angrebstype. I udgjorde denne angrebstype 23% af alle angreb (: 8%). I var DNS amplification-angreb den hyppigste angrebstype. I udgjorde denne angrebstype kun 19% af alle angreb (: 40%). I udgjorde amplification-angreb 48% af alle angreb (: 71%). I udgjorde amplification-angreb 57% af alle oversvømmelsesangreb (: 90%). Multivektor-angreb udgjorde i 7% af alle angreb (: 7%). 2 Se Bilag B. De mest almindelige DDoS-angrebstyper for forklaring

14 DDoS TRUSSELSRAPPORT TDC Som nævnt ovenfor var UDP-angreb (excl. amplification angreb) i den hyppigste angrebstype med 32% af alle angreb. Udviklingen i UDP-angreb (i % ift. alle DDoS-angreb) fra til fremgår af figuren nedenfor. UDP flood-angreb - 35% 30% 25% 20% 15% Som ligeledes nævnt ovenfor var NTP amplification-angreb i den hyppigste amplification angrebstype med 23% af alle angreb. Udviklingen i NTP-angreb (i % ift. alle DDoS-angreb) fra til fremgår af figuren nedenfor. 10% 5% NTP amplification-angreb - 0% 25% 20% 15% 10% 5% 0%

16 DDoS TRUSSELSRAPPORT TDC 17 Bilag Bilag Bilag A. TDC s produkter til beskyttelse mod DDoS-angreb Her er en beskrivelse af TDC s to løsninger til beskyttelse mod DDoS-angreb. TDC DoS Protection TDC DoS Protection fjerner DDoS-angreb centralt i TDC s netværk, inden det rammer kundens internetforbindelse. Produktet består af tre dele: 1) Monitorering for DDoS-angreb 2) Bekæmpelse af DDoS-angreb 3) Rapportering Med TDC DoS Protection monitorerer TDC kundens internetforbindelse døgnet rundt for DDoS-angreb. I tilfælde af et angreb udløses en alarm, som sendes til TDC s 24/7 Security Operations Center (SOC). SOC en kontakter kunden for at aftale, om angrebet skal bekæmpes. I givet fald dirigeres al trafikken til den angrebne ip-adresse via TDC s centralt placerede scrubber-bokse. TDC s scrubber-bokse fjerner den uønskede trafik og videresender den legitime trafik. TDC DoS Protection Always On TDC DoS Protection-løsningen kan suppleres med en boksløsning, TDC DoS Protection Always On, som opstilles i kundens net, og som så vil fungere som first line of defence ved DDoS-angreb. Boksløsningen har følgende fordele: Er Always on og ser al trafik på kundens linie Stor trafiksynlighed betyder bedre muligheder for at bekæmpe applikationsrettede angreb Hurtig reaktionstid ved angreb Denne boks vil automatisk kunne bekæmpe de forskellige typer af DDoS-angreb lige undtagen de store såkaldte oversvømmelsesangreb pga. boksens fysiske placering. Kommer kunden ud for et stort oversvømmelsesangreb, vil boksen derfor automatisk signalere ( råbe om hjælp ) til den centrale løsning i TDC s backbone (TDC DoS Protection) for at få umiddelbar hjælp til bekæmpelse af angrebet. Den centrale løsning vil herefter automatisk tage over mht. at bekæmpe angrebet. Bilag B. De mest almindelige DDoS-angrebstyper TCP SYN flood En kendt og meget brugt metode til at forårsage overbelastning er at udnytte three-way handshake (SYN, SYN-ACK, ACK pakkesekvensen) processen, når en TCPforbindelse skal oprettes. Angriberen sender en SYN-pakke, som offeret svarer på med en SYN-ACK pakke. Herefter forventer offeret en ACK-pakke, som dog aldrig kommer. Efter en tid timer opkaldet ud, men indtil da, er ressourcer hos offeret optaget. Hvis offeret fra fx et botnet modtager mange samtidige opkald af denne type, vil alle ressourcer hos offeret være opbrugt, og reelle forsøg på at etablere en TCPforbindelse vil blive afvist. Denne form for DDoS-angreb går under navnet TCP SYN flood og er selv i dag meget anvendt på grund af sin enkelthed. ICMP flood Et ICMP flood-angreb er et oversvømmelsesangreb, hvor typisk et botnet sender så mange ICMP Echo Request (ping) pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem. Et ICMP flood-angreb kan også overbelaste serveren, der modtager ICMP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne. UDP flood Et UDP flood-angreb er et oversvømmelsesangreb, hvor typisk et botnet sender så mange UDP-pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem. Et UDP flood-angreb kan også overbelaste serveren, der modtager UDP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne. Botnet Bot DNS amplification-angreb Amplification-angreb Ved et reflection amplification-angreb (også blot kaldet amplification-angreb) sender et botnet angrebstrafik via åbne servere (porte) på nettet for at få forstærket sit angreb. For eksempel anvendes åbne servere, der understøtter følgende UDP-baserede protokoller: DNS NTP SNMP SSDP CharGen Et DNS amplification-angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender ip-adresse mod åbne DNS-servere. DNS-serverne vil, som DNSservere altid gør, sende svaret på forespørgslerne tilbage til afsenderadressen. Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNSsvar til denne server. De åbne DNS-servere bliver altså anvendt som reflektorer ( relæmaskiner ) for angrebet, men også som forstærkere, da et DNS-svar typisk fylder meget mere end en DNSforespørgsel. DNS-server Kunden har ligeledes mulighed for selv at kontakte SOC en for at starte bekæmpelse af et DDoS-angreb. En månedsrapport sendes til kunden med oplysninger om trafikken til de beskyttede servere samt en oversigt over de udløste alarmer. I tilfælde af bekæmpelse af et angreb udarbejdes en rapport med oplysninger om angrebet, og hvordan angrebet er blevet bekæmpet. Bot Bot Forespørgsel med falsk afsender IP DNS-server Svar Angrebsmål Som alternativ til den manuelle fremgangsmåde ved et angreb, kan kunden tilvælge automitigering. Herved vil et angreb blive bekæmpet automatisk ud fra nogle forudaftalte teknikker og med en lav reaktionstid. Bot DNS-server

TDC A/S, CVR 14 77 39 08, Communication/MC 9445.1820

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback