Zmienia się krajobraz ataków w internecie

[KopalniaWiedzy.pl 317]

Raport Akamai za II kwartał bieżącego roku pokazuje znaczące zmiany w rozkładzie geograficznym przeprowadzanych ataków internetowych oraz w wykorzystywanych portach. Akamai to jedna z największych na świecie firm zajmujących się przechowywaniem danych i zarządzaniem ruchem. Jedna z nielicznych, która ma swoją infrastrukturę na całym świecie. Akamai zarządza 20% ruchu internetowego, ma 95 000 serwerów, które znajdują się w 71 krajach i są włączone do 950 sieci.

Z najnowszego "State of the Internet" dowiadujemy się, że gwałtownie wzrosła liczba ataków przeprowadzanych z terenu Indonezji. Zmiana jest tak duża, że Chiny utraciły zajmowaną od dawna pierwszą pozycję na liście krajów, w których rozpoczynane są ataki. Obecnie w Indonezji rozpoczyna się aż 38% ataków. Jeszcze w I kwartale było to 21%. Odsetek ataków rozpoczynanych w Chinach spadł nieznacznie z 34% w I kwartale do 33% w drugim kwartale. Na trzecim miejscu znajdują się USA, gdzie odsetek ataków ciągle spada i wynosi obecnie 6,9% (kwartał wcześniej - 8,3%). Oczywiście należy tutaj zanaczyć, że Akamai jest w stanie zidentyfikować IP sieci, z której pochodzi atak, zatem ataki przeprowadzane z Indonezji nie oznaczają, że sprawcami są Indonezyjczycy.

Na kolejnych miejscach niechlubnej listy znajdziemy Tajwan (2,5%), Turcję (2,4%), Indie (2,0%), Rosję (1,7%), Brazylię (1,4%), Rumunię (1,0%) oraz Koreę Południową (0,9%). W sumie 10 krajów, z których przeprowadzana jest największa liczba ataków odpowiada za 89% ataków. W pierwszym kwartale odsetek ten wynosił 82%. Widoczny jest znaczący skok udziałów Azji. Już 79% ataków przeprowadzanych jest z sieci położonych na tym kontynencie. We wcześniejszym kwartale było to 56%.

Widoczna jest też zmiana w portach TCP wykorzystywanych podczas ataków. Jeszcze w pierwszym kwartale aż 23% ruchu generowanego podczas ataków pochodziło z portów opisanych przez Akamai jako Microsoft-DS, czyli z TPC i UDP 445. Obecnie odsetek ruchu na tych portach spadł do 15%.  Znacząco wzrósł za to ruch na portach wykorzystywanych przez protokoły HTTP (port 80) i HTTPS (port 443). W tym pierwszym przypadku udział w ruchu wynosi już 24% (wzrost z 14%), a w drugim - 17% (wzrost z 11%). Na kolejnych miejscach znajdziemy port 1433 (MS SQL Server) z udziałem 9,5%, port 3389 (MS Terminal Services) 4,7%, port 23 (Telnet) 3,9%, port 3306 (MySQL) 2,8%, port 22 (SSH) 1,9%, port 6666 (IRCU) 1,7% oraz 8080 (HTTP Alternate) 1,4%.

W raporcie zwrócono też szczególną uwagę na znaczący wzrost liczby szeroko zakrojonych ataków DDoS. Większość z nch rozpoczyna się w obu Amerykach, a 75% ofiar tego typu ataków to witryny przedsiębiorstw oraz sklepów.