Nitol bricht alle Rekorde bei DDoS auf Anwendungsebene

Vor einigen Wochen gelang es dem zu Imperva gehörende Incapsula-Team, eine leistungsstarke DDoS-Attacke auf Anwendungsebene (Ebene 7) abzuwehren, die sich gegen einen Kunden des Sicherheitsunternehmens mit Sitz in China richtete, der auf die Durchführung von Lotterien spezialisiert ist. Diese Attacke zeichnete sich nicht nur durch eine extreme Belastung der Rechenressourcen aus (in der Spitze 163.000 Anfragen pro Sekunde), sondern auch durch den Versuch, gleichzeitig die Kanäle zu verstopfen, was für solche Vorfälle recht ungewöhnlich ist. Während der Attacken erreichte die Belastung der Kanäle 8,7 GBit/Sek., das ist nach Worten der Experten ein unerhört hoher Wert für DDoS-Attacken auf Anwendungsebene.

Diese Zahlen kommentierend, erklärt Incapsula, dass DDoS-Vorfälle auf Ebene 7 auf das Außerkraftsetzen von Serverressourcen abzielen, und zwar mittels eines Stroms von HTTP-Anfragen, der eine große Zahl von Verarbeitungstasks initiiert. Die Leistungsstärke solcher Attacken ist nicht besonders groß, sie reicht aber aus, um ungeschützte Server effektiv außer Gefecht zu setzen: Viele Betreiber von Webanwendungen verweisen auf maximal 100 Anfragen in der Sekunde.

Im vergangenen Jahr registrierten die Experten sogar einen stärken Anfragenansturm im Verlauf einer DDoS-Attacke auf Anwendungsebene, und zwar bis zu 268.800 in der Sekunde, allerdings war dabei die Belastung auf die Kanäle immer gering, und betrug wesentlich weniger als 500 МBit in der Sekunde, da die Pakete in der Regel nicht größer als 200 Byte waren. Solche Attacken können von den bei einem Kunden installierten Filtern leicht neutralisiert werden.

Allerdings stießen die Experten in diesem Fall auf ein zusätzliches Problem: die unerwartete Zunahme des Drucks auch auf die Kanäle, mit dem das Zielobjekt ganz klar nicht allein fertig wurde. Hohe GBit/Sek.-Werte sind normalerweise charakteristisch für DDoS-Attacken auf Netzwerkebene, und in dem Fall sind sie auch keine Überraschung. So hatten es in den letzten Jahren Incapsula selbst und auch andere Kollegen aus der Branche nicht nur einmal mit Netzwerkattacken mit einer Durchschlagskraft von 200, 300 und sogar 400 GBit/Sekunde zu tun, so dass 8,7 GB etwas völlig Normales für sie sind, allerdings nicht, wenn es sich um Attacken auf Anwendungen handelt.

In dem Versuch zu verstehen, auf welche Weise die Cyberkriminellen derart hohe Werte an beiden Fronten erreichen und den Schutz überrumpeln können, begannen die Experten die schädlichen POST-Anfragen zu analysieren. Wie sich herausstellte, verwenden die Cyberverbrecher ein Skript, das willkürlich große Dateien generiert und versucht, diese auf den anzugreifenden Server zu laden. Diese umfangreichen POST-Anfragen sehen völlig legitim aus, doch wenn eine TCP-Verbindung installiert wird, wächst sich ihr ununterbrochener Strom schnell zu einem mächtigen HTTP flood aus.

Eine Analyse der Spuren lässt den Schluss zu, dass zur Durchführung der DDoS-Attacke ein Botnetz verwendet wird, das auf einer Nitol-Variante basiert, die im gegebenen Fall als Baidu-Bot getarnt werden sollte. Im Laufe der Attacke zählten die Spezialisten insgesamt 2.700 IP-Quellen des Junktraffics; die meisten sind chinesischen Ursprungs.

Leider, so erklären die Experten, kann der Traffic bei Angriffen auf Anwendungsebene von ihnen erst gefiltert werden, nachdem eine TCP-Verbindung hergestellt wurde. Das heißt, die schädlichen Anfragen rauschen ungehindert über die Netzwerkautobahn. Wenn diese Anfragen äußerst umfangreich sind, wie in unserem Fall, so verstopfen sie effektiv den aufsteigenden Kanal, da seine Durchlassfähigkeit normalerweise nicht besonders groß ist, und kein zusätzlicher externer Service, der auf Netzwerk-DDoS ausgerichtet ist, kann hier helfen.

Incapsula warnt zudem davor, dass die Cyberkriminellen selbst in dem Fall, wenn die angegriffene Organisation über eine Durchlassfähigkeit von 10 GBit verfügt, mit Leichtigkeit die Durchschlagskraft der Attacken steigern können, indem sie die Übertragungsgeschwindigkeit der Anfragen oder die Zahl der eingesetzten Bots erhöhen. Im Endeffekt könnte das beim nächsten Mal auf 12 oder 15 GBit/Sek. hinauslaufen, möglicherweise sogar mehr. Um selbständig mit einem solchen Ansturm fertig zu werden, muss man über eine Infrastruktur verfügen und einen soliden Internet-Provider haben.

Zudem können Angriffe auf Anwendungen Tage, Wochen und sogar Monate andauern und dieser zusätzliche Traffic kommt das Opfer teuer zu stehen. So registrierte Incapsula im vierten Quartal DDoS-Attacken auf Layer 7 mit einer Dauer von mehr als 100 Tagen.

Die Experten erwarten, dass das von ihnen bestätigte Debüt bald eine Fortsetzung finden wird und sie raten, sich über Maßnahmen zum Schutz vor derartigen Attacken Gedanken zu machen. Ihrer Meinung nach haben potentielle Opfer zwei Möglichkeiten: Entweder, sie erhöhen die Durchlassfähigkeit der Kanäle oder sie begeben sich auf die Suche nach einem spezialisierten Service, der in der Lage ist, HTTP/HTTPS flood außerhalb der Netzwerkgrenzen automatisch zu blockieren.

Quelle: Incapsula

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.