Video: Security-Branche boomt | WDR Reportage (Interview Kai Deliomini) (Dezember 2024)
Stell dir das vor. Eine Gruppe von Schülern beschließt, der Schule einen Streich zu spielen, indem sie im Büro anrufen und immer wieder auflegen. Die Kommunikation der Schule kommt zum Stillstand; niemand kann tatsächlich zum Auftraggeber durchkommen. Das ist ähnlich wie bei einem Distributed Denial of Service-Angriff. Übeltäter stellen eine Armee von Bots zusammen, um die Server des Ziels mit Datenverkehr zu versorgen, bis der Server dies nicht mehr aushält. Incapsula, ein DDoS-Schutzdienst, meldet einen riesigen DDoS-Angriff mit einer interessanten Wendung. Die angreifenden Pakete stammten von zwei anderen DDoS-Schutzunternehmen.
Der Blogbeitrag von Incapsulas Igal Zeifman nennt die Unternehmen nicht, sondern nur "eine in Kanada, die andere in China". Beide Unternehmen gaben die Verantwortung zu und "ließen die Verantwortlichen aus ihren Diensten." Aber wie konnte das überhaupt passieren?
Flut gegen Verstärkung
Der letztjährige SpamHaus-DDoS-Angriff verwendete eine Technik namens DNS-Verstärkung. Der Angreifer sendet eine kleine DNS-Anforderung, die eine große Antwort zurückgibt, und fälscht das Anforderungspaket, sodass die Antwort an das Opfer geht. Dadurch kann eine kleine Anzahl von Servern einen großen DDoS-Angriff ausführen.
Der Incapsula-Post weist jedoch darauf hin, dass es außerordentlich einfach ist, ein Netzwerk gegen solche Angriffe abzusichern. Sie müssen lediglich eine Regel definieren, die alle DNS-Informationspakete ablehnt, die der Server nicht angefordert hat.
Der fragliche Angriff verwendete keinerlei Verstärkung. Die Opfer-Server wurden einfach mit normalen DNS-Anfragen mit einer Rate von 1, 5 Milliarden pro Minute überflutet. Diese Anforderungen sind nicht von gültigem Datenverkehr zu unterscheiden, sodass der Server jeden einzelnen untersuchen muss. Diese Art des Angriffs überlastet die CPU und den Speicher des Servers, während ein Verstärkungsangriff die Bandbreite entsprechend dem Beitrag überlastet.
Wie ist es passiert?
Zeifman weist darauf hin, dass ein DDoS-Schutzdienst genau die Infrastruktur hat, die für einen DDoS-Angriff erforderlich ist. "In Kombination mit der Tatsache, dass sich viele Anbieter mehr mit der Frage beschäftigen, was hereinkommt, als mit der Frage, was herauskommt, eignen sie sich gut für Hacker, die massive, nicht verstärkte DDoS-Angriffe ausführen möchten", so Zeifman. "Solche Mega-Fluten bieten nicht nur die 'poetische Wendung', die Beschützer in Angreifer zu verwandeln, sondern sind auch äußerst gefährlich."
Es ist wahr, dass ein Angriff auf dieser Ebene Ressourcen erfordert, die eine typische Cybercrime-Bande wahrscheinlich nicht aufbringen könnte. Selbst das größte Botnetz würde nicht zulassen, dass 1, 5 Milliarden Anfragen pro Minute eingehen. Laut Zeifman ist die Lösung für Unternehmen gedacht, die über diese Ressourcen verfügen, um sie besser zu schützen. "Jeder Dienstanbieter, der wahllosen Zugriff auf leistungsstarke Server bietet, hilft den Tätern, diese Einschränkungen zu überwinden", sagte Zeifman. "In diesem Fall haben die Sicherheitsanbieter den Hackern direkt in die Hände gespielt."
Sie können den vollständigen Beitrag auf der Incapsula-Website lesen. Und wenn Sie zufällig zu den ganz wenigen gehören, die die für diese Art von Angriff erforderlichen Hochleistungsserver verwalten, sollten Sie Ihre Sicherheit sorgfältig prüfen - sehr sorgfältig.
