167 GB/Sek.: DDoS-Attacke auf Prolexic-Kunde

Ende Mai konnte Prolexic Technologies erfolgreich eine DDoS-Attacke abwehren, deren Leistungsstärke alle von dem Unternehmen innerhalb seines 10jährigen Bestehens registrierten Werte überstieg. Bei diesem Angriff handelte es sich um eine DNS-Verstärkungsattacke; in der Spitze betrug die Leistungsstärke 167 GBit/Sek., was alle bisherigen Rekorde von DNS-Amplification-Attacken schlug. Wer Zielscheibe dieses Angriffs war, wird nicht bekannt gegeben, öffentlich gemacht wurde lediglich, dass es sich um einen Webservice handelt, der auf die Verarbeitung von Finanztransaktionen in Echtzeit spezialisiert ist.

Der auf das Ziel gerichtete parasitäre Traffic wurde rechtzeitig auf vier spezialisierte Datenzentren von Prolexic verteilt, die sich in Hongkong, London und zwei amerikanischen Städten befinden. Der Hauptteil dieser Last entfiel auf den Londoner „Feuerlöscher“: In der Spitze nahm er 90 GB/Sek. des DDoS-Traffics auf.

„Das war ein massiver Schlag, wobei der Mangel an technischer Komplexität durch rohe Gewalt kompensiert wurde.“, erläutert Scott Hammack, Geschäftsführer von Prolexic. –„Da bei dem angegriffenen Kunden bereits die proaktiven Schutzlösungen von Prolexic greifen konnten, erreichte der schädliche Traffic die Website nicht, und so konnte ein Ausfall vermieden werden. Tatsächlich war unserem Kunden nicht einmal bewusst, dass er gerade angegriffen wurde.“

Bei einer DDoS-Attacke durch DNS-Reflektion (Distributed Reflection and Amplification Denial of Service, DrDoS) unter Verwendung offener DNS-Resolver schicken die Hacker einem Vermittlerserver Anfragen und geben als Absender die IP-Adresse ihres Opfers ein. Als Folge gehen die Antworten des DNS-Resolvers an die Adresse des Opfers. Und sind an dieser Attacke zudem viele „Verstärkungs“-Resolver beteiligt, so kann das Ausmaß des Traffics überaus beeindruckend sein. Der Angreifende kann den DDoS-Traffic zudem steigern, indem er die DNS-Anfrage dergestalt formuliert, dass die Antwort des Resolvers die Anfrage vom Umfang her um ein Vielfaches übersteigt. Dabei ist die tatsächliche Quelle des DrDoS normalerweise nur sehr schwer zu identifizieren.

Nach Angaben von Prolexic entfielen 92% der Quellen des von den Experten abgewehrten DDoS-Traffics auf offene Resolver. Ihre Antworten, die von den Angreifern an die Adresse des Opfers gelenkt wurden, wurden auf Port 53 registriert, der eine inkorrekte DNS-Antwort darstellte.

„Schon sehr bald – möglicherweise sogar zum Ende des laufenden Quartals – wird die Leistungsstärke von DDoS-Attacken die 200 GB/Sek.-Marke überschreiten.“, prognostiziert Hammack. „Um bei diesem Wettlauf nicht auf der Strecke zu bleiben, baut Prolexic seine Infrastruktur weiter aus, die in der Lage ist DDoS-Traffic mit einer Leistungsstärke von bis zu 800 GB/Sek. zu neutralisieren, und zum Ende des laufenden Jahres werden wir über Kanäle mit einer Übertragungskapazität von 1,2 TB/Sek. verfügen.“

Quelle: Prolexic

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.