DDoS-Leistungsstärke bricht alle Rekorde

In den letzten Monaten ist in den Ländern der Asiatisch-Pazifischen Region eine Zunahme der DDoS-Aktivität zu beobachten, deren Höhepunkte nach Aussage der Experten exakt mit den Kundgebungen und anderen bedeutenden Ereignissen im Rahmen der „Regenschirm-Revolution“ in Hongkong zusammenfallen.

So registrierte Arbor Networks im September etwa 1.700 Angriffe auf Online-Ressourcen dieses Verwaltungsbezirks der Volksrepublik China; im darauffolgenden Monat hat sich die Zahl solcher Vorfälle mehr als verdoppelt. Der Anteil der leistungsstarken DDoS-Attacken stieg dabei deutlich: im Bereich von 10-20 Gigabit/Sekunde von 6 auf 13,1%, im Bereich von über 20 Gigabit/Sekunde von 2 auf 13%. Der Höhepunkt der DDoS-Aktivität im Hongkonger Internetsegment entfiel auf die Zeit zwischen dem 10. und 20. Oktober, als eine Zunahme sowohl der Häufigkeit pro Tag als auch eine Zunahme der Werte zu beobachten war; die höchste Durchschlagskraft, die Arbor in diesem Zeitraum registrierte, betrug 45,6 Gigabit/Sek. Anfang November beobachteten die Experten vier Tage in Folge Spitzen von 30 Gigabit und mehr.

Ungefähr zur selben Zeit, Mitte Oktober, wurden erneut die Websites der Hongkonger Redaktion der unabhängigen Zeitung Apple Daily sowie das Online-Projekt der Universität Hongkong, PopVote, angegriffen, die für ihre prodemokratischen Ansichten bekannt sind. Ihr DDoS-Schutz, der große CDN-Provider Cloudflare, wehrt derartige Überfälle schon einige Monate ab. Nach Angaben von Matthew Prince, CEO von CloudFlare, begannen die DDoS-Attacken auf PopVote bereits im Juni, daraufhin wurden sie auf Apple Daily ausgeweitet. Im Rahmen eines vor kurzem erfolgten Angriffs registrierte CloudFlare in der Spitze 500 Gigabit/Sekunde – ein beispielloses Niveau, das den Februarrekord von 400 Gigabit und erst recht den aus dem Vorjahr von 300 Gigabit schlägt.

„[Sie] ist leistungsstärker als alle Attacken, die wir bisher beobachten konnten, und das, obgleich wir einige der mächtigsten DDoS-Angriffe in der Geschichte des Internets mitgemacht haben“, erklärte Prince einer Reporterin von Forbes in einem Telefoninterview. Innerhalb weniger Monate haben die Angreifer nach Angaben des Experten ihre Methoden zur Umgehung der gängigen Schutzlösungen verbessert und gelernt die Junk-Pakete gut als legitimen Traffic zu tarnen. Nach Einschätzung von CloudFlare verfügen die DDoS-Angreifer über mindestens 5 Botnetze, von denen einige auf Servern aufbauen, die aus der Amazon-Cloud „gekidnappt“ wurden (diese Möglichkeit wurde seitens Amazon mittlerweile ausgeschlossen), sowie von dem europäischen Hosting-Provider LeaseWeb. Die Kriminellen hinter der Attacke haben zudem beide Sites gehackt und Phishing-Angriffe auf die Mitarbeiter von PopVote durchgeführt.

Das Problem wird auch durch die nicht immer korrekten Schutzmaßnahmen verschärft, die die Internet-Provider – für die es immer schwerer wird, die Flut an Junk-Traffic auszusieben – als Reaktion auf solche Vorfälle ergreifen. Weil sie eine Überlastung befürchteten, blockierten einige der Provider, beispielsweise die britische Virgin Media, einfach alle Anfragen an die angegriffenen Sites, was den Angreifern wiederum in die Hände spielte. „Das ist eine falsche Praxis“, bemerkt Prince. „Obwohl die Infrastruktur von PopVote und unsere Schutzmaßnahmen den Schlag gut abfangen, finden sich immer wieder irgendwelche Provider, die stur den Zugriff auf die Site blockieren.“

Die laufende DDoS‑Kampagne ließe sich leicht als Reaktion der chinesischen Regierung auf die Protestbewegung in Hongkong erklären, allerdings ist sich der Chef von Cloudflare nicht sicher, dass das tatsächlich der Grund für die Attacken ist. Der Experte gab in diesem Zusammenhang zu bedenken, dass die 300-Gigabit-Attacke auf Spamhaus im letzten Jahr nach neusten Angaben von einem Schüler durchgeführt wurde, und zwar von einem allein. „Man kann sicher davon ausgehen, dass die Angreifer nicht mit der Hongkonger Demokratiebewegung sympathisieren“, erläutert Prince seine Position, „allerdings muss man dabei nicht zwingend mit dem Finger auf die chinesische Regierung zeigen. Der Initiator der Attacke könnte durchaus auch eine Privatperson sein oder irgendjemand, der die Regierung der Volksrepublik in einem schlechten Licht erscheinen lassen möchte.“

Über die Technik der Hongkonger DDoS-Attacken schreibt die Journalistin von Forbes fast gar nichts, sie erwähnt lediglich DNS-Resolver, die bekanntermaßen bei Attacken eingesetzt werden, im Rahmen derer der Traffic gespiegelt und verstärkt wird (DrDoS, DDoS mit DNS-Verstärkung). Den Cloudflare CEO zitierend, berichtet sie zudem, dass die „Angreifer die DNS-Infrastruktur des Internets benutzen“ und mit Hilfe eines „Netzes infizierter PCs und Server“ einen „Strom gefälschter Anfragen zu produzieren, die mit Hongkonger Sites in Verbindung stehen“. „Wir registrieren mehr als 250 Millionen DNS-Anfragen in der Sekunde, was vermutlich vergleichbar ist mit der Anzahl der DNS-Anfragen für das gesamte Internet in einer normalen Sekunde“, zitiert Forbes Prince.

Cloudflare ist es gelungen, zu mehreren Internet-Providern in Hongkong und den angrenzenden asiatischen Regionen Kontakt aufzunehmen und ihnen mitzuteilen, dass für die laufenden DDoS-Attacken die DNS-Infrastruktur des Internets genutzt wird. Die Experten haben zudem Tipps gegeben, wie man den DDoS-Angreifern das Leben erschweren kann, und dabei den normalen Besuchern der Ziel-Sites den Zugriff erlaubt.

Quelle:        Forbes

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.