Angrep på høybåndsbredden er mer vanlig, sier sikkerhetsfirma

Distribuert avslag på tjenesten (DDoS) med en gjennomsnittlig båndbredde av over 20 GB har blitt vanlig i år, ifølge forskere fra DDoS-reduksjonsleverandøren Prolexic.

Dette er viktig fordi svært få bedrifter eller organisasjoner har den nødvendige nettverksinfrastrukturen for å håndtere slike angrep. Det kan være noen selskaper med populære nettsteder som Google eller Facebook som kan håndtere slike overføringer med høy båndbredde, men de fleste selskaper er ikke, ifølge Stuart Scholly, Prolexics president.

I fjor var slike båndbreddeangrep isolert Hendelser, men angrep som overstiger 20 Gbps i båndbredde, forekommer ofte nå, sa Scholly tirsdag.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Prolexic planlegger å oppgradere kapasiteten til sin egen skybaserte DDoS-reduksjon infrastruktur for å holde tritt med det økende volumet av båndbreddeangrep, sa han.

Selskapet lanserte sin globale DDoS-angrepsrapport for tredje kvartal 2012 på onsdag. Ifølge rapporten har det vært en økning på 88 prosent i det totale antall angrep i forhold til samme periode i fjor. Men i forhold til andre kvartal i 2012 falt antall angrep med 14 prosent. Den gjennomsnittlige angrepsbåndbredden i tredje kvartal 2012 var 4,9Gbps, noe som representerer en økning på 230 prosent i forhold til året før, og en økning på 11 prosent sammenlignet med foregående kvartal.

Gjennomsnittlig angrepstid i tredje kvartal i år var 19 timer, litt lenger enn i andre kvartal.

Flertallet av angrep - over 81 prosent - Målrettet infrastrukturlaget, mens 18,6% av angrepene gjaldt applikasjonslaget, protokoller som brukes av bestemte applikasjoner.

De tre øverste landene der DDoS-angrepene stammer, var Kina med 35 prosent av angrepene, USA med 28 prosent og India med 8 prosent.

I tilfelle DDoS-angrep med høy båndbredde er det observert en endring i angrepstaktikk, sa Scholly. I stedet for å bruke botnets av kompromitterte personlige datamaskiner, blir slike angrep lansert fra botnets av kompromitterte servere. Angrepene får tilgang til slike servere ved å utnytte sårbarheter i utdaterte webprogrammer og installere PHP-baserte DDoS-verktøy.

Verktøykasser som er solgt

En verktøykasse som nylig har blitt brukt til å starte angrep på høy båndbredde mot flere finansinstitusjoner i United Stater, så vel som selskaper fra andre bransjer, er kjent som "itsoknoproblembro." Det er ikke klart om dette verktøysettet er solgt på det underjordiske markedet, men bevis tyder på at det blir stadig forbedret og brukes av flere grupper av angripere, sa Scholly. Attackers trenger ikke administrativ (root) tilgang til en kompromittert server for å installere verktøyet og starte angrep med det, sa Scholly.

"Itsoknoproblembro" lar angriperne reagere raskere på eventuelle forsvar de kan støte på og modifisere angrepet strategi. Det skyldes at de kan sende kommandoer til servere som er smittet med verktøysettet nesten umiddelbart, mens i tilfelle av tradisjonelle botnetter må de vente på at botklientene regelmessig skal hente nye instruksjoner fra en kommando- og kontrollserver.

Oppryddingstiltak for infeksjoner med "itsoknoproblembro" er vanskelige på grunn av utdaterte applikasjoner og uerfarne serveradministratorer, sa Prolexic i rapporten. Selskapet planlegger å frigjøre en offentlig rådgivning som vil inneholde fingeravtrykkede signaturer for DDoS-angrepsvarianter støttet av "itsoknoproblembro" verktøykasse som vil hjelpe andre til å oppdage og redusere slike angrep.