Neue Angriffstechnik Diese DDoS-Attacken brechen alle Rekorde

Experten verzeichnen DDoS-Attacken von bisher ungekannten Ausmaßen. Die neuen Angriffstechniken sind auch für Erpresser hochinteressant. Anleitungen stehen bereits im Netz.

Rechenzentrum in Thailand (Symbolbild)
REUTERS

Rechenzentrum in Thailand (Symbolbild)

Von


Im Herbst 2016 war die Website des US-Journalisten Brian Krebs wegen eines gigantischen Überlastungsangriffs, einer sogenannten DDoS-Attacke, nicht mehr erreichbar. Ein Leser von Krebs verglich das damals mit einem Angriff des Todessterns aus "Krieg der Sterne" auf ein einzelnes Raumschiff: Eine unvorstellbar große Kanone beschießt ein geradezu winziges Ziel. Und so wie im Film "Die Rückkehr der Jedi-Ritter" ein zweiter, noch größerer Todesstern auftaucht, gibt es nun eine noch größere DDoS-Kanone. Unbekannte haben damit in den vergangenen Tagen mehrere Übungsschüsse abgefeuert.

So war vergangene Woche die weltweit größte Software-Entwicklungsplattform GitHub für insgesamt zehn Minuten nicht aufrufbar, als ihre Server mit Nonsensanfragen in der zuvor unerreichten Größenordnung von 1,35 Terabit pro Sekunde überlastet wurden.

Neue Angriffe stellen bisherige in den Schatten

Zum Vergleich: Das ist mehr als doppelt so viel wie beim Angriff auf Krebs' Website. Außerdem ist der Angriff gewaltiger als jener auf den Internetdienstleister Dyn, der im Oktober 2016 dafür sorgte, dass unter anderem an der US-Ostküste so große Angebote wie Twitter, Netflix und Amazon über Stunden nicht erreichbar waren. Noch im Jahr 2015 galten Attacken mit 50 Gigabit pro Sekunde als besonders schwer, das ist nicht einmal ein Fünfundzwanzigstel dessen, was GitHub jetzt überstehen musste.

GitHub war nur deshalb nach so kurzer Zeit wieder erreichbar, weil es eine Art Notfallplan hatte und seinen Netzwerkverkehr über einen Dienstleister umleiten konnte, der sich unter anderem auf das Filtern und Abwehren solcher Angriffe spezialisiert hat.


Was ist eine DDoS-Attacke?
Websites, Dienste und Server lassen sich mit sogenannten Distributed-Denial-of-Service-Attacken, kurz DDoS-Attacken, zeitweise unbenutzbar machen. Durch einen massenhaften Aufruf eines Internetangebots oder eines ganzen Servers soll das Ziel überlastet und so lahmgelegt werden.

Kriminelle versuchen mit dieser Methode unter anderem, Schutzgeld von großen Unternehmen zu kassieren, die unter einem längeren Ausfall ihrer Netzpräsenz finanziell leiden würden und deren Ruf dadurch auf dem Spiel stehen könnte.


1,7 Terabit pro Sekunde: Neuer Weltrekord

Diese Woche nun traf es einen Kunden - also den Anbieter einer Website oder eines anderen Internetdienstes -, der die Server eines nicht genannten US-Providers nutzt. Nach Angaben von Arbor Networks, einem ebenfalls auf DDoS-Abwehr spezialisierten US-Unternehmen, das solche Attacken beobachtet, war der DDoS-Angriff in diesem Fall noch massiver: In der Spitze waren es 1,7 Terabit pro Sekunde. Das Technikportal "ZDNet" spricht von einem "Weltrekord".

Erfolgreich war der Angriff allerdings nicht, es gab keinen Ausfall der attackierten Seiten. Der Provider, auf dessen Servern der angegriffene Dienst gehostet ist, muss nach Einschätzung von Arbor Networks vorbildliche Abwehrmöglichkeiten eingerichtet haben.

Dass eine Firma, die mit Abwehrtechniken ihr Geld verdient, die Abwehraktion lobend hervorhebt, mag nicht verwundern. Aber ähnliche Attacken könnte es in den kommenden Wochen erneut geben, denn die Methode wird laut Arbor Networks mittlerweile auch als Dienstleistung von Kriminellen angeboten.

Chance zur Erpressung

Außerdem kursieren seit dieser Woche Beispielcodes im Netz, die auch von technisch nicht übermäßig versierten Internetvandalen oder Kriminellen verwendet werden können, die populäre Websites oder wirtschaftlich bedeutende Internetdienste angreifen und die Betreiber erpressen wollen. Hosting-Provider und deren Kunden, die Betreiber von Websites also, die nicht vorbereitet sind, dürften dem wenig entgegenzusetzen haben.

Karsten Desler ist Geschäftsführer von Link11, einem Frankfurter Unternehmen, das DDoS-Angriffe für seine Kunden - darunter SPIEGEL ONLINE - abwehrt und die aktuellen Attacken genau beobachtet. Er geht davon aus, dass sich "vielleicht die Hälfte der wichtigeren Internetdienste Gedanken über schwere DDoS-Angriffe gemacht hat und vorbereitet ist".

Anleitung für DDoS-Angriffe über Memcached-Server
GitHub

Anleitung für DDoS-Angriffe über Memcached-Server

Das Besondere an der neuen Angriffsmethode ist nicht nur ihre Größenordnung. Es ist vor allem die Tatsache, dass die Täter anders als früher keine riesigen Botnetze aus Hunderttausenden heimlich gekaperten Rechnern oder vernetzten Geräten übernehmen müssen, um ihr Ziel mit Anfragen aus dem Internet zu überschütten. Stattdessen machen sie sich sogenannte Memcached-Server zunutze. Die werden benutzt, um Daten im Arbeitsspeicher eines Servers vorzuhalten, anstatt auf einer Festplatte. Das beschleunigt die Nutzung von Websites, die an große Datenbanken angeschlossen sind.

Zigtausende anfällige Server im Internet

Eine von mehreren Eigenheiten der Memcached-Software ist, dass man so einem Server eine wenige Byte kleine Anfrage stellen und eine im Extremfall um den Faktor 50.000 größere Antwort bekommen kann. Kombiniert mit der üblichen DDoS-Methode, die Absenderadresse der Anfrage zu fälschen und so die Antwort des Servers nicht an sich selbst, sondern an das Angriffsziel zu schicken, ergibt das die Riesenkanone. Amplification-Attacke heißt so etwas: Der Memcached-Server wird zum Verstärker gemacht. Sofern sich die Angreifer solche Server aussuchen, die sehr große Datenmengen verschicken können, reichen vergleichsweise wenige Maschinen für massive Attacken aus.

Normalerweise sollten Memcached-Server hinter einer Firewall liegen und nicht ohne Authentifizierung von außen ansprechbar sein. Doch mit einer geeigneten Suchmaschine lassen sich Zigtausende Maschinen finden, deren Administratoren ihre Firewalls aus irgendeinem Grund sozusagen hinter die Server gestellt haben statt davor.

Laut Arbor Networks findet nun eine Art Wettlauf statt. Sicherheitsexperten versuchten derzeit, die offen erreichbaren Server abzusichern beziehungsweise deren Betreiber zu warnen. Ein Experte der Firma sagt aber auch, die schiere Anzahl an ungesicherten Memcached-Serven werde wohl dazu führen, "dass die Schwachstellen lange erhalten bleiben und von Angreifern ausgenutzt werden".

Karsten Desler schätzt, "dass wir in drei Monaten noch immer die Hälfte der ungesicherten Memcached-Server im Netz sehen werden."



insgesamt 27 Beiträge
Alle Kommentare öffnen
Seite 1
gsma 08.03.2018
1. oje
mir graust bei dem Gedanken, was das im hochgelobten "Internet der Dinge" alles anrichten kann ... oder im selbstfahrenden Auto ... oder in der Kraftwerkssteuerung ...... Digitalisierung ja, aber bitte mit Sinn und Verstand (Ich arbeite in der IT-Branche)
discprojekt 08.03.2018
2. Also,
Sind das Geheimdienste, die im Auftrag ihrer Regierung "üben"? Welche Voraussetzungen muss es dafür geben, solche Attacken, technisch, zeitlich usw durchzuführen?
blubbi127 08.03.2018
3.
Zitat von gsmamir graust bei dem Gedanken, was das im hochgelobten "Internet der Dinge" alles anrichten kann ... oder im selbstfahrenden Auto ... oder in der Kraftwerkssteuerung ...... Digitalisierung ja, aber bitte mit Sinn und Verstand (Ich arbeite in der IT-Branche)
Da Sie ja aus der IT-Branche kommen, beantworten Sie mir doch bitte die Frage, was der Artikel jetzt mit IoT oder selbstfahrenden Autos genau zu tun hat...?
oldman2016 08.03.2018
4. Ist die Netzneutralität daran schuld?
Ich frag mich, ob das nicht auch der sogenannten Netzneutralität geschuldet ist. Es zeichnet sich ab, dass es in naher Zukunft ein eigenes Bezahlinternet gibt, in dem nur noch überprüfte und als seriös eingestufte Provider, Server, Unternehmen und Behörden kommunizieren. Jeder Außenstehende wird jede Anfrage an Mitglieder des geschlossenen Internets nach Registrierung und amtlich beglaubigter Identifikation in Rechnung gestellt. Die Antwort auf seine Anfrage wird er ohnehin wie auch heute schon bezahlen. Des Rest des Internets werden sich die Armen und Kriminellen teilen.
sven2016 08.03.2018
5.
Da selbstfahrende Autos nicht wirklich selbst fahren, sondern auf die Regeln, Daten und Updates der "Software-Intelligenz" angewiesen sind, lässt such da manches auch stören. Andererseits: sollte Wikipedia mal getroffen werden, sinkt der Notenschnitt von Schülern bestimmt sehr schnell ("konnte nichts schreiben, weil wikipedia off war"). Dass IT-Betreiber solche grundlegenden Konfigurationen betreiben ist (immer wieder) verwunderlich.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.