Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

30.07.2014
von: Arbor Networks

Groß, größer, gigantisch: Arbor Networks registriert immer massivere DDoS-Angriffe

Gigantismus ist offenbar voll im Trend. Das gilt nicht nur für den Bau von (olympischen) Sportstätten, Fußballstadien oder Hauptstadtflughäfen. Auch im Bereich Cyber-Security oder besser gesagt Cyber-Crime ist ein gewisser Hang zu Größe festzustellen. Ein Beleg dafür ist die Entwicklung bei Distributed-Denial-Service-Angriffen (DDoS).

Arbor Networks, ein Partner von Exclusive Networks und Anbieter von Lösungen zum Schutz vor DDoS-Angriffen, hat im ersten Halbjahr 2014 Attacken registriert, die es in dieser Form noch nicht gab. Demnach starteten Cyber-Kriminelle und politisch motivierte Angreifer mehr als 100 volumetrische DDoS-Angriffe, bei denen eine Netzwerkbandbreite von mehr als 100 GBit/s zum Einsatz kam.

Zum Vergleich: In Rechenzentren werden Links mit 10 GBit/s verwendet, um über kurze Distanzen Hochleistungsserver, Storage-Systeme und High-End-Datenbanken zu koppeln. Und ein normaler Client-Rechner verfügt über eine Schnittstelle von 1 GBit/s Bandbreite, um in einem lokalen Netzwerk mit anderen IT-Systemen Daten auszutauschen. Um über Weitverkehrsverbindungen Angriffe mit 100 GBit/s und mehr durchzuführen, ist somit ein erheblicher Aufwand erforderlich.

Network Time Protocol als Angriffsvehikel
Vor allem im ersten Quartal häuften sich solche massiven Angriffe. Das ermittelte die ATLAS-Threat-Monitoring-Infrastruktur von Arbor Networks. Sie wertet anonymisierte Verkehrsdaten von mehr als 300 Service-Providern aus und erstellt auf Basis dieser Informationen eine "Digital Attack Map". In dieser Landkarte werden in Zusammenarbeit mit Google Ideas die Verkehrsströme sichtbar gemacht, die bei DDoS-Angriffen auftreten, also die Ursprungs- und Zielländer.

Eine wichtige Rolle spielt bei DDoS-Angriffen das Network Time Protocol (NTP). Arbor Networks, aber auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachteten eine große Zahl von NTP-Reflection-Angriffen.

Das NTP dient dem Abgleich der Systemzeiten von Rechnern. Bei einer NTP-Reflection-Attacke sendet ein Angreifer eine gefälschte Anfrage an einen solchen Zeit-Server. Er nutzt dazu die Adressdaten des Systems, das er angreifen möchte, gibt sich also als beim NTP-Server als besagtes System aus. Erfolgen von vielen gekaperten Rechnern aus solche "falschen" Anfragen, wird das Zielsystem mit Antworten des NTP-Servers überschwemmt. Diese Antworten sind umfangreicher, enthalten also aus mehr Datenpaketen als die Anfrage. Daher kann ein Angreifer mit relativ geringem Aufwand, also wenig Bandbreite, eine große Wirkung beim Opfer erzielen.

Auch andere Protokolle werden für DDoS genutzt
Arbor zufolge hat allerdings die Zahl der NTP-Reflection-Angriffe im zweiten Quartal 2014 nachgelassen. Dafür greifen Angreifer nun auf andere Netzwerkdienste beziehungsweise Protokolle zurück, um Reflection-Angriffe durchzuführen, etwa das SNMP (Simple Network Management Protocol), das für die Verwaltung von Netzwerksystemen verwendet wird. Auch Chargen (Character Generator Protocol), das zum Test von Netzwerkverbindungen dient, kommt zum Zuge.

Kurzum: Cyber-Crime-Spezialisten sind erfinderisch und lassen sich von Gegenmaßnahmen, wie etwa dem Deaktivieren mancher Funktionen bei Netzwerkprotokollen, nicht abschrecken.

Fazit: Viel Bandbreite hilft nicht weiter
Die jüngste Entwicklung an der "DDoS-Front" zeigt laut Arbor Networks zweierlei: Erstens benötigen Unternehmen, aber auch öffentlichen Einrichtungen und Non-Profit-Organisationen eine integrierte, mehrschichtige Verteidigung gegen verteilte Denial-of-Service-Angriffe. Denn herkömmliche Techniken wie Firewalls sind gegen DDoS-Attacken weitgehend nutzlos.
Zweitens hilft es nicht weiter, wenn ein Unternehmen auf Internet-Links mit hoher Bandbreite vertraut. Bei Angriffen mit Bandbreiten von mehr als 100 GBit/s gehen auch solche kostspieligen Breitbandverbindungen in die Knie, mit den üblichen Folgen: Web-Services sind nicht mehr erreichbar oder Kunden haben keinen Zugang zu Online-Shops. Mit einer Taktik nach dem Motto "Viel Bandbreite hilft viel" kommen IT-Abteilungen somit nicht weiter. Im Gegenteil: Das Geld, das sie für solche Breitband-Links zum Fenster hinaus werfen, sollten sie besser in leistungsstarke Sicherheitslösungen ausgeben, die tatsächlich vor DDoS-Angriffen schützen.


Security-Finder Schweiz: Newsletter