DDoS-Amplification: Unfreiwillige Verstärker im Internet #cybercrime

Die grundlegende Technik hinter DDoS-Angriffen haben wir bereits in unserer Reihe "Schützt die Burgen" behandelt. Heute möchte ich einen Schritt weiter gehen und über reflektierte DDoS-Angriffe schreiben.

Zu Beginn ein kleines Beispiel:

Ein Hacker bestellt online bei verschiedenen Lieferdiensten Pizzen. Er gibt jedoch nicht seine eigene Adresse ein, sondern die seines potentiellen Ziels. Der Aufwand für den Hacker ist hierbei gering - ein paar Klicks und die Pizzen sind bestellt.
Der Aufwand für sein Ziel jedoch ist erheblich größer: von einer Diskussion an der Tür bis hin zu einem Haufen zu bezahlender Sardellen-Döner-Pizzen kann alles dabei sein. Durch das Einbinden der Pizza-Services wird der Aufwand des Hackers um ein vielfaches verstärkt an das Ziel weitergegeben.

Ein ähnliches Prinzip nutzen Hacker für reflektierte und verstärkte DDoS-Attacken. Datenpakete werden an verwundbare Server (Lieferdienste) ausgesendet. Dieses Aussenden provoziert beim Ziel eine Antwort (Pizza). Da der Hacker aber zusätzlich seine Adresse fälscht, wird die Antwort an sein eigentliches Ziel versendet. Die spezielle Struktur der Anfragen vergrößert dabei die eigentlichen Anfragen: der Angriff wird dadurch Verstärkt (Pizza statt Mausklick). Wie stark der Angriff dabei werden kann, hängt von zwei wesentlichen Faktoren ab:

  • die Anzahl der verwundbaren Server im Internet, die als Lieferdienst missbraucht werden können 
und
  • der Faktor, um den eine Anfrage verstärkt wird.

Je nachdem welche Art von Anfrage gesendet wird kann der Faktor von 5 bis 1000 variieren, es können etwa mit wenigen Befehlen längere DNS-Informationen angefordert werden. Bei DNS-Anfragen stehen zudem bis zu 4 Millionen Server zur Verfügung, die für einen Angriff ausgenutzt werden können. https://de.wikipedia.org/wiki/DNS_Amplification_Attack

Die Angriffsart, die vom Angreifer ausgewählt wird, hängt dabei vom Angreifer ab. Für einfache Angriffe ist ein hoher Faktor wesentlich: der Angreifer muss so wenige parallele Anfragen verschicken und erreicht schnell ein großes Traffic-Volumen beim Ziel. Profis legen Wert auf eine große Zahl von Servern (Lieferdiensten).
Gut koordinierte Angriffe verteilen die Anfragen auf möglichst viele verschiedene Server, so wird es für das Ziel schwieriger, alle Anfragen gleichzeitig zu identifizieren und zu blockieren. Solche gut verteilten, lang anhaltenden Angriffe stellen DDoS-Schutzmaßnahmen meist vor größere Probleme als einzelne heftige Wellen aus wenigen Zielen.

Da die ausgenutzten Verwundbarkeiten nicht auf den Servern des Ziels zu finden sind, gestaltet sich der Schutz gegen diese Angriffe schwierig. Auch gut gewartete Systeme sind durch das fahrlässige Verhalten anderer Administratoren gefährdet.
Gängige DDoS-Schutzmaßnahmen basieren daher auf Filtern und Blacklists: einzelne Server, die zu viel Traffic verursachen werden automatisch blockiert und bekannte „schwarze Schafe“ erst gar nicht zugelassen. Hier zeigt sich auch, warum Profi-Angreifer auf viele verschiedene Server zugreifen: je weniger Auffällig die einzelnen, am Angriff beteiligten Server sind, desto schwieriger ist es, diese automatisiert zu blockieren. Meist hilft dann nur noch ein manuelles Eingreifen um die Erreichbarkeit der Infrastruktur sicherzustellen.

Viele Grüße
Felix
Reaktionen:

0 Kommentare:

Kommentar veröffentlichen