400 GB DDoS-Attacke mit NTP-Verstärkung beunruhigend simpel

Eine DDoS-Attacke, die die gesamte Internet-Community in Erstaunen versetzt hat, brach nicht nur den Rekord in punkto Durchschlagskraft (400 GB/Sek.), sondern wartete auch mit neuen Zahlen auf, die dazu geneigt sind, Sorgen zu bereiten. Wie sich gezeigt hat, waren an dem Angriff 4.529 vermittelnde NTP-Server in 1.298 verschiedenen AS-Netzen beteiligt, wobei jeder von ihnen durchschnittlich 87 MB Junk-Traffic pro Sekunde auf das Ziel abfeuerte. Die erstaunlichste und erschreckendste Enthüllung ist aber wohl die Ziffer 1.

„Es ist bemerkenswert, dass der Angriff allem Anschein nach von nur einem einzelnen Server durchgeführt wurde, der sich in einem Netz befindet, das den Austausch der IP-Adresse beim Absenden von Anfragen zulässt“, erklärte Matthew Prince, CEO von CloudFlare. Prince kommentierte den Verlauf der DDoS-Attacke auf Twitter und erklärte am Montag, dass es sich bei dem Angriffsziel um einen europäischen Kunden seines Unternehmens handelt, den Betreiber eines großen CDN-Netzes.

Dass die Durchführung von DDoS-Attacken mit NTP-Verstärkung so simpel ist, ist eine schlechte Nachricht für alle potentiellen Opfer. Sie löst berechtigte Befürchtungen aus und gibt einem das Gefühl, die Kontrolle über die Situation zu verlieren. Eine ähnliche Hilflosigkeit dürften amerikanische Banken verspürt haben, als ihre Ressourcen eine nach der anderen im Rahmen einer DDoS-Kampagne, die als „Operation Ababil“ bekannt wurde, zum Erliegen kamen.

Der Chef von CloudFlare erklärte gegenüber Threatpost, dass die gegen die Teilnehmer des CDN gerichtete Attacke zwei Stunden lang andauerte und die Folgen zum Abend desselben Tages beseitigt werden konnten. Bedeutende Überlastungen infolge der DDoS-Attacke bekamen die Franzosen zu spüren: Der größte Hosting-Provider des Landes, OVH, zum Beispiel, registrierte in der Spitze eine Leistungsstärke von etwa 325 GB/Sek.; am Vorabend, am Wochenende, wurde auf einigen französischen Ziel-Websites ein Anstieg des Traffics auf bis zu 80 GB beobachtet. Die Ressourcen von OVH dienten nach Angaben von CloudFlare ebenfalls als eine Hauptquelle des unerwünschten NTP-Traffics. Insgesamt registrierten die Betreiber des CDN-Netzes über 4.500 „Verstärkungsserver“, die in diese Attacke involviert waren – das sind fast 7 Mal weniger als während des analogen Vorfalls bei Spamhaus (als Cyberkriminelle zur Verstärkung DNS-Resolver nutzten). Dabei war die Durchschlagskraft der neuen DDoS-Attacke jedoch um 33% größer.

„Um eine so leistungsstarke Attacke zu stoppen, muss man ab einem bestimmten Level die Angreifer hinsichtlich des Umfangs der Ressourcen toppen“, erklärte Prince. „Die Zahl von NTP-Attacken nimmt ganz klar zu. Da jeder schlecht konfigurierte Server eine zehnmal höhere Verstärkung als DNS-Resolver erzeugen kann, stellen NTP-Server eine ernsthafte Bedrohung dar.“

Leider ist der Missbrauch des NTP-Services zur Verstärkung des DDoS‑Traffics nur eine mögliche Variante für Cyberkriminelle. Im Netz gibt es andere, ebenso verwundbare Standardprotokolle, wie etwa SNMP, das die Verbindung zu IP-Geräten (Routern) gewährleistet. „Die Schwäche von NTP ist noch nicht das größte Elend“, warnt Prince. „Theoretisch kann SNMP einen Verstärkungskoeffizient von 650 gewährleisten, und unseren Beobachtungen zufolge haben die Angreifer auch schon begonnen, diese Variante zu erproben.“

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.