Hantering av högbandbreddförnekande är vanligare, säkerhetsföretag säger

Fördelade avslag (DDoS) -attacker med en genomsnittlig bandbredd av över 20 Gbps har blivit vanliga i år, enligt forskare från DDoS mitigation leverantör Prolexic.

Detta är viktigt eftersom väldigt få företag eller organisationer har den nödvändiga nätverksinfrastrukturen för att hantera sådana attacker. Det kan finnas några företag med populära webbplatser som Google eller Facebook som kan hantera sådana översvämningar med hög bandbredd, men de flesta företagen är inte, enligt Stuart Scholly, Prolexics president.

Förra året var sådana bandbreddsattacker isolerade incidenter, men attacker som överstiger 20 GB i bandbredd förekommer ofta nu, sa Scholly tisdag.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Prolexic planerar att uppgradera kapaciteten hos sin egen molnbaserade DDoS-reduktion infrastruktur för att hålla tak i den ökande volymen av högbandbreddattacker, sa han.

Företaget släppte sin globala DDoS-angreppsrapport för tredje kvartalet 2012 på onsdagen. Enligt rapporten har det skett en ökning med 88 procent av det totala antalet attacker jämfört med samma period föregående år. I jämförelse med andra kvartalet 2012 minskade antalet attacker dock med 14 procent.

Den genomsnittliga attackbandbredden under tredje kvartalet 2012 var 4,9Gbps, vilket motsvarar en ökning med 230 procent jämfört med ett år tidigare, och en ökning med 11 procent jämfört med föregående kvartal.

Den genomsnittliga anfallstiden under tredje kvartalet i år var 19 timmar, något längre än under andra kvartalet.

Majoriteten av attackerna - över 81 procent - riktad mot infrastrukturlagret, medan 18,6% av attackerna riktades mot applikationslagret, protokoll som användes av specifika applikationer.

De tre länderna där DDoS-attacker härstammar var Kina med 35 procent av attacker, USA med 28 procent och Indien med 8 procent.

Vid DDoS-attacker med hög bandbredd har en förändring i attacker taktik observerats, sa Scholly. I stället för att använda botnät av kompromissade persondatorer, lanseras sådana attacker från botnät av kompromissade servrar. Anfallarna får tillgång till sådana servrar genom att utnyttja sårbarheter i föråldrade webbapplikationer och installera PHP-baserade DDoS-verktyg.

Verktygslåda som säljs

En verktygssats som nyligen har använts för att starta attacker mot högbandbredd mot flera finansiella institutioner i Förenade kungariket Stater, liksom företag från andra industrisektorer, kallas "itoknoproblembro". Det är inte klart om det här verktyget säljs på den underjordiska marknaden, men bevis tyder på att det ständigt förbättras och används av flera grupper av angripare, sade Scholly. Attackers behöver inte administrativ (root) åtkomst till en kompromitterad server för att kunna installera verktyget och starta attacker med det, sade Scholly.

"Itsoknoproblembro" tillåter angripare att reagera snabbare mot eventuella försvar som de kan stöta på och modifiera deras attack strategi. Det beror på att de kan skicka kommandon till servrar smittade med verktygslådan nästan omedelbart, medan de i traditionella botnät måste vänta på att klientklienterna regelbundet hämtar nya instruktioner från en kommando- och kontrollservern.

Rengöringsansträngningar för infektioner med "itoknoproblembro" är svåra på grund av föråldrade applikationer och oerfarna serveradministratörer, sade Prolexic i sin rapport. Företaget planerar att släppa en offentlig rådgivning som innehåller fingeravtryckta signaturer för DDoS-attackvarianter som stöds av "itoknoproblembro" verktygsverktyget som hjälper andra att upptäcka och mildra sådana attacker.