Steigendes Bedürfnis nach Anonymität spielt DDoS-Angreifern in die Hände

Die Enthüllungen Edward Snowdens, die der Öffentlichkeit das Ausmaß der staatlichen Cyberspionage vor Augen führten, haben viele Nutzer veranlasst, sich eingehend mit der Frage nach der Gewährleistung der eigenen Privatsphäre im Netz zu beschäftigen. Um ein unerwünschtes Eindringen in das Privatleben zu verhindern, können Anonymisierer hilfreich sein – anonyme Proxy-Server, die die IP-Adresse der Quelle der Anfragen verschleiern. Der Nachteil daran ist allerdings, dass diese Dienste nicht nur von rechtschaffenden Usern, sondern auch von Cyberkriminellen in Anspruch genommen werden.

Im Zusammenhang mit dem zunehmenden Missbrauch von Anonymität zum Zwecke der Durchführung von DDoS-Attacken hat es sich das Unternehmen Incapsula, das auf den Schutz vor Angriffen dieser Art spezialisiert ist, zur Aufgabe gemacht, die allgemeine Aufmerksamkeit auf dieses Problem zu richten. Gemäß der Statistik des Unternehmens wurden 20% der DDoS-Attacken, die zwischen dem 5. und 7. Februar abgewehrt wurden, von Angriffen unter Verwendung von Anonymisierern gestellt. Von ihnen kamen etwa 45% aus dem anonymen Netzwerk Tor, wobei die Angreifer in 60% der Fälle das Tor-Tool Hammer benutzten, das es ihnen ermöglicht, nur wenig leistungsstarke und langsame (low-and-slow), allerdings überaus effektive POST-Attacken durchzuführen, die eine Dienstblockade verursachen.

Durchschnittlich waren in jeder der von Incapsula registrierten DDoS-Attacken 1.800 IP-Adressen verwickelt, die mit Proxy-Servern in Verbindung gebracht werden, mit einem Spitzenwerk von 4.387. Insgesamt ermöglichte es diese Armee Unfreiwilliger den Angreifern, je 540.000 Anfragen auf ein Ziel zu richten, obwohl der Maximalwert, der von den Experten registriert wurde, um ein Vielfaches höher war als der statistische Durchschnittswert. Die größten Mengen von Proxy-Vermittlern (IP-Adressen) bei diesen DDoS-Attacken wurden in Vietnam, den USA, in China, Kambodscha und Indonesien entdeckt.

Mit Veröffentlichung dieser Zahlen unterstreichen die Experten, dass die Durchschlagskraft des Junk-Traffics in den Angriffen auf Apps nicht das beispielhafteste Kriterium ist. Wesentlich wichtiger ist die Fähigkeit der Angreifer, Schutzmaßnahmen zu umgehen. Wenn die Angreifer eine DDoS-Attacke der 7. Ebene durchführen, wie etwa HTTP GET/POST flood, versuchen sie nicht, die Netzkanäle zu verstopfen, ihre Aufgabe besteht vielmehr darin, die Ressourcen des Webservers aufzuzehren. Laut Incapsula sind – wenn man eine solche Attacke nicht blockiert – 50-100 Junk-Anfragen in der Sekunde ausreichend, um eine normale Website eines kleinen Unternehmens zu zerschmettern, die auf einem angegriffenen Server untergebracht ist.

Der Einsatz von Anonymisierern ermöglicht es einem Cyberkriminellen, eine effektive DDoS-Attacke ohne besondere Mühe durchzuführen. Alles, was er dazu braucht, ist ein Computer (der eigene oder ein fremder), ein DoS-Toolkit oder ein selbstgeschriebenes Skript, das demselben Zweck dient, sowie eine Liste von öffentlich zugänglichen Proxy-Servern – bereits fertig zusammengestellt oder mit Hilfe eines speziellen Skripts – von denen viele auf dem Schwarzmarkt angeboten werden – selbst erstellt.

Das Vorhandensein einer großen Zahl von Helfershelfern in Form von offenen Proxys hilft dem Gangster, den Anfragenstrom, der eine Dienstblockade verursachen soll, in eine verteilte DoS-Attacke umzuwandeln, also in eine DDoS. Die Experten nennen solche Angriffe bildhaft Shotgun DDoS, obwohl die Munition bei einem Schuss aus einer Schrotflinte – Shotgun – in mehrere Richtungen abgefeuert wird, und im Fall einer DDoS-Attacke alle über den Anonymisierer gestellten Anfragen auf ein und dasselbe Ziel gerichtet sind.

Hier die Vorteile, die sich für einen Angreifer aus der Verwendung von Proxy-Vermittlern ergeben:

  • Einfachheit in der Verwendung;
  • verborgene IP-Quelle;
  • Umgehung des ACL-Schutzes, da die Zugriffskontrolle nur gegenüber einzelnen Quellen von DoS wirksam ist, deren Durchführung leicht prognostiziert werden kann;
  • Umgehung regionaler Schwarzer Listen, die einige Organisationen zur gruppenweise Blockierung von Quellen benutzen, aus denen wenige Anfragen kommen;
  • Obfuskation der HTTP-Header (Proxys bringen an ihnen leichte Modifikationen an und tragen bei massenhafter Anwendung unfreiwillig dazu bei, schädliche Bots vor der Signatur-basierten Erkennung zu schützen).

Laut Incapsula ist der Schutz vor Shotgun-Attacken nicht einfach und macht ein ununterbrochenes Prüfen des eingehenden Traffics auf ungewöhnliches Verhalten seiner Quellen erforderlich sowie ein ständiges Beobachten der Reputation der IP. Zudem ist ein Anonymisierer ein unbeständiges Ding, neue Proxys tauchen mit beneidenswerter Regelmäßigkeit auf, und die alten Server werden außer Gefecht gesetzt.

Quelle:        incapsula

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.