Krebs auf Sicherheit

Am Dienstagabend, KrebsOnSecurity.com war das Ziel eines extrem großen und ungewöhnlichen Distributed Denial-of-Service (DDoS) -Angriffs, der die Site offline schalten sollte. Der Angriff war dank der harten Arbeit der Ingenieure von Akamai, dem Unternehmen, das meine Website vor solchen digitalen Belagerungen schützt, nicht erfolgreich. Aber laut Akamai war es fast doppelt so groß wie der größte Angriff, den sie zuvor gesehen hatten, und gehörte zu den größten Angriffen, die das Internet je erlebt hat.
iotstuf

Der Angriff begann um 8 Uhr ET am Sept. 20, und erste Berichte legen es bei etwa 665 Gigabit Datenverkehr pro Sekunde. Zusätzliche Analysen des Angriffsverkehrs legen nahe, dass der Angriff näher an der Größe von 620 Gbit / s lag, aber in jedem Fall ist dies um viele Größenordnungen mehr Verkehr, als normalerweise benötigt wird, um die meisten Websites offline zu schalten.Martin McKeay, Senior Security Advocate bei Akamai, sagte, der größte Angriff, den das Unternehmen zuvor gesehen hatte, sei Anfang des Jahres mit 363 Gbit / s erfolgt. Aber er sagte, es gebe einen großen Unterschied zwischen dem DDoS der letzten Nacht und dem vorherigen Rekordhalter: Es wird angenommen, dass der 363-Gpbs-Angriff von einem Botnetz kompromittierter Systeme mit bekannten Techniken generiert wurde, die es ihnen ermöglichen, einen relativ kleinen Angriff zu “verstärken” ein viel größerer.

Im Gegensatz dazu scheint der riesige Angriff in dieser Woche auf meine Website fast ausschließlich von einem sehr großen Botnetz gehackter Geräte gestartet worden zu sein.

Die größten DDoS-Angriffe, die jemals registriert wurden, sind in der Regel das Ergebnis einer bewährten Methode, die als DNS-Reflection-Angriff bekannt ist. Bei solchen Angriffen können die Täter nicht verwaltete DNS-Server im Web nutzen, um enorme Verkehrsfluten zu verursachen.

Im Idealfall stellen DNS-Server nur Dienste für Maschinen innerhalb einer vertrauenswürdigen Domäne bereit. DNS-Reflection-Angriffe basieren jedoch auf Consumer- und Business-Routern und anderen Geräten, die mit DNS-Servern ausgestattet sind, die (falsch) konfiguriert sind, um Abfragen von überall im Web zu akzeptieren. Angreifer können gefälschte DNS-Abfragen an diese sogenannten “offenen rekursiven” DNS-Server senden und die Anforderung so fälschen, dass sie aus dem Netzwerk des Ziels zu stammen scheint. Auf diese Weise antworten die DNS-Server auf die gefälschte (Ziel-) Adresse, wenn sie antworten.

Die Bösewichte können einen Reflective-Angriff auch verstärken, indem sie DNS-Abfragen so erstellen, dass die Antworten viel größer sind als die Anforderungen. Sie tun dies, indem sie eine Erweiterung des DNS-Protokolls nutzen, die große DNS-Nachrichten ermöglicht. Ein Angreifer könnte beispielsweise eine DNS-Anforderung von weniger als 100 Byte verfassen und eine 60- bis 70-mal so große Antwort auslösen. Dieser “Verstärkungseffekt” ist besonders ausgeprägt, wenn die Täter Dutzende DNS-Server mit diesen gefälschten Anfragen gleichzeitig abfragen.

Laut Akamai beruhte jedoch keine der Angriffsmethoden, die beim Angriff auf KrebsOnSecurity am Dienstagabend eingesetzt wurden, auf Verstärkung oder Reflexion. Vielmehr waren viele Webangriffsmethoden, die eine legitime Verbindung zwischen dem angreifenden Host und dem Ziel erfordern, einschließlich SYN-, GET- und POST-Floods.

Das heißt, mit Ausnahme einer Angriffsmethode: Eine vorläufige Analyse des Angriffsverkehrs legt nahe, dass der vielleicht größte Teil des Angriffs in Form von Datenverkehr erfolgte, der so aussah, als handele es sich um GRE-Datenpakete (Generic Routing Encapsulation), ein Kommunikationsprotokoll, mit dem eine direkte Punkt-zu-Punkt-Verbindung zwischen Netzwerkknoten hergestellt wird. Mit GRE können zwei Peers Daten austauschen, die sie nicht über das öffentliche Netzwerk selbst freigeben können.”So viele Angriffe von GRE zu sehen, ist wirklich ungewöhnlich”, sagte McKeay von Akamai. “Wir haben erst vor kurzem angefangen, das zu sehen, aber es in diesem Volumen zu sehen, ist sehr neu.” Weiterlesen →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.