400 GB-DDoS mit Traffic-Verstärkung via NTP

Die Realität hat all jene eingeholt, die der Meinung waren, die DDoS-Attacke auf Spamhaus im letzten Jahr sei an Durchschlagskraft nicht zu überbieten. Am zehnten Februar überschütteten unbekannte Cyberkriminelle eine Reihe von europäischen Web-Servern mit einem gewaltigen Strom von parasitärem Traffic, der in der Spitze 400 GB/Sek. betrug.

Die mageren Details dieses Übergriffs wurden nur dank einiger Tweets bekannt, die Matthew Prince, CEO von CloudFlare, während des Angriffs veröffentlichte. Prince zufolge richtete sich diese DDoS-Attacke gegen einen Kunden seines Unternehmens, einen großen CDN-Anbieter (Content Delivery Network). „Irgendjemand schießt hier mit einer ganz neuen, großen Kanone“, stellte Prince fest. „Mit weiteren Unannehmlichkeiten ist zu rechnen.“

In der Spitze überstieg die neue DDoS-Attacke die Werte des Angriffs auf Spamhaus im März letzten Jahres. Die höchste Leistungsstärke des Junk-Traffics wurde damals auf 300 GB/Sek. geschätzt und überstieg das einige Monate vorher bei einem Angriff auf amerikanische Banken registrierte Niveau um das Dreifache. Und in dieser Woche registrierte beispielsweise der führende Hosting-Provider Frankreichs, OVH, eine Spitze von „weitaus mehr als 350 GB/Sek.“.

Ungeachtet ihrer beispiellosen Durchschlagskraft löste die Attacke auf den CloudFlare-Kunden laut Prince keine großen Proteste aus. „In Westeuropa wurden einige zusätzliche Verzögerungen beobachtet“, erklärte der Chef von CloudFlare, doch das Netz insgesamt hat nicht unter der Attacke gelitten. Der Angriff stützte sich auf die Durchschlagskraft, und auf dem Gebiet Europas kam es teilweise zu Überlastungen auf Schicht 3. Der Schlag richtete sich gegen unser globales Netz, doch Kunden außerhalb Europas haben ihn praktisch überhaupt nicht gespürt.“ Laut einer Mitteilung auf Twitter wurde die leistungsstarke DDoS-Attacke noch am selben Tag erfolgreich abgewehrt.

Wie bekannt wurde, wurde dieser mächtige Traffic mit Hilfe eines „Verstärkers“ geschaffen. Allerdings waren dieses Mal keine offenen Resolver verantwortlich, so wie bei der Attacke auf Spamhaus, sondern verwundbare Services zur Synchronisierung von Computeruhren, die über das NTP-Protokoll laufen. Ende letzten Jahres registrierten Experten eine drastische Zunahme der Attacken mit NTP-Verstärkung, und nach einer Reihe derartiger Vorfälle im Game-Business veröffentlichte das amerikanische CERT eine entsprechende Warnung.

Leider gibt es im Internet eine Menge schlecht konfigurierter NTP-Server, die dem Missbrauch Tor und Tür öffnen. Ein Angreifer kann an einen solchen Server eine Anfrage auf Ausführung eines bestimmten Befehls (MON_GETLIST) stellen, wobei er die IP-Adresse des Absenders austauscht und den Paket-Antwortstrom auf ein ausgewähltes Ziel lenkt. Dabei kann die Antwort die Anfrage nach Größe um ein Hundertfaches übersteigen. „Da die Antworten zulässige Daten enthalten, die von legalen Servern stammen, sind solche Angriffe schwer abzustellen“, warnt das US-CERT, und rät den Unterhaltern von NTP-Servern die Ausführung des monlist-Befehls zu verbieten und den Server auf die Version 4.2.7p26 zu aktualisieren, in der die Unterstützung dieses Befehls deaktiviert ist.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.