Hybrider Schutz vor DDoS-Angriffen
Angriffstechnik
von Andreas Fischer - 15.10.2018
Moderne DDoS-Angriffe basieren häufig auf sogenannten Verstärkungsangriffen. Dabei werden fremde Server und verbreitete Internetprotokolle missbraucht, um Angriffe mit relativ niedriger Datenrate pro Sekunde teils gigantisch zu erhöhen. Aus einem durch einen Angreifer an eine Verstärkungsquelle versandten 1 Byte großen Datenpaket werden durch die Verstärkung leicht 50 Byte oder gar 51.000 Byte.
Normalerweise schicken die zur Verstärkung genutzten Server die Antworten zurück an den Urheber. Diese verstecken sich jedoch mittels IP-Spoofing und geben als Absender die IP-Adresse ihres Opfers an, das dann durch die Vielzahl und die Größe der Datenpakete regelrecht überflutet wird.
Am heftigsten sind bislang Angriffe, die über im Internet frei verfügbare Memcached-Server laufen. Das SOC von Link11 verzeichnete Anfang des Jahres Peaks von teilweise über 400 GBit/s. Memcached wird meist zur Beschleunigung dynamischer Webseiten eingesetzt, indem Daten im Hauptspeicher des Memcached-Servers zwischengelagert werden, um schneller verfügbar zu sein.
Das Problem ist, dass viele Memcached-Server ungesichert über den UDP-Port 11211 erreichbar sind, um Daten zu lesen und zu schreiben und Statistiken abzurufen. Die Auswirkungen von DDoS-Attacken über Memcached-Server sind so groß, dass Link11 sie als „DDoS-Tsunamis“ bezeichnet. Solange die Betreiber der Server ihre Rechner nicht ausreichend schützen und etwa externe Zugriffe auf sie untersagen, werden damit umfassende DDoS-Angriffe ausgeführt. Immerhin haben große Cloud-Anbieter wie AWS und Microsoft Azure mittlerweile reagiert und diesen Kanal bei sich trockengelegt.
Darüber hinaus müssen sich Unternehmen nach Angaben von A10 Networks zunehmend mit Multivektor-Attacken und IoT-basierten Angriffen auseinandersetzen. Der Netzwerk-Security-Anbieter mit Sitz in San José in Kalifornien ist auf den Schutz unternehmenskritischer Anwendungen spezialisiert. Bei einer Multivektor-Attacke nutzen die Angreifer eine Kombination aus bekannten DDoS-Möglichkeiten, um so den größtmöglichen Schaden anzurichten. Davor können sich Unternehmen kaum noch mit eigenen Maßnahmen schützen.
Ein bekanntes Beispiel für einen IoT-basierten Angriff ist die Malware Mirai. Sie infizierte IoT-Devices rund um den Globus und koppelte sie zu einem gigantischen Bot-Netz, mit dem sich DDoS-Attacken durchführen ließen. Mirai war ursprünglich von drei Jugendlichen entwickelt worden, die die Software gegen Minecraft-Server einsetzten. Später wurde Mirai auch dazu verwendet, um Server des DNS-Anbieters Dyn lahmzulegen. Als Folge einer dieser Attacken waren große Webseiten wie Airbnb, Amazon, PayPal und Twitter für mehrere Stunden gar nicht oder nur teilweise erreichbar.