[datensicherheit.de, 16.10.2024] Laut einer Meldung von NETSCOUT zeigt der aktuelle „NETSCOUT DDoS Threat Intelligence Report“, dass sogenannte hacktivistische Aktivitäten weltweit zunehmen und für Organisationen sowie Branchen eine zunehmende Bedrohung darstellen, indem sie ihre Netzwerke durch DDoS-Angriffe (Distributed Denial of Service) überfordern: „Netzwerke und Server werden hierbei gezielt mit einer überdurchschnittlich hohen Menge von Anfragen bombardiert, so dass Nutzer keinen Zugriff mehr erhalten und die Dienste ausfallen.“ Deutschland belegt demnach im weltweiten Vergleich in zwei Kategorien den ersten Platz. „Sowohl bei der Größe der Bandbreite als auch bei der Datenübertragungsgeschwindigkeit, während eines DDoS-Angriffs, wurden in Deutschland die höchsten Werte gemessen.“

DDoS-Attacken fokussieren insbesondere auf die DACH-Region

In der DACH-Region seien der Telekommunikations- und Hosting-Sektor das Hauptziel. Kritische Infrastrukturen (KRITIS) in Deutschland seien dem Bericht zufolge verglichen mit Österreich und der Schweiz am stärksten betroffen – sowohl im Bezug auf die Häufigkeit als auch auf die Komplexität der DDoS-Angriffe:

Während Österreich bis zu 12.918 und die Schweiz eine maximale Anzahl von 17.316 Angriffe erlitten habe, seien für Deutschland mit 119.330 fast das Siebenfache an Attacken im Vergleich zur Schweiz, bzw. Neunfache verglichen mit Österreich, zu verzeichnen.

Vermehrte Anzahl an DDoS-Attacken oft in Kombination mit politischen Ereignissen

Der Deutsche Spitzenwert sei auf Datenverarbeitungs- und Hosting-Dienste zurückführen, während sich der maximale Wert der Nachbarländer auf Festnetz-Telekommunikationsanbieter beziehe. DDoS-Attacken zeichneten sich in Deutschland durch Multivektoren aus, die ihr Ziel zeitgleich aus unterschiedlichen Richtungen attackierten und Schwachstellen auf der Netzwerk- und Anwendungseben ausnutzten. Ein weiteres kritisches Element sei die Dauer der DDoS-Angriffe. „Hierbei war die Höchstdauer von rund 65 Minuten in der Schweiz zu verzeichnen, gefolgt von Österreich mit fast 57 Minuten und Deutschland mit 54 Minuten.“

Die vermehrte Anzahl an DDoS-Attacken und „hacktivistischen“ Aktivitäten seien oft in Kombination mit politischen Ereignissen festzustellen. Ein Erklärungsansatz für den erheblichen Anstieg dieser Attacken in der sogenannten EMEA-Region und dem Nahe Osten könnten geopolitische Spannungen sein, doch auch internationale Großveranstaltungen wie die Fußball-Europameisterschaft und die 2024 in Europa stattgefundenen Olympischen Spiele könnten als Katalysator dienen.

Weitere Informationen zum Thema:

NETSCOUT
DDoS THREAT INTELLIGENCE REPORT

NETSCOUT
Germany

Beispielhafte Meldung dreier neuer, aggressiver DDoS-Wellen

[datensicherheit.de, 24.04.2024] Check Point warnt in einer aktuellen Stellungnahme abermals vor DDoS-Attacken und meldet beispielhaft drei neue, aggressive -Wellen: „Wellenartige DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und Raffinesse zugenommen und werden sowohl von staatlich gesponserten Akteuren als auch von ,Hacktivisten’ durchgeführt, die Botnets und modernste Tools einsetzen.“ Diese Cyber-Kriminellen entwickelten sich ständig weiter und nutzten fortschrittliche Techniken, um Schwachstellen auszunutzen, was die Angriffsfläche für Unternehmen weltweit vergrößere.

Massive Layer-7-Web-DDoS-Attacken mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert

Check Point® Software Technologies Ltd. hat nun nach eigenen Angaben „eine steigende Anzahl von Vorfällen beobachtet, bei denen massive Layer-7-Web-DDoS-Angriffe mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert werden“.

Derartig ausgeklügelte Angriffe zeichneten sich durch ihre Hartnäckigkeit und Dauer aus. Sie umfassten koordinierte Angriffe über mehrere Vektoren der Netzwerk- und Anwendungsebene. Anhand der folgenden von Check Point beobachteten Beispiele lasse sich ein Bild der aktuellen Bedrohungslage skizzieren.

1. Beispiel für abgewehrte DDoS-Tsunami-Angriffe: Nationalbank in EMEA-Region

Eine große Nationalbank mit Sitz in der EMEA-Region sei innerhalb weniger Tage mit mindestens zwölf separaten Angriffswellen konfrontiert gewesen – in der Regel zwei bis drei pro Tag. „Um darzustellen, wie massiv die Angriffe ausfielen, empfiehlt sich die Heranziehung des RPS (Request per Second). RPS ist ein wichtiger Parameter für die Bewertung von Schwere, Auswirkungen und Umfang von DDoS-Angriffen und bezeichnet die Anzahl der Anfragen pro Sekunde.“

Bei dieser Bank überschritten demnach mehrere Angriffswellen die Schwelle von einer Million RPS. „Eine erreichte einen Spitzenwert von fast drei Millionen RPS. Zum Vergleich: Diese Bank hat normalerweise einen Datenverkehr von weniger als 1.000 RPS.“

Gleichzeitig hätten die Angreifer mehrere volumetrische Angriffe auf der Netzwerkebene mit über 100 Gbit/s gestartet. Bei diesen Angriffen sei eine Vielzahl unterschiedlicher Angriffsvektoren verwendet worden, darunter HTTPS-Flood, UDP-Fragmentierungsangriffe, TCP-Handshake-Verletzungen, SYN-Floods und mehr.

2. Beispiel: DDoS-Angriffswelle auf Versicherungsgesellschaft

Eine Versicherungsgesellschaft sei innerhalb weniger Tage mit mehreren groß angelegten Angriffswellen konfrontiert worden, wobei mehrere Wellen Spitzenwerte von über einer Million RPS erreicht hätten. „Die größte dieser Wellen erreichte 2,5 Millionen Anfragen pro Sekunde. Der typische Datenverkehr für das Unternehmen liegt bei mehreren hundert Anfragen pro Sekunde, so dass diese Angriffe die Anwendungsinfrastruktur bei Weitem überfordern würden.“

Darüber hinaus hätten die Angreifer einige der Angriffswellen mit volumetrischen Angriffen auf der Netzwerkebene kombiniert, „die über 100 Gbit/s erreichten“. Die Angriffe hätten ausgeklügelte Angriffsvektoren wie Web-DDoS-Tsunami-Angriffe (HTTP/S-Floods), DNS-Floods, DNS-Verstärkungsangriffe, UDP-Floods, UDP-Fragmentierungsangriffe, NTP-Floods, ICMP-Floods und mehr umfasst.

Einer der Angriffe sei z.B. mit mehreren Wellen über einen Zeitraum von drei Stunden erfolgt, wobei mehrere Spitzen den Schwellenwert von einer Million Anfragen pro Sekunde (RPS) erreicht hätten und einige über 2,5 Millionen RPS gestiegen seien.

3. Beispiel für DDoS-Attacken: Europäisches Telekommunikationsunternehmen

Abbildung: Check Point

Visuelle Darstellung eines Angriffs mit einer Spitzenwelle von über 1,5 Millionen RPS

Ein europäisches Telekommunikationsunternehmen sei wiederholt das Ziel staatlich unterstützter Angriffsgruppen gewesen. „In dieser Woche wurde es mit einer anhaltenden Web-DDoS-Attacke von etwa einer Million RPS fast ununterbrochen für zwei Stunden angegriffen, wobei der Spitzenverkehr 1,6 Mio. RPS erreichte.“

Schutz vor aggressiven DDoS-Wellen

Moderne DDoS-Angriffsprofile hätten sich weiterentwickelt und kombinierten mehrere Vektoren, um sowohl die Netzwerk- als auch die Anwendungsebene anzugreifen. Diese ausgeklügelten Angriffe nutzten Verschlüsselung und innovative Techniken wie dynamische IP-Adressierung, um legitimen Datenverkehr zu imitieren, „was sie äußerst effektiv und schwer zu erkennen macht“. Herkömmliche Abwehrmethoden seien oft unzureichend, insbesondere bei Angriffen auf Layer 7, da sie verschlüsselten Datenverkehr nicht effektiv untersuchen könnten.

Eine „cloud“-basierte, automatisierte DDoS-Abwehrinfrastruktur sei daher unabdinglich. Sie zeichne sich dadurch aus, dass sie vielschichtige Angriffe dieser Art nahtlos abfange und Unterbrechung der Arbeitsprozesse verhindere. Da die Bedrohungen sehr vielfältig ausfielen, brauche es daher bestenfalls eine Reihe automatisierter Schutzmodule.

Diese neue Welle von Cyber-Bedrohungen unterstreiche die Notwendigkeit adaptiver und umfassender Verteidigungsstrategien, „die solche Angriffe antizipieren und entschärfen können, um ununterbrochene Dienste und den Schutz kritischer Infrastrukturen zu gewährleisten“.

Weitere Informationen zum Thema:

CHECK POINT, 23.04.2024
Protecting Against DDoS Tsunami Attacks

datensicherheit.de, 25.03.2024
Hacktivisten: Erfolgreiche DDoS-Attacken stärken Fan-Basis im CyberSpace / Zunahme des Hacktivismus im Namen von Ideologien und politischen Zielen

datensicherheit.de, 24.02.2023
DDoS-Attacken: Tipps zum Erkennen und Abwehren / Patrycja Schrenk erläutert, wie DDoS-Attacken erkannt werden können, und welche Möglichkeiten es zur Abwehr gibt

Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass diesjährige Olympische Sommerspiele ein Ziel Cyber-Krimineller sind

[datensicherheit.de, 09.04.2024] Im Rahmen des „InCyber“-Forums, welches vom 26. bis 28. März 2024 im französischen Lille stattfand, hatte Vincent Strubel, Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass die diesjährigen Olympischen Sommerspiele vom 26. Juli bis 11. August 2024 in Paris ein „Ziel“ seien – insbesondere für solche ausländischen Staaten, welche darauf aus seien, „die Eröffnungsfeier zu stören oder Probleme im öffentlichen Verkehr zu verursachen“. Frankreich sei zwar bereit, doch müsse man sich in dieser Zeit auch auf unerwartete Szenarien einstellen, so Strubel warnend. Richard Hummel, Leiter der „Abteilung für Bedrohungsanalysen“ bei NETSCOUT, geht in seinem Kommentar daher auf die Notwendigkeit von Transparenz, Bedrohungsanalysen sowie der Einführung modernster Cyber-Sicherheitsstrategien und spezieller Software ein, um etwa DDoS-Angriffe effektiv zu erkennen und zu stoppen.

Foto: NETSCOUT

Richard Hummel: Cyber-Angriffe kennen keine Grenzen und internationale Veranstaltungen werden zu bevorzugten Zielen für Angreifer!

Vollständige Transparenz der Netzwerkaktivitäten und tiefes Verständnis der Bedrohungen im Kontext einer robusten Cyber-Sicherheitsstrategie empfohlen

Hummel unterstreicht: „Cyber-Angriffe kennen keine Grenzen und internationale Veranstaltungen werden zu bevorzugten Zielen für Angreifer. Ob es sich um Staaten, Kriminelle oder ,Hacktivisten‘ handelt, die potenziellen Ziele sind zahlreich.“ Insbesondere DDoS-Angriffe stellten eine erhebliche Cyber-Bedrohung dar, da sie Online-Dienste unzugänglich machen könnten, was ganz real katastrophale Auswirkungen auf den Ruf, die Sicherheit und sogar auf die Finanzen haben könne.

Der Schlüssel zur Bekämpfung dieser Cyber-Bedrohungen liege daher in einer vollständigen Transparenz der Netzwerkaktivitäten und einem tiefen Verständnis der Bedrohungen, „die in eine robuste Cyber-Sicherheitsstrategie integriert sind“. Um größere Schäden zu vermeiden, müsse man grundsätzlich in der Lage sein, ungewöhnliche Aktivitäten schnell zu erkennen und zu identifizieren und den Grad der Bedrohung zu bestimmen, welche sie darstellten – von menschlichem Versagen bis hin zu bösartigen Handlungen. „Dies setzt eine kontinuierliche Überwachung voraus, die durch eine Analyse der Trends bei Cyber-Angriffen verstärkt wird und zu einer schnellen Anpassung der Abwehrsysteme führt.“

Cyber-Attacken bereiten nicht nur harmlose technische Probleme, sondern haben reale Auswirkungen auf Sicherheit, Wirtschaft und Wohlergehen der Bürger

Beispielsweise DDoS-Angriffe und auch andere Formen von Cyber-Attacken seien nicht nur harmlose technische Probleme, sondern hätten ganz reale Auswirkungen auf die Sicherheit, die Wirtschaft und das Wohlergehen der Bürger. Die Erfahrungen aus früheren Austragungen der Olympischen Spiele, wie in Tokio 2021 oder in London 2012, um nur einige zu nennen, bei denen die Zahl der Angriffe ein Rekordniveau erreicht habe, müssten allen Verantwortlichen als Lehre dienen, um die Cyber-Verteidigung und -Widerstandsfähigkeit gegen diese Bedrohungen zu stärken.

„Zusammenfassend lässt sich sagen, dass die Vorbereitung auf die Sommerspiele im Hinblick auf die Cyber-Sicherheit absolute Priorität haben muss“, verdeutlicht Hummel. Die Zusammenarbeit zwischen Sicherheitsexperten, Regierungsbehörden, Privatunternehmen und internationalen Organisationen sei unerlässlich, um Cyber-Bedrohungen vorherzusehen, zu erkennen und zu neutralisieren, „bevor sie sich materialisieren“. Im Mittelpunkt dieser Vorbereitung stehe jedoch die Fähigkeit, eine reale Bedrohung schnell zu erkennen und zu verstehen, „bevor sie die Chance hat, Schaden anzurichten, was in der Tat entscheidend für die Sicherheit und den Erfolg der Spiele sein wird“.

Weitere Informationen zum Thema:

datensicherheit.de, 17.11.2022
DDoS-Angriffe bedrohen FIFA Fußall-Weltmeisterschaft 2022 / Seit fast zwei Jahrzehnten nutzen Bedrohungsakteure zunehmend DDoS-Angriffe auf Großveranstaltungen

datensicherheit.de, 30.08.2021
Olympische Sommerspiele: Zscaler kommentiert gefälschtes Streaming und Adware / Online-Streaming war die bevorzugte Möglichkeit für Sportinteressenten weltweit, die 2021 nachgeholten Wettbewerbe am Bildschirm mitzuverfolgen

datensicherheit.de, 26.07.2021
Digitale Olympische Spiele: Erhöhte Anforderungen an IT-Sicherheit / Chris Harris nimmt Stellung zur wachsenden Abhängigkeit der Abläufe von der IT-Infrastruktur

datensicherheit.de, 08.02.2018
Olympia 2018 als Hacker-Spielwiese / Digital Shadows warnt vor Datenleaks, Phishing-Versuchen und Fake-Domains im Kontext der Winterspiele in Südkorea

datensicherheit.de, 23.07.2012
Olympia 2012: Sportfans im Visier von Cyber-Kriminellen / G Data warnt vor vermehrten Cyber-Attacken und Betrugsfällen während der Spiele

datensicherheit.de, 12.07.2012
Olympische Spiele: Online-Kriminelle stellen E-Mail-Fallen / Trend Micro warnt vor Spam-Angriffen anläßlich des Großereignisses in London

[datensicherheit.de, 25.03.2024] Zu Abwehrmaßnahmen gegen sogenannte Hacktivisten nimmt Thomas Boele, „Regional Director Sales Engineering, CER / DACH“ bei Check Point Software Technologies, Stellung: „Aktuell lässt sich eine Zunahme des Hacktivismus, d.h. von Hacking-Angriffen im Namen von Ideologien und politischen Zielen feststellen.“ Diese wollen demnach Aufmerksamkeit erregen und Symbole, Personen und Institutionen stören. Boele warnt: „Die Websites und verbundenen bürgernahen Services staatlicher Einrichtungen bieten eine großzügige Angriffsfläche.“ Die meisten dieser Aktivitäten gehen aktuell demnach von den Gruppen „NoName057(16)“ und „Anonymous Sudan“ aus, denen Zehntausende auf „Telegram“ folgten. Mit jedem angeblich erfolgreichen Angriff nehme die Zahl weiter zu. Er berichtet: „In den letzten Wochen und Monaten kam es häufig zu Angriffen mit dem Ziel, das Vertrauen in die jeweiligen Regierungen zu untergraben. Neben staatlichen Organisationen werden jedoch auch Unternehmen ins Visier genommen, darunter Banken oder populäre Services wie ,ChatGPT’. Ähnliche Angriffe erleben wir fast jeden Tag auf der ganzen Welt.“

Hacktivisten zeigen ihre Macht – sie stiften Chaos, schüchtern ein und richten Schaden an

„Hacktivistische“ Gruppen wollten Chaos stiften, einschüchtern und ihre Macht demonstrieren – und auch Schaden anrichten. „Wenn eine Website nicht funktioniert, ist das ein Problem, die Anwender können nicht auf Informationen und Dienste zugreifen, die Kosten steigen und die Auswirkungen auf den Ruf der Organisation sind ebenfalls schwerwiegend. Aber in erster Linie geht es den Angreifern einfach um die Aufmerksamkeit der Medien. Ein DDoS-Angriff ist oft erfolgreich, sei es für Minuten oder Stunden, wenn er ausreichend unterstützt wird und das ist genau das, worauf diese Hacker-Gruppen aus sind“, so Boele.

Letztlich gebe es gefährlichere Angriffsformen, welche aber viel Zeit und Vorbereitung erforderten und auch teurer seien. Der DDoS-Angriff selbst diene nicht dem Datendiebstahl oder anderen Spionagetätigkeiten, sondern überlaste nur ausgewählte Dienste oder Websites. Gleichzeitig könne er aber auch ein Täuschungsmanöver sein, um von anderen, weitaus schwerwiegenderen Angriffen abzulenken.

Hacktivisten greifen über das Darknet auf Botnetze zurück

Hacktivisten-Gruppen griffen über einschlägig bekannte Dienste im Darknet auf – aus Millionen von Computern und anderen Geräten bestehenden – Botnetze zurück. Darüber hinaus hätten Gruppen wie „NoName057(16)“ auf ihren „Telegram“-Konten über bevorstehende Angriffe gepostet und Fans ermutigt, sich den Angriffen anzuschließen und sich ebenfalls an den Operationen zu beteiligen. „NoName057(16)“ habe sogar ein DDoS-Angriffs-Baukasten namens „DDoSia“ initiiert, welcher die an Angriffen Interessierten zusammenbringe und die aktivsten Mitwirkenden mit lukrativen finanziellen Prämien belohne.

Die Zunahme der Angriffe hänge auch mit dem Phänomen der Cyber-Kriminalität als Dienstleistung zusammen. Die größten Hacktivisten-Gruppen vermieteten ihre Botnetze. „,Anonymous Sudan’ beispielsweise rühmt sich, dass das ,InfraShutdown’-Botnetz in der Lage ist, die Dienste großer multinationaler Unternehmen lahm zu legen“, erläutert Boele. Außerdem gebe es traditionelle Marketingaktionen, Rabatte und VIP-Dienste: „Kürzlich gab es beispielsweise eine Sonderaktion für 500 US-Dollar pro Stunde und die Möglichkeit, das ,InfraShutdown’-Botnet für Angriffe auf Internetanbieter zu nutzen. Ein anderes Botnet, ,Godzilla’, kann wiederum für eine Woche für 500 US-Dollar oder einen Monat für 2.500 US-Dollar gemietet werden.“

Ähnliche Angriffe mit der Macht großer Gruppen könnten mithin leider auch von Amateuren ohne technische Kenntnisse durchgeführt werden. Boele unterstreicht die Bedrohungslage: „In ähnlicher Weise kann praktisch jede andere Bedrohung und Art von Angriff gekauft werden. Und Cyber-Kriminelle können dann ihre anderen Aktivitäten finanzieren, einschließlich Hacktivisten-Angriffe.“ Es gebe defacto keine Möglichkeit, eine Hacktivisten-Gruppe daran zu hindern, mit Hilfe eines Botnetzes und einer Schar von Anhängern ihre ganze Kraft auf ein bestimmtes Ziel zu richten.

Unternehmen und Behörden müssen sich der Hacktivisten-Bedrohung bewusst sein und präventiv handeln

Boele betont abschließend: „Ganz gleich ob Unternehmen oder Behörde, es ist wichtig, dass sich die zuständigen IT-Sicherheitsverantwortlichen auf die Prävention und den Schutz vor jeder Art von Bedrohung im Bereich der Cyber-Sicherheit konzentrieren.“

Diese sollten verschiedene Szenarien entwickeln und klare Reaktionspläne für den Fall eines Angriffs vorhalten. Veraltete und nicht aktualisierte IT sei immer ein Problem. Dies gelte insbesondere für Kritische Infrastrukturen (KRITIS), aber auch für ausgefeilte Angriffe auf Webservices.

Auch veraltete Sicherheitstechnologien könnten ein Problem darstellen. „Zentralisierung und Konsolidierung können Abhilfe schaffen, ebenso wie die Notwendigkeit, Systeme zu segmentieren und zu differenzieren“, rät Boele.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2022
Khuzestan Steel Company: Iranischer Stahlkonzern von Hackern lahmgelegt / Vorfall reiht sich in eine Flut von Attacken durch Hacker-Gruppen ein

datensicherheit.de, 05.08.2021
Cyber-Attacke auf KRITIS im Landkreis Anhalt-Bitterfeld zeigt: Kommunen sollten sich besser schützen / Kommunale Verwaltungen gehören zur Kritis – sie sichern die Versorgung der Bevölkerung mit essenziellen Gütern und somit gesellschaftliches Wohlergehen

Patrycja Schrenk erläutert, wie DDoS-Attacken erkannt werden können, und welche Möglichkeiten es zur Abwehr gibt

[datensicherheit.de, 24.02.2023] „Wenn Cyber-Kriminelle mit DDoS-Attacken Firmennetzwerke, Webseiten und ganze Online-Shops lahmlegen, kann das für die Betroffenen schnell zum wirtschaftlichen Fiasko werden, wenn der Shop oder die Firmen-Homepage über Stunden oder gar Tage hinweg nicht erreichbar ist“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme und gibt Tipps, wie DDoS-Attacken erkannt werden können und welche Möglichkeiten es gibt, solche Angriffe abzuwehren.

Foto: PSW GROUP

Patrycja Schrenk: DDoS-Attacken zielen auf Verzögerungen oder Komplettausfälle!

DDoS-Angriffe auf den ersten Blick nur schwer zu erkennen

Schrenk erläutert: „DDoS-Attacken haben im Gegensatz zu anderen Angriffen nicht das Ziel, ein System zu kompromittieren, sondern Verzögerungen oder Komplettausfälle herbeizuführen. Allerdings können diese Attacken in Kombination mit einem Hacking-Versuch auftreten und dienen dann als Ablenkungsmanöver.“ Das Problem sei: „DDoS-Angriffe sind auf den ersten Blick nur schwer zu erkennen.“ Denn sie ähnelten zunächst einer Flut legitimer Nutzeranfragen auf den Online-Shop oder auf die Website.

Es gebe jedoch Möglichkeiten, den künstlich erzeugten „Traffic“ eines Distributed-Denial-of-Service-Angriffs von dem organischen Datenverkehr zu unterscheiden: „Trotz Spoofing- und Distribution-Techniken gehen viele DDoS-Angriffe von einer begrenzten IP-Range, einem einzelnen Land oder einer Region aus – vielleicht von einer, die normalerweise nicht viel ,Traffic’ erzeugt.“ Ein weiteres, auffälliges Anzeichen für eine DDoS-Attacke sei es, wenn der gesamte Datenverkehr von demselben Client kommt – also zum Beispiel mit demselben Betriebssystem und Web-Browser. Normalen organischen „Traffic“ würde sich in diesem Punkt durch eine „natürliche Vielfalt“ der verwendeten Geräte auszeichnen. Auch wenn extrem hoher Datenverkehr nur auf einen einzigen Server, einen Netzwerkanschluss oder eine Webseite einstürzt, statt sich gleichmäßig über eine komplette Website zu verteilen, sei das ein Anhaltspunkt für einen DDoS-Angriff.

Bei DDoS-Angriff rasch und überlegt handeln!

„Tritt der ,Worst Case’ ein und Cyber-Kriminelle bombardieren den Webserver mit sinnlosen oder ungültigen Anfragen, bis er unter der Last zusammenbricht und eine Website nicht mehr erreichbar ist, ist es wichtig zu wissen, was zu tun ist und mit klarem Kopf die entsprechenden Schritte einzuleiten, um den Angriff abzuwehren“, unterstreicht Schrenk.

Konkret rät Schrenk: „Zunächst müssen umgehend Vorgesetzte oder die Sicherheitsexperten der IT-Abteilung informiert werden. Je schneller das geschieht, desto schneller können sie Gegenmaßnahmen einleiten.“ Dies setze allerdings voraus, dass Mitarbeiter durch Schulungen über die Anzeichen eines Angriffs informiert sind und wissen, wie sie sich zu verhalten haben.

Mehrstufige Reaktion auf DDoS-Attacken

Im nächsten Schritt gelte es, sensible Daten und deren Zugang zu sichern beziehungsweise diesen sofort zu blockieren, um es Angreifenden unmöglich zu machen, Daten aus dem Unternehmen zu stehlen oder zu beschädigen. „Im Anschluss müssen die betroffenen Systeme isoliert werden, um zu verhindern, dass Angreifende eventuell weitere Systeme infizieren und dort Schäden verursachen.“

Ist dies erfolgt, sollten Beweise für den Angriff gesammelt werden. Dabei sollten laut Schrenk so viele Daten wie möglich zusammengetragen werden. Dazu zählten Informationen über die Art des Angriffs – „handelt es sich beispielsweise um UDP-Flood, SYN-Flood oder HTTP-Flood?“ – über den Zeitpunkt des Angriffs und die IP-Adresse(n) des oder der Angreifer.

Erprobten Notfallplan auch für den Falle einer DDoS-Attacke vorhalten!

„Wir betonen immer wieder, wie wichtig es ist, einen Notfallplan zu haben und diesen auch zu befolgen. Das trifft auch im Falle einer DDoS-Attacke zu.“

Denn darin sei nicht nur festgehalten, welche Abteilungen oder Verantwortlichen in welcher Reihenfolge informiert werden müssten, sondern auch die zu ergreifenden Maßnahmen, welche zur Reduzierung der Auswirkungen eines Angriffs führten und mit denen das Netzwerk wieder in seinen Originalzustand versetzt werde.

DDoS-Attacken vergleichsweise einfach abzuwehren

Auch wenn es ohne Hilfsmittel schwierig sei, DDoS-Angriffe und den damit einhergehenden „Traffic“ von legitimen Anfragen zu unterscheiden, ließen sich diese Attacken vergleichsweise einfach abwehren. Denn Unternehmen müssten im Grunde genommen nur die benötigten Ressourcen und Kapazitäten schaffen, um die Masse an Anfragen verarbeiten zu können.

Dies gelinge durch Zuschaltung von Rechenleistung, beispielsweise durch „Cloud“-Dienste, so dass der Anstieg von Anfragen verarbeitet und reguliert werden kann. Zusätzlich ließen sich weitere, verschiedene Sicherheitsmaßnahmen integrieren und umsetzen. Ein wichtiger Ansatzpunkt dafür sei die Identifizierung der kritischen IP-Adressen der Anfragen sowie die Schließung bekannter Sicherheitslücken.

Vorbeugung und Gegenmaßnahmen zur Abwehr eines DDoS-Angriffs:

Überwachung von Ressourcen und Netzwerk
Ein intelligentes Überwachungssystem für das gesamte Unternehmensnetzwerk könne sicherstellen, „dass Ressourcen und Kapazitäten nicht überlasten oder die Leistung von Website und Anwendungen nicht beeinträchtigt werden“.

Implementierung von DDoS-Schutzmaßnahmen
Die regelmäßige Überprüfung und Optimierung der eigenen Schutzmaßnahmen gegen DDoS-Angriffe sollte obligatorisch sein. Dazu gehöre auch, neue Technologien oder Dienste zu implementieren, um das Netzwerk besser vor Angriffen zu schützen.

IP-Sperrlisten
Sperrlisten, auch „Blacklists“ genannt, ermöglichten es, IP-Adressen zu identifizieren und Datenpakete direkt zu verwerfen. „Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren“, so Schrenks Tipp.

Filterung über „Scrubbing Center“
Der gesamte Datenverkehr werde zunächst an ein sogenanntes Scrubbing-Center umgeleitet, dort bereinigt und es dann an den eigentlichen Server weitergeleitet. „Um auffällige Datenpakete herauszufiltern, können Grenzwerte für Datenmengen in einem bestimmten Zeitraum definiert werden. Dabei ist jedoch zu beachten, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Server registriert und möglicherweise unbegründet blockiert werden“, bemerkt Schrenk.

SYN-Cookies
SYN-Cookies nähmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. „Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr auf dem Server gespeichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen zwar Rechenkapazität, belasten jedoch nicht den Speicher des Zielsystems“, informiert Schrenk.

Load-Balancing
Load-Balancing sei eine effektive Gegenmaßnahme gegen Überlastung, indem es die Lastenverteilung auf verschiedene Systeme – Hardware oder auch „Cloud“-Dienste – aufteile.

Weiterbildung
Die Schulung der Mitarbeiter trage maßgeblich zur Sicherheit bei. „Wenn Mitarbeitende Angriffe schneller erkennen und wissen, was zu tun ist, verkürzt das die Reaktionszeiten der IT-Abteilung oder IT-Sicherheitsbeauftragten enorm.“

Reporting über den Angriff
Nach einem Angriff sollten alle gesammelten Daten analysiert werden, um Schwachstellen zu identifizieren und zukünftige Angriffe zu verhindern. Idealerweise werde ein Bericht erstellt, um die Angriffssituation zu dokumentieren.

DDoS-Angriffe haben Einkehr in den Alltag gehalten

„DDoS-Angriffe haben ihren Weg in unseren Alltag gefunden. Jedoch hilft der technologische Fortschritt, sich weitgehend gegen solche Attacken zu schützen. ,Network Service Provider’ beispielsweise integrieren inzwischen Sicherheitssysteme in ihre Dienstleistungen, die DDoS-Angriffe erkennen und entsprechende Gegenmaßnahmen einleiten.“ Der IT-Dienstleister halte dann genügend Kapazitäten vor, um große Mengen an eingehendem Datenverkehr zu bewältigen.

Natürlich könne auch jedes Unternehmen diese Praxis selbst umsetzen und je nach Situation sein eigenes Netzwerk aufrüsten oder ein „Content Delivery Network“ (CDN) nutzen. „Auch CDNs verfügen in der Regel über eine große Gesamtkapazität, so dass viele DDoS-Angriffe abgewehrt werden können. Zudem lässt sich in vielen Fällen Angriffsverkehr filtern“, so Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 01.02.2023
Bedrohungslage / Das können Sie tun, um DDoS-Angriffe erfolgreich abzuwehren

Seit fast zwei Jahrzehnten nutzen Bedrohungsakteure zunehmend DDoS-Angriffe auf Großveranstaltungen

[datensicherheit.de, 17.11.2022] NETSCOUT geht in einer aktuellen Stellungnahme auf die Beobachtung ein, dass seit fast zwei Jahrzehnten Bedrohungsakteure zunehmend Distributed-Denial-of-Service-Angriffe (DDoS) nutzen, um Veranstaltungen wie die FIFA-Fußballweltmeisterschaft, die am 20. November 2022 in Katar beginnt, anzugreifen.

Foto: NETSCOUT

Karl Heuser: Informationsaustausch und Zusammenarbeit mit Telekommunikationsunternehmen und Internet-Dienstleistern bei solchen Events besonders wichtig!

Auch Sponsoren und Partner könnten ins Cyber-Visier – etwa mit DDoS-Attacken – geraten

„Während der Fußballweltmeisterschaft 2018 in Russland war das Land fast 25 Millionen Cyber-Angriffen ausgesetzt. Die Sommerspiele 2020 in Tokio stellten Berichten zufolge mit mehr als 450 Millionen Angriffen ein großes Ziel dar.“ Globale Sportereignisse kosteten mittlerweile Hunderte von Milliarden an Investitionen – mit den hohen Kosten und der Bekanntheit komme unweigerlich unerwünschte Aufmerksamkeit von Cyber-Kriminellen, um daraus Profit zu schlagen.

Karl Heuser, „Account Manager Security DACH“ bei NETSCOUT, führt aus, wie sich Unternehmen darauf vorbereiten können: „Der Informationsaustausch und die Zusammenarbeit mit kommerziellen Anbietern wie Telekommunikationsunternehmen und Internet-Dienstleistern (ISPs) ist bei solchen Events besonders wichtig, weshalb diese Firmen oft an vorderster Front stehen, wenn es um das Erkennen und Stoppen von Cyber-Angriffen geht.“ Aber auch Sponsoren und Partner könnten ins Visier geraten.

Cyber-Kriminelle können DDoS-for-hire-Dienste nutzen

Cyber-Kriminelle könnten mittlerweile sogenannte DDoS-for-hire-Dienste nutzen, um einen massiven DDoS-Angriff auszuführen, ohne die notwendigen technischen Kenntnisse dafür zu haben. „Darüber hinaus nutzen sie weiterhin etablierte DDoS-Angriffsmechanismen, wie SYN-, ACK-, RST- und GRE-Floods, und setzen dabei leistungsstarke Server mit Hochgeschwindigkeitsnetzverbindungen ein“, berichtet Heuser.

Neue Techniken wie adaptive DDoS, bei denen die Vektoren je nach Abwehrsituation geändert würden, verstärkten den Bedarf an einem Schutz durch On-Premises-Lösungen mit seiner inhärenten Agilität und Effizienz bei der Angriffsabwehr.

Mehrschichtigen hybride DDoS-Verteidigungsstrategie inzwischen unabdingbar

„Herkömmliche ,cloud’-basierte DDoS-Schutz-Lösungen, einschließlich derer, die von ISPs oder CDNs bereitgestellt werden, sind darauf ausgelegt, große volumetrische DDoS-Angriffe zu stoppen“, so Heuser. Sie hätten jedoch Schwierigkeiten, Angriffe zu verhindern, die darauf abzielten, diesen DDoS-Schutz zu umgehen. „Insbesondere sind hier State-Exhaustion-Angriffe zu nennen, die darauf abzielen Firewalls und sonstige TCP-Session basierte Systeme zu überlasten.“

Aufgrund der dynamischen, vektorübergreifenden Natur eines durchschnittlichen modernen DDoS-Angriffs müssten Sicherheitsteams daher im Zusammenspiel sowohl On-Premise als auch eine Cloud-Lösung mit einer intelligenten und automatisierten Integration einsetzen. Abschließend betont Heuser: „Die Notwendigkeit einer mehrschichtigen hybriden Verteidigungsstrategie ist inzwischen unabdingbar.“

Weitere Informationen zum Thema:

the japan times, 05.10.2021
Around 450 million cyberattacks blocked during Tokyo Games

datensicherheit.de, 30.08.2021
Olympische Sommerspiele: Zscaler kommentiert gefälschtes Streaming und Adware / Online-Streaming war die bevorzugte Möglichkeit für Sportinteressenten weltweit, die 2021 nachgeholten Wettbewerbe am Bildschirm mitzuverfolgen

datensicherheit.de, 26.07.2021
Digitale Olympische Spiele: Erhöhte Anforderungen an IT-Sicherheit / Chris Harris nimmt Stellung zur wachsenden Abhängigkeit der Abläufe von der IT-Infrastruktur

TheGuardian, 16.07.2018
Football / 25 million cyber-attacks targeted at Russia during World Cup: Putin

datensicherheit.de, 12.07.2012
Olympische Spiele: Online-Kriminelle stellen E-Mail-Fallen / Trend Micro warnt vor Spam-Angriffen anläßlich des Großereignisses in London

[datensicherheit.de, 06.07.2022] Cloudflare hat sich nach eigenen Angaben darauf spezialisiert, DDoS-Attacken abzuwehren und regelmäßig Daten zu neuesten Angriffstrends, zu Ursprungsländern von Cyber-Attacken und zu angegriffenen Branchen zu veröffentlichen. Aktuell hat Cloudflare die DDoS-Attack-Trends für das zweite Jahresquartal 2022 veröffentlicht: In den Monaten April bis Juni wurden in der sogenannten DACH-Region demnach überwiegend Medien-Unternehmen sowie IT- und Software-Organisationen attackiert. In einer Stellungnahme hierzu wird auf die wichtigsten Ergebnisse im Überblick eingegangen.

Cloudflare-Statistik beinhaltet größte jemals gemessene HTTPS-DDoS-Attacke

Neben dem allgemeinen internationalen Angriffsgeschehen werde in der neuen Cloudflare-Statistik auch auf die größte jemals gemessenen HTTPS-DDoS-Attacke eingegangen, welche dieses Unternehmen im Juni 2022 abgewehrt habe. Zudem analysiere Cloudflare das Angriffsverhalten in Russland und der Ukraine.

Der o.g. HTTPS-DDoS-Angriff mit 26 Millionen Anfragen pro Sekunde sei von einem kleinen, aber starken Botnetz ausgegangen. „Der Angriff wurde automatisch erkannt und abgewehrt.“

Ziele der Cyber-Angriffe in Russland und der Ukraine laut Cloudflare

Rundfunk- und Medienunternehmen seien im zweiten Quartal 2022 in der Ukraine am stärksten von DDoS-Angriffen betroffen gewesen. Die fünf am häufigsten angegriffenen Branchen der Ukraine seien allesamt Online-/Internet-Medien, Verlage und Rundfunkanstalten.

In Russland hingegen seien Online-Medien als am häufigsten angegriffene Branche auf den dritten Platz zurückgefallen. In Russland am meisten betroffen sei der Sektor „Banken, Finanzdienstleistungen und Versicherungen“ (BFSI) gewesen – „fast 45 Prozent aller DDoS-Angriffe auf der Anwendungsebene zielten auf den BFSI-Sektor ab“. Kryptowährungs-Unternehmen in Russland seien am zweithäufigsten angegriffen worden.

Weitere wichtige Cloudflare-Erkenntnisse:

Vermehrte Lösegeldforderungen
Im Juni 2022 hätten 20 Prozent der Cloudflare-Kunden, welche von einem DDoS-Angriff betroffen gewesen seien, gemeldet, dass sie eine Lösegeldforderung erhalten hätten. Dies sei der höchste Wert in diesem Jahr (2022) und ein deutlicher Anstieg im Vergleich zu sechs Prozent im Mai und zwölf Prozent im April.

Luft- und Raumfahrtindustrie im Visier
Die Angriffe auf die Luft- und Raumfahrtindustrie hätten seit dem ersten Quartal 2022 um 256 Prozent zugenommen.

Längere Angriffsdauer
Während die meisten Angriffe kurzweilig seien, habe Cloudflare im zweiten Quartal 2022 über 20 Prozent mehr Angriffe verzeichnet, welche zwischen 20 und 60 Minuten dauerten, und einen Anstieg von neun Prozent bei Angriffen mit einer Dauer länger als drei Stunden.

Weitere Informationen zum Thema:

The Cloudflare Blog, 06.07.2022
DDoS attack trends for 2022 Q2

The Cloudflare Blog, 14.06.2022
Cloudflare mitigates 26 million request per second DDoS attack

Deutsche E-Commerce-Sektor im zweiten Halbjahr 2021 rund 16.918 DDoS-Angriffen ausgesetzt

[datensicherheit.de, 30.05.2022] Laut dem aktuellen „Threat Intelligence Report“ von NETSCOUT hat der deutsche E-Commerce-Sektor im zweiten Halbjahr 2021 rund 16.918 DDoS-Angriffe verzeichnet. Dies stellt demnach einen Anstieg von 7,5 Prozent gegenüber dem ersten Halbjahr 2021 dar „und macht die Branche im zweiten Jahr in Folge zum zweitstärksten Angriffsziel in Deutschland nach Datenverarbeitungsdiensten“.

Foto: NETSCOUT

Karl Heuser warnt: Keine Frage mehr, ob ein Online-Händler von einem DDoS-Angriff betroffen sein wird!

E-Commerce im Aufwind: Trend zum Online-Shopping wird sich fortsetzen

„Selbst wenn die ,Pandemie‘-Beschränkungen nachlassen, wird sich der Trend zum Online-Shopping fortsetzen. Da Cyber-Kriminelle immer neue Techniken und Methoden entwickeln, um ihre Ziele zu erpressen, ist es keine Frage mehr, ob ein Online-Händler von einem DDoS-Angriff betroffen sein wird“, betont Karl Heuser, „Account Manager Security DACH“ bei NETSCOUT.

So setzten Ransomware-Banden zunehmend Dreifach-Erpressungsangriffe ein, bei denen Ransomware, Datendiebstahl und DDoS-Angriffe kombiniert würden, um Händler unter Druck zu setzen, das Lösegeld zu zahlen.

In den meisten Fällen zahlten die Opfer das Lösegeld, um den Verlust von Kundendaten und die Schädigung des Rufs des Geschäfts zu vermeiden.

Neue Malware gegen E-Commerce entwickelt, welche Form Maschinellen Lernens nutzt

Angreifer hätten auch neue Malware entwickelt, welche eine Form des Maschinellen Lernens nutze, die sich an ihre unmittelbare Umgebung anpasse und unentdeckt bleibe. So würden beispielsweise Phishing-Angriffe immer raffinierter und nutzten verschiedene Kanäle, darunter SMS und Sprachanrufe. Heuser: „Ganz zu schweigen davon, dass das Starten von DDoS-Angriffen mit illegalen DDoS-for-Hire-Diensten nicht einmal mehr eine geringe Gebühr oder technisches Know-how erfordert.“

Eine weitere Problematik sei, dass Online-Shops und E-Commerce Anbieter ihre Services über verschlüsselte Kanäle anböten. „In diesem Zeitraum wurden besonders viele Angriffe auf der Anwendungsebene über HTTPS beobachtet. Betrachtet man die Bandbreite und den Durchsatz von Angriffen auf Anwendungen und Dienste am Standard HTTPS-TCP-Port 443 über einen Zeitraum von zwei Jahren, so zeigt sich ein deutlicher Trend zu stärkeren Angriffen.“

Obwohl es wichtig sei, dass die Einführung des weit verbreiteten Sicherheitsprotokolls im Internet, „TLS 1.3“, zügig voranschreite, müssten Unternehmen die damit verbundene Zunahme an Komplexität und „Overhead“ berücksichtigen und gleichzeitig sicherstellen, „dass ihre öffentlich zugänglichen Angebote und Services so konzipiert und implementiert sind, dass sie eine maximale Widerstandsfähigkeit gegenüber derartigen DDoS-Angriffen gewährleisten“, rät Heuser abschließend.

Weitere Informationen zum Thema:

NETSCOUT
Issue 8: Findings from 2nd Half 2021 / Netscout Threat Intelligence Report

[datensicherheit.de, 02.12.2021] Das vergangene „Cyber Weekend 2021“ lockte offensichtlich nicht nur Schnäppchenjäger ins Internet. Neueste Auswertungen des IT-Sicherheitsanbieters Link11 zeigen demnach, „dass auch Cyber-Kriminelle versuchten, die Gunst der Stunde zu nutzen“. Laut Auswertungen des „Link11 Security Operations Center“ (LSOC) seien Unternehmen mit DDoS-Attacken überzogen worden, um diese zu schädigen oder „Bitcoins“ zu erpressen. „Jedoch fiel die Anzahl der Angriffe dieses Jahr noch höher als erwartet aus und auch die überraschende Wucht der Angriffe sorgte für besorgniserregende Rekorde.“

Stärkste DDoS-Angriffe am Black Friday und Cyber Monday

Während des gesamten „Cyber“-Wochenendes habe das LSOC in seinem weltweiten Netzwerk gesteigerte DDoS-Angriffsaktivitäten registriert. „Besonders häufig griffen die Täter jedoch am ,Black Friday‘ und am ,Cyber Monday‘ an. Hier betrug die Zunahme bei der Anzahl der DDoS-Angriffe gegenüber dem Vorjahr über 200 Prozent.“
Im Visier der Angreifer hätten neben E-Commerce-Anbietern, Zahlungsdienstleistern und Logistikunternehmen vielfach auch Hosting- und Cloud-Provider sowie Internet-Service-Provider (ISPs), welche die digitale Infrastruktur für diese Online-Geschäfte bereitstellten.

Rekordverdächtige DDoS-Angriffsbandbreiten

Bei Applikationen, Online-Diensten und Netzwerken, welche generell hohe Lastspitzen verzeichneten, reichten schon relativ kleine DDoS-Attacken, um eine Überlastung zu erreichen. „Um ihre Ressourcen zu schonen, verzichten die Angreifer daher meist auf überdimensionierte Angriffe und wählen ihre Angriffe so klein wie nötig.“ Am Cyber-Wochenende habe das LSOC jedoch einen Bandbreitenrekord von 1,1 Tbps verzeichnet.
Das Angriffsvolumen der Botnetz-Attacke, das am 28. November 2021 auf einen Hosting-Provider in Deutschland gezielt habe, sei allein über eine „UDP Flood“ erzeugt worden. „Hätten die Täter zusätzlich Verstärker-Techniken wie DNS- oder CLDAP-Reflection-Amplication eingesetzt, wäre das Angriffsvolumen noch einmal deutlich höher ausgefallen.“ Der sogenannte Amplification-Faktor für diese sehr häufig eingesetzten DDoS-Vektoren liege für DNS bei 54 und CLDAP bei bis zu 70. Diese Rekord-Attacke sei von zahlreichen Hyper-Attacken begleitet worden: Bei 20 weiteren Angriffen am „Cyber“-Wochenende seien Bandbreitenspitzen von über 100 Gbps registriert worden.

DDoS-Angriffe zu saisonalen Shopping-Events bereits bittere Normalität

„Die Zahlen aus unserem Netzwerk sprechen eine eindeutige Sprache: Statt ,Cyber Weekend‘ müsste es ,Cybercrime Weekend‘ heißen“, kommentiert Rolf Gierhard, „Vice President Marketing“ bei Link11. DDoS-Angriffe zu saisonalen Shopping-Events seien bereits „bittere Normalität“. Daher könnten sie für die kommenden Wochen mit digitalem Advents-Shopping „keine Entwarnung geben“.
Gierhard: „Wer im Online-Handel ausfallsicher von den Umsatzpeaks profitieren möchte, investiert am besten in skalierbare, cloud-basierte Schutzlösungen, die auch Angriffen im Terabit-Bereich standhalten.“ Damit bleibe der Fokus auf dem Kerngeschäft und das Shop-Team werde nicht durch Notfallmaßnahmen zusätzlich belastet.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 17.11.2021
Black Friday und Co.: DDoS-Angriffe mit Rekordwerten erwartet

datensicherheit.de, 24.02.2021
DDoS-Attacken: Weiterer Anstieg der Cyber-Angriffe auf Webshops / Deutschlands Online-Händler auch im Januar 2021 im Fokus Cyber-Krimineller – DDoS-Risiko bleibt virulent

[datensicherheit.de, 30.08.2021] Laut einer aktuellen NETSCOUT-Meldung hat ein Forschungsteam im August 2021 einen neuen „HTTP-Reflexions-/Verstärkungsvektor“ entdeckt – dieser missbraucht demnach Internet-Zensursysteme, „welche unerwünschten Verkehr zu unerwünschten Websites unterbinden“. Internet-Zensursysteme werden demnach sowohl von nationalen Regierungsorganisationen als auch von Internet-Service-Providern (ISP) betrieben, letztere in Form von kostenpflichtigen „Safe-Browsing“-Abonnementdiensten, welche sie ihren Kunden anbieten. NETSCOUT stellt nach eigenen Angaben die eigenen aktuellen Erkenntnisse zur Verfügung:

NETSCOUT identifiziert Erzeugung unendlicher Routing-Loops

Dieser Angriffsvektor nutze Internet-Zensursysteme. „Routing-Loops, die diese missbräuchlichen Systeme enthalten, sind so konfiguriert, dass sie unendliche Routing-Loops erzeugen, die einen Verstärkungsfaktor von 1:1 bis hin zu einem Verstärkungsfaktor von 700.000:1 verursachen.“

Laut NETSCOUT können Angreifer sowohl Quell- als auch Zielport des gefälschten Datenverkehrs auswählen

„Angreifer verwenden gefälschte Anfragen für verweigerte FQDNs und/oder URIs was dazu führt, dass verstärkte HTTP-Antworten an das/die beabsichtigte(n) Ziel(e) des Angriffs gerichtet werden.“ Da die Angreifer sowohl den Quell- als auch den Zielport des gefälschten Datenverkehrs des Angriffsinitiators auswählen könnten, „können sie auch die Quell- und Ziel-TCP-Ports des verstärkten Angriffsverkehrs bestimmen, der an die Angriffsziele gerichtet ist“. Geschickte Angreifer wählten wahrscheinlich Quell- und Ziel-Ports, welche es dem verstärkten Angriffsverkehr ermöglichten, den üblichen Richtlinien für die Netzwerkzugangskontrolle zu entsprechen, und maskierten so den Angriffsverkehr, „so dass er auf den ersten Blick im Kontext der Zielanwendungen, -dienste und -infrastruktur legitim erscheint“.

NETSCOUT: 200 Millionen IP-Adressen potenziell für Angriffe dieser Art zu missbrauchen

„Die Forscher schätzen, dass etwa 200 Millionen IP-Adressen potenziell für Angriffe dieser Art missbraucht werden können, da die Internet-Zensursysteme eine große Reichweite haben.“ Etwa 18 Millionen dieser IP-Adressen böten ein Verstärkungsverhältnis von 2:1 oder mehr.

NETSCOUT sieht eine der stärksten Arten zur Verfügung stehenden Reflektoren/Amplifiern

„Ausgehend von den bei Tests beobachteten Amplification-Faktoren scheint es möglich zu sein, mit dieser Angriffsmethode HTTP-Reflexions-/Amplificationangriffe im Bereich von mehreren zehn Gigabit/Sekunde bis hin zu Terabit/Sekunde zu generieren.“ Daraus ergebe sich eine der stärksten Arten von Angreifern zur Verfügung stehenden Reflektoren/Amplifiern.

NETSCOUT warnt vor Unterbrechung des legitimen Internetverkehrs

DDoS-Angriffe mit hoher Bandbreite und/oder hohem Durchsatz könnten Peering-, Transit-, Core-, Distributed- und Accessverbindungen auslasten und so legitimen Internetverkehr unterbrechen. Gemeinsam genutzte Netzwerk-, Computer-, Speicher- und Infrastrukturen könnten in Mitleidenschaft gezogen werden. „Diese Faktoren können bei volumetrischen Angriffen zu erheblichen Kollateralschäden führen.“

Für Gegenmaßnahmen Besonderheiten der einzelnen Netze beachten, rät NETSCOUT

„Die Einzelheiten der Auswahl, der Abstimmung und des Einsatzes von Gegenmaßnahmen hängen von den Besonderheiten der einzelnen Netze/Ressourcen ab.“

Weitere Informationen zum Thema:

NETSCOUT, Roland Dobbins & Steinthor Bjarnason, 20.08.2021
HTTP Reflection/Amplification via Abusable Internet Censorship Systems / ASERT Threat Summary