Carsten Eilers Selbstständig

„Für Angriffe per Botnets gibt es eine Art „natürliche Grenze“: Irgendwann haben sie alle IT-Systeme infiziert, die sie infizieren können, und danach können sie nicht mehr weiterwachsen. Bei normalen IT-Systemen sinkt dazu noch die Zahl potenzieller Opfer, wenn die ausgenutzten Schwachstellen behoben werden. Bei den Geräten des IoT sieht es da anders aus, für die gibt es kaum Updates – und selbst wenn, werden sie wohl eher selten installiert. Die IoT-Botnets dürften uns also noch einige Zeit erhalten bleiben.“

Die DDoS-Angriffe werden immer vehementer, weil die Botnets dahinter immer größer werden und neue Angriffe ihre Schlagkraft vervielfachen. Wie lange das wohl so weitergeht? Und was kann man dagegen tun?

Betrachten wir einmal der Reihe nach die einzelnen Faktoren: Da sind zunächst die Botnets, die inzwischen für die meisten DDoS-Angriffe verwendet werden. Dann die verschiedenen Angriffe, mit denen sie versuchen, ihre Ziele lahmzulegen. Und zu guter Letzt die Möglichkeiten zur Abwehr dieser Angriffe – die inzwischen meist nur noch darin besteht, einen Dienstleister mit der Abwehr zu beauftragen. In Betracht kommen dazu entweder ein Content Delivery Network oder ein auf die Abwehr von DDoS-Angriffen spezialisierter Dienst.

Die Angreifer: Botnets

Anfangs wurden für DDoS-Angriffe kompromittierte Desktoprechner verwendet. Irgendwann merkten die Cyberkriminellen dann allerdings, dass sich auch die Geräte des IoT für diesen Zweck eignen. Richtig los ging es schließlich frei nach dem Motto „Schlimmer geht immer“ im Herbst 2016, als das Mirai-Botnet u. a. die Website des auf IT-Sicherheit spezialisierten Journalisten und Bloggers Brian Krebs, KrebsOnSecurity.com, lahmlegte. Die Hintergründe können Sie im Entwickler Magazin 1.2017 nachlesen, hier interessieren uns nur die Angriffe selbst. In Tabelle 1 sehen Sie diese im Überblick.

20. September 2016: Der erste Angriff auf Brian Krebs

Am Abend des 20. September wurde www.krebsonsecurity.com das erste Mal Opfer eines DDoS-Angriffs durch das Mirai-Botnet. Die Website wurde vom Akamai vor solchen Angriffen geschützt, und der Angriff lief ins Leere, sodass es nicht zu größeren Ausfällen kam. Aber laut Akamai war der Angriff mit ca. 620 Gigabit Traffic pro Sekunde fast doppelt so groß wie der größte Angriff, den man selbst je zuvor beobachtet hatte (363 Gbps), und gehörte zu den größten Angriffen dieser Art, die das Internet bis dahin erlebt hatte. Was außerdem ungewöhnlich war: Bis dato wurden für DDoS-Angriffe meist Techniken genutzt, um den Traffic des Angreifers weiter zu verstärken (z. B. durch DNS Reflection, bei der die Antworten auf gefälschte DNS-Anfragen auf den angegriffenen Server geleitet werden). Dieser Angriff ging aber ausschließlich von einem sehr großen Botnet aus. Es wurde einfach eine große Anzahl von Anfragen an den Webserver geschickt, darunter SYN-, GET- und POST-Floods.

22. September 2016: Weitere Angriffe zwingen Akamai zur Aufgabe

Nachdem die DDoS-Angriffe auf die Website von Brian Krebs weiter zunahmen, gab Akamai am 22. September 2016 auf und stellte den Schutz ein. Was Brian Krebs Akamai aber nicht übelnahm, da diese seinen Server vier Jahre lange erfolgreich kostenlos geschützt hatten und die Abwehr der aktuellen Angriffe sehr teuer war.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin 3.19 - "Machine Learning mit Python"

Alle Infos zum Heft
579886551DDoS-Angriffe und wer davon profitiert
X
- Gib Deinen Standort ein -
- or -