Hybrider Schutz vor DDoS-Angriffen

Angriffstechnik

von - 15.10.2018
Moderne DDoS-Angriffe basieren häufig auf sogenannten Verstärkungsangriffen. Dabei werden fremde Server und verbreitete Internetprotokolle missbraucht, um Angriffe mit relativ niedriger Datenrate pro Sekunde teils gigantisch zu erhöhen. Aus einem durch einen Angreifer an eine Verstärkungsquelle versandten 1 Byte großen Datenpaket werden durch die Verstärkung leicht 50 Byte oder gar 51.000 Byte.
Normalerweise schicken die zur Verstärkung genutzten Server die Antworten zurück an den Urheber. Diese verstecken sich jedoch mittels IP-Spoofing und geben als Absender die IP-Adresse ihres Opfers an, das dann durch die Vielzahl und die Größe der Datenpakete regelrecht überflutet wird.
Am heftigsten sind bislang Angriffe, die über im Internet frei verfügbare Memcached-Server laufen. Das SOC von Link11 verzeichnete Anfang des Jahres Peaks von teilweise über 400 GBit/s. Memcached wird meist zur Beschleunigung dynamischer Webseiten eingesetzt, indem Daten im Hauptspeicher des Memcached-Servers zwischengelagert werden, um schneller verfügbar zu sein.
Das Problem ist, dass viele Memcached-Server ungesichert über den UDP-Port 11211 erreichbar sind, um Daten zu lesen und zu schreiben und Statistiken abzurufen. Die Auswirkungen von DDoS-Attacken über Memcached-Server sind so groß, dass Link11 sie als „DDoS-Tsunamis“ bezeichnet. Solange die Betreiber der Server ihre Rechner nicht ausreichend schützen und etwa externe Zugriffe auf sie untersagen, werden damit umfassende DDoS-Angriffe ausgeführt. Immerhin haben große Cloud-Anbieter wie AWS und Microsoft Azure mittlerweile reagiert und diesen Kanal bei sich trockengelegt.
Marc Wilczek
Marc Wilczek
Geschäftsführer
von Link11
Foto: Link11
„DDoS-Schutz muss in neuen Dimensionen gedacht werden.“
Darüber hinaus müssen sich Unternehmen nach Angaben von A10 Networks zunehmend mit Multivektor-Attacken und IoT-basierten Angriffen auseinander­setzen. Der Netzwerk-Security-Anbieter mit Sitz in San José in Kalifornien ist auf den Schutz unternehmenskritischer Anwendungen spezialisiert. Bei einer Multivektor-Attacke nutzen die Angreifer eine Kombination aus bekannten DDoS-Möglichkeiten, um so den größtmöglichen Schaden anzurichten. Davor können sich Unternehmen kaum noch mit eigenen Maßnahmen schützen.
Ein bekanntes Beispiel für einen IoT-basierten Angriff ist die Malware Mirai. Sie infizierte IoT-Devices rund um den Globus und koppelte sie zu einem gigantischen Bot-Netz, mit dem sich DDoS-Attacken durchführen ließen. Mirai war ursprünglich von drei Jugendlichen entwickelt worden, die die Software gegen Minecraft-Server einsetzten. Später wurde Mirai auch dazu verwendet, um Server des DNS-Anbieters Dyn lahmzulegen. Als Folge einer dieser Attacken waren große Webseiten wie Airbnb, Amazon, PayPal und Twitter für mehrere Stunden gar nicht oder nur teilweise erreichbar.
Verstärkungsangriffe in Zahlen

Protokoll

Verstärkungsfaktor

Multicast DNS

2 bis 10

NetBIOS

3,8

BitTorrent

3,8

Steam

5,5

SNMPv2

6,3

DNS

28 bis 54

SSDP

31

LDAP

46 bis 55

CLDAP

56 bis 70

TFTP

60

RIPv1

131

NTP

557

Memcached

10.000 bis 51.000

Verwandte Themen