5. November 2018 Heiko Frank *

Die fünf bekanntesten DDoS-Attacken und was wir aus ihnen lernen können

Aktuelle technologische Entwicklungen wie IoT und 5G lassen DDoS-Attacken in Zukunft noch größer werden, weshalb eine umfassende Strategie wichtiger ist als nie zuvor. [...]

Ein DDoS-Angriff kann mit einem Stau zur Rush Hour verglichen werden: Zu viel Verkehr in kurzer Zeit führt zu generellem Stillstand. (c) shutterstock.com/chuyuss
Ein DDoS-Angriff kann mit einem Stau zur Rush Hour verglichen werden: Zu viel Verkehr in kurzer Zeit führt zu generellem Stillstand. (c) shutterstock.com/chuyuss

Wenn man die momentan bedeutendsten Entwicklungen der Digitalisierung aufzählen soll, dann werden zwei Themen mit Sicherheit genannt: Das Internet of Things (IoT) und die damit einhergehende Vernetzung von alltäglichen Geräten sowie der künftige Mobilfunkstandard 5G. Während IoT Annehmlichkeiten und ein komfortables Leben durch intelligente Lösungen für Industrie und Privathaushalte ermöglicht, wird der 5G-Standard unser Verständnis von mobiler Datennutzung und Kommunikation grundlegend verändern. Dabei ist die neue Norm zur Datenübertragung noch reine Zukunftsmusik. Anders sieht es beim Internet der Dinge aus: Intelligente Haushaltsgeräte haben schon lange ihren Weg in unsere Heime gefunden.

Bei allen Vorteilen, die diese neuen Technologien mit sich bringen, wird eine der Schattenseiten dieses Fortschritts oft vergessen. Beide Entwicklungen begünstigen Distributed Denial of Service Angriffe (DDoS). Das Prinzip hinter DDoSAttacken ist bereits seit den frühesten Phasen der Informationstechnologie bekannt. Dazu muss man sich nur in Erinnerung rufen, welchen Effekt das gleichzeitige Öffnen von fünf oder mehr Programmen auf einem Rechner aus dem Jahr 2000 hatte. Die Folge war in der Regel ein eingefrorener Bildschirm und mit viel Glück eine Fehlermeldung. DDoSAttacken funktionieren nach einem ganz ähnlichen Muster. Vereinfacht gesagt wird durch eine Vielzahl an einzelnen Zugriffsversuchen die Infrastruktur von Servern an die Grenze der Belastbarkeit und darüber hinausgeführt.

Diese Art der Cyberkriminalität hat über die letzten Jahre stetig zugenommen und die Schwere, mit der diese ausgeführt wurden, richtete sich immer nach dem aktuellen Stand der Technik. Diese Entwicklung lässt sich am besten nachvollziehen, wenn man sich die fünf bekanntesten DDoSAttacken der vergangenen Jahre genauer ansieht.

Das „Who is Who“ der bekanntesten DDoS-Attacken

Eine der ersten größeren DDoSAttacken hatte große US-amerikanische Banken zum Ziel. Dabei griffen Unbekannte unter anderem die Bank of America, JP Morgan Chase, U.S. Bancorp, Citigroup und die PNC Bank an. Die Angreifer gingen dabei ziemlich phantasievoll und ausgeklügelt vor. Statt nur einen Typ von DDoS-Attacke zu nutzen, verfolgten sie mehrere unterschiedliche Strategien, um möglichst viel Schaden zu verursachen. Der Angriff erfolgte im Jahr 2012, Abwehrtechniken gegen die Angriffe waren in vielen Unternehmen bereits implementiert, allerdings meist nur gegen einen einzigen Angriffstyp. Dadurch und aufgrund des damals hohen Datenverkehrs von bis zu 60 GB pro Sekunde, der durch hunderte gekaperte Server ausgelöst wurde, war die Attacke gravierender als viele der zuvor durchgeführten DDoS-Angriffe.

Während dieser DDoS-Angriff wohl die bekanntesten Opfer traf, war die Wucht, mit der der Angriff durchgeführt wurde, noch am unteren Ende der Skala. Auch wenn die Bandbreite mit 60 GB pro Sekunde für den normalen Verbraucher utopische Züge trägt, lässt sich durchaus sagen, dass es sich dabei noch um einen eher gemäßigten Angriff handelte. Bereits wesentlich schwerwiegender war eine Attacke auf den gemeinnützigen Anbieter Spamhaus, dessen Ziel es ist, Informationen über Spammer und Distributoren von Junk zu verbreiten. Da Spamhaus bereits in der Vergangenheit oft bedroht und auch angegriffen wurde, traf sie die DDoS-Attacke im Frühjahr 2013 nicht gänzlich unvorbereitet. Womit allerdings wohl kaum jemand gerechnet hatte, war die große Datenmenge, die auf die Server wie eine Flut hereinbrach. Ausgenutzt wurde eine Schwachstelle im Network Time Protocol (NTP), einem Netzwerkprotokoll, das die Synchronisation der Uhren innerhalb eines Computernetzwerks ermöglicht. Darüber konnten die Eindringlinge die immense Datenmenge von 300 GB pro Sekunde für ihren digitalen Überfall mobilisieren. Sie nutzten eine Technik, bei der mithilfe von gefälschten Adressen der ursprünglich verfügbare Datenverkehr gespiegelt und massiv verstärkt werden kann. Als Ursprung des DDoS-Angriffs konnte wenig später ein Mitglied der niederländischen Firma Cyberbunker identifiziert werden, die kurz zuvor von Spamhaus auf ihre Liste von Spammern gesetzt worden war.

Mit bereits 400 GB pro Sekunde erfolgte dann im Jahr 2014 eine Attacke auf einen Kunden von Cloudflare, Anbieter von Content-Delivery-Netzwerken und Cybersecurity-Diensten. Wie bei dem digitalen Feldzug gegen Spamhaus basierte auch dieser Übergriff auf einer Schwachstelle in NTP-Servern und der Spiegelung von Datenverkehr. Aufgrund der verwendeten Taktik spricht man auch von Reflektionsangriffen, die besonders verheerende Auswirkungen auf die Server des Opfers haben können. Dadurch ist es auch verständlich, dass die Attacke, obwohl sie eigentlich nur einen Kunden von Cloudflare zum Ziel hatte, auch die Server des Anbieters so stark beeinträchtigte, dass das Netzwerk verlangsamt wurde.

Bei den bisher betrachteten Angriffen kristallisiert sich bereits heraus, dass die Urheber meist aus wirtschaftlichen oder politischen Gründen handeln. Durch die groß angelegten Anstürme auf Server von etwaigen Feinden sollen diese effektiv eingeschüchtert und zum Schweigen gebracht werden. Zudem soll ein möglichst großer wirtschaftlicher Schaden für das Opfer entstehen. Politische Gründe steckten wahrscheinlich auch hinter dem Angriff auf Occupy Central, eine Bewegung, die 2014 eine demokratische Wende in Hongkong herbeiführen wollte. Dabei richtete sich der DDoS-Angriff nicht gegen die Protestierenden, die auf den Straßen Hongkongs freie Wahlen forderten, sondern konzentrierte sich auf Websites, die die Demonstranten unterstützen. So waren unter anderem PopVote – eine Plattform für basisdemokratische Abstimmungen – und Apple Daily Opfer der Angriffe, die bis zu 500 GB pro Sekunde Belastung mit sich brachten. Bemerkenswert an den Angriffen war, dass diese hohe Belastung durch fünf Botnetze, also Netzwerke aus infizierten und gekaperten Rechnern, die den Anweisungen der Angreifer folgen, durchgeführt wurde.

Im Vergleich zum bisher größten DDoS-Angriff wirken aber alle bislang genannten Angriffe kümmerlich, zumindest was den aufgewandten Datenverkehr anbelangt. Die Attacke auf GitHub, einem Filehoster von Online-Entwicklungsprojekten, vom 28. Februar 2018 brach mit einer rekordverdächtigen Datenflut von 1,35 Terabit pro Sekunde auf die Server des unter Entwicklern beliebten Onlinedienstes ein. GitHub war auf einen DDoS-Angriff vorbereitet. Allerdings konnte auch die beste Prävention bei einer solch gewaltigen Attacke nicht verhindern, dass der Anbieter kurze Zeit nicht mehr erreichbar war. Zurückgeführt werden konnte der Angriff auf über tausend verschiedene autonome Netzwerksysteme, die Schwachstellen in Netzwerkprotokollen ausnutzten und auf diese Weise den hohen Datenverkehr erzeugen konnten.

Eine Frage der Strategie

Der erstaunliche Wert des Angriffs auf GitHub wird allerdings nicht lange seinen Größenrekord halten können. Schon jetzt gibt es immer wieder Meldungen von ungesicherten Smart-Home-Protokollen und mangelhaft konstruierten vernetzten Kaffeemaschinen und Wasserkochern. Diese könnten die potentielle Wucht von Angriffen verstärken und ein Datenverkehrsvolumen ermöglichen, dass heute kaum vorstellbar ist. Der Netzwerkstandard 5G bietet in Zukunft außerdem die Leistungskapazität, diese Datenmenge schnell an die erforderlichen Stellen zu schicken.

Zentrale Frage bei der Abwehr solcher DDoS-Angriffe ist die Auslegung der Strategie, die ein Unternehmen verfolgen möchte. Vereinfacht gesagt, gibt es die Möglichkeit, proaktiv oder reaktiv auf die feindlichen Schachzüge zu reagieren. Die proaktive Variante setzt bereits bei den Datenpaketen an, die im normalen Tagesgeschäft ankommen und von Servern verarbeitet werden. Diese gilt es zu analysieren und im Zweifelsfall Anomalien schnellstmöglich zu erkennen und abzuschwächen. Reaktive Herangehensweisen sind meist kostengünstiger, weil sie sich im ersten Schritt nur auf die Analyse von Daten konzentrieren. Sie greifen erst im Fall einer Attacke in den Datenfluss ein. Allerdings fehlt ihnen dadurch die Möglichkeit, in Echtzeit auf Bedrohungen zu reagieren.

Allgemein lässt sich sagen, dass es mindestens so viele Abwehrmöglichkeiten wie Angriffsarten gibt. Wichtig ist, dass Unternehmen sich der Gefahr von DDoS-Attacken bewusst sind und ihre Verteidigungsstrategie an die jeweiligen Gefahrenpotentiale anzupassen wissen. Die richtigen Lösungen gilt es anhand von Fragen nach Skalierbarkeit und Breite, Präzision im Umgang mit Angreifern, Flexibilität bei Risikosituationen sowie den möglichen Eskalationsreaktionen der Lösungen zu finden.

* Heiko Frank ist Senior System Engineer beim IT-Sicherheitsanbieter A10 Networks.


Mehr Artikel

News

Internationale Konferenz zeigt den Weg zur datengetriebenen Zukunft

25. November 2024

Am 13. November 2024 fand im Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK) die Global Data Spaces Connect 2024 (GDSC24) statt, eine internationale Plattform, die Akteur:innen aus Wirtschaft, Wissenschaft und öffentlicher Verwaltung zu einem Austausch über den aktuellen Stand und die Zukunft der Datenräume (Data Spaces) zusammenbrachte. […]

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*