DDoS-Schutzlösung greift an

Vor einer Woche gelang es dem Unternehmen Incapsula, das auf den Cloud-basierten Schutz vor DDoS-Attacken spezialisiert ist, einen ernsthaften DNS Flood-Angriff abzuwehren, dessen Durchschlagskraft in der Spitze um die 25 Millionen Pakete in der Sekunde betrug (Mpps). Wie sich herausstellte, nutzten die Angreifer zur Erzeugung eines derart beeindruckenden Stroms die Leistungsstärke anderer Anti–DDoS-Dienste.

Da die schädlichen DNS-Anfragen ohne Austausch der IP-Adresse des Absenders gestellt wurden, konnten die Experten die wahre Quelle des DDoS-Traffics schnell ausmachen. Und zwar handelte es sich um die Reinigungsserver eines kanadischen Kollegen von Incapsula, die das Ziel im geschützten Netz mit einer Intensität von 1,5 Milliarden Anfragen in der Minute bombardierten. Auf diese Weise wurden innerhalb von 7 Stunden ununterbrochener Attacke insgesamt über 630 Milliarden Anfragen an den Kunden von Incapsula gerichtet.

Nachdem sie von Incapsula benachrichtigt worden waren, räumten beide Service-Provider die Attacken ein und blockierten die Schuldigen. Den Experten zufolge ist der Missbrauch der Ressourcen von Schutzlösungen alles andere als neu, allerdings hatten sie es hier erstmals mit einem Fall zu tun, in dem Traffic reinigende Server zur Durchführung groß angelegter DDoS-Attacken eingesetzt wurden. „Die Schutzdienste vor DDoS sind neben Stütznetzwerken des Internets platziert und mit breiten Kanälen ausgestattet, die unter Berücksichtigung hoher Traffic-Auslastungen entwickelt wurden“, erklärt Igal Zeifman, Product Evangelist bei Incapsula. „Solche Möglichkeiten und die Tatsache, dass viele Anbieter sich mehr Sorgen um das machen, „was reinkommt“, als um „das, was rausgeht“ entspricht genau den Bedürfnissen von Hackern, die eine leistungsstarke DDoS-Attacke ohne DNS-Verstärkung durchführen wollen.“

Der Experte weist darauf hin, dass bei einer adäquaten Leistungsstärke der Ursprungsressourcen Angriffe des Typs DNS-Flood überaus effektiv und verheerend sein können. Im Gegensatz zu asymmetrischen DNS-Verstärkungsangriffen, die die Kanäle mit großen UDP-Paketen verstopfen, sind Angriffe des Typs DNS Flood auf das Erschöpfen der Serverressourcen durch unendlichen Ströme von Paketen normaler Größe ausgerichtet. Sie werden von Skripten generiert, die auf einigen kompromittierten Rechnern installiert sind. Da die Junk-DNS-Anfragen den legitimen sehr ähnlich sind, kann man sie nicht vor der individuellen Verarbeitung auf Serverebene blockieren. DNS-Verstärkungsangriffe sind im Gegenteil sehr einfach mit Filtern auszuschalten, beispielsweise, indem man alle nicht angefragten DNS-Antworten auf Port 53 blockiert (zur Erinnerung: ein DNS-Verstärkungsangriff setzt den Austausch der IP des Absenders der Anfragen voraus).

Einer analogen Flood-Attacke waren vor kurzem auch der Service UltraDNS des amerikanischen Domain-Registrators Neustar sowie PointDNS des Toolanbieters zur Entwicklung der Webanwendungen Copper.io ausgesetzt. Incapsula weist zudem auf andere Berichte über DNS Flood hin, die von „verschiedenen Orten“ ausgehen, sowie auf einige leistungsstarke DDoS-Attacken auf ihre eigene Infrastruktur. Die Experten meinen, dass man angesichts einer solchen Fülle von gleichartigen Attacken bereits von einem neuen Trend sprechen kann, der selbst die bestgeschützten Netzinfrastrukturen bedroht.

Die Zahlen sind den Untersuchungsergebnissen von DNS DDoS aus dem Blog von Incapsula entnommen.

Quelle: Incapsula

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.