DDoS-Rückblick auf 2022 Aktuelle Methoden und Vektoren bei DDoS Attacken

Von Karl Heuser

Anbieter zum Thema

Die These, dass Cyberkriminelle versuchen, vorhandenen Schutzmaßnahmen durch die Entwicklung stetig modifizierter und leistungsfähigerer DDoS-Angriffsvektoren und Methoden immer einen Schritt voraus zu sein, bestätigt sich jedes Jahr aufs Neue. Während Security-Lösungen immer präziser und effektiver arbeiten, schaffen sich Angreifer immer neue Wege, um diese Abwehr möglichst zu umgehen.

2022 bildeten TCP-Flooding-Angriffe (ACK, SYN, RST) den am häufigsten verwendeten DDoS-Angriffsvektor.
2022 bildeten TCP-Flooding-Angriffe (ACK, SYN, RST) den am häufigsten verwendeten DDoS-Angriffsvektor.
(Bild: tiero - stock.adobe.com)

Die geopolitischen Spannungen haben im ersten Halbjahr 2022 zu verstärkten Angriffsaktivitäten der Cyberkriminellen geführt. Insgesamt wurden weltweit mehr als sechs Millionen DDoS-Angriffe protokolliert. Für diese weist der Netscout Threat Intelligence Report gegenüber dem vorangegangenen Halbjahr eine Steigerung der genutzten maximalen Bandbreite um 57 Prozent und des Datendurchsatzes um 37 Prozent aus. Viel Arbeit also für die Security-Abteilungen, die gehalten sind, ihren Fokus regelmäßig neu auszurichten, um ihre Abwehrmaßnahmen zu modifizieren.

Reflexion und Verstärkung

Reflection/Amplification-Attacken bilden quasi des kleine 1x1 aktueller DDoS-Angriffsvektoren. Bei der DDoS-Reflection wird Antwort eines Services auf die IP-Zieladresse gelenkt, beliebte Reflektoren sind dabei DNS-, NTP- oder CLDAP-Server. Durch die DDoS-Amplification wird dann erreicht, dass Antwort-Pakete an gespoofte Absender deutlich größer als die Anfragen ausfallen. Diese Art des Angriffs erfolgt meist über UDP-basierte Services ohne Authentifizierung. Einige TCP-Dienste lassen sich ebenfalls für diesen Zweck verwenden, was jedoch für Angreifer aufwendiger ist.

Bildergalerie

Neue DDoS-Vektoren werden von Angreifern zunächst stark genutzt, bis die Zahl der potenziellen Reflektoren aufgrund eingespielter Patches auf den kompromittierten Geräten und Services abnimmt. Dies war der Fall bei Memcached, wo anfänglich große Angriffe mit Zehntausenden von Geräten durchgeführt wurden. Und auch beim jüngsten TP240 PhoneHome-Vektor, der mit einem Verhältnis von 4.294.967.296:1 den größten jemals verzeichneten Amplification-Faktor aufweist, war dies der Fall.

Beliebtes Flooding

Einem Trend folgend, der Anfang 2021 begann, bilden aktuell allerdings TCP-Flooding-Angriffe (ACK, SYN, RST) den am häufigsten verwendeten Angriffsvektor. Sie kamen im ersten Halbjahr 2022 bei rund 46 Prozent aller Attacken zum Einsatz. Hinzu kommen ICMP-Flooding-Angriffe (9 Prozent aller Angriffe).

Damit verlieren die fast schon traditionellen Reflection/Amplification-Attacken mit ihren 45 Prozent ihre Spitzenposition als meistverwendete Angriffsmethode. Weiter spezifiziert kommt dabei bei 11 Prozent aller Reflection/Amplification-Angriffe die DNS Amplification zum Einsatz - mit sinkender Tendenz: Im Vergleich vom zweiten Halbjahr 2021 mit dem ersten Halbjahr 2022 kam es zum Rückgang der DNS-Amplification-Angriffe um fast 50 Prozent. Auf den Plätzen folgt die TCP-Amplification (TCP SYN/ACK) mit 10 Prozent und die NTP- Amplification mit 5 Prozent. Die restlichen 19 Prozent verteilen sich auf exotischere Reflection/Amplification-Vektoren, wobei sich diese interessanterweise nicht in der Angebotspalette der kriminellen DDoS-Booter/IP-Stresser-Services finden.

Betrachtet man die Häufigkeit missbräuchlich verwendeter Protokolle, ergibt sich diese Reihenfolge: SIP (4,1 Millionen), NTP (2,5 Millionen) und TFTP (2,2 Millionen). DNS-Reflektoren dagegen liegen mit 1,4 Millionen noch hinter L2TP und rpcbind lediglich an sechster Stelle; vor zwei Jahren waren es noch mehr als 2,3 Millionen. Dieser Rückgang lässt sich unter anderem durch die zunehmende Implementierung von Services zur Quelladressenvalidierung (SAV) erklären.

Flächenangriffe legen wieder zu

Wenn Angreifer nicht ein einzelnes Ziel oder einen einzelnen Host ins Visier nehmen, sondern ihre Angriffe über ganze Subnetze oder CIDR-Blöcke (Classless Inter-Domain Routing) ausbreiten, spricht man von Carpet Bombing. Da sich viele DDoS-Abwehrsysteme auf einzelne IP-Adressen und nicht auf ganze Subnetze konzentrieren, bleiben diese Angriffe oft unbemerkt.

Durch diese Art der Angriffe erhöht sich auch die Wahrscheinlichkeit, dass andere Systeme und Dienste, die das Opfer nutzt, ebenfalls überlastet werden, was zu einer Reihe von Kollateralschäden führen kann.

Konnte noch im zweiten Halbjahr 2021 eine sinkende Zahl an Carpet-Bombing-Attacken beobachtet werden, kam es Mitte Februar und damit rund um die Eskalation in der Ukraine zu einem starken Anstieg der DDoS-Attacken und anschließend auch zu einem Anstieg der Carpet-Bombing-Angriffe auf eine mehr als doppelt so hohe Zahl wie noch im Dezember '21.

Die Angriffsvektoren, die beim Carpet Bombing verwendet werden, entsprechen in der Verteilung der Gesamtheit der DDoS-Landschaft. Den größten Teil macht mit 44 Prozent generisches UDP-Flooding im Rahmen von Multivektor-Attacken aus, gefolgt von DNS-Amplification (15 Prozent), TCP-Flooding (14 Prozent), TCP-Amplification (4 Prozent) und die restlichen UDP Reflection/Amplification-Vektoren (23 Prozent).

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Angriffe auf die Anwendungsschicht

Sogenannte DNS-Water Torture Angriffe auf DNS Server erlebten im ersten Halbjahr 2022 ebenfalls einen erschreckenden Zuwachs von 46 Prozent im Vergleich zum gleichen Vorjahreszeitraum. Diese Angriffe zielen mit großen Mengen von gefälschten Domain Anfragen auf eine Überlastung von DNS Servern ab. Beliebt ist diese Angriffsform, da sie wenig Ressourcen vonseiten des Angreifers voraussetzt. Nachdem die Kurve zu Beginn des Jahres 2022 noch abflachte, schnellten die Zahlen an März wieder in die Höhe.

Wenn man diese Angriffe nach Vektoren aufschlüsselt, wird deutlich, dass vor allem auf Brute-Force DNS-UDP Query-Flooding gesetzt wird. Dieser Vektortyp macht fast 75 Prozent aller DNS-Water-Torture-Angriffe aus. Obwohl die überwiegende Mehrheit der Angriffe das UDP-Protokoll verwendet, haben die mit dieser Angriffsmethode verbundenen TCP-Angriffe im Jahr 2022 zugenommen. Dieser Trend reflektiert, dass Angreifer immer häufiger Bots für direkte Angriffe einsetzen. Auch hier ist zu beobachten, dass die Botnetze konstant leistungsstärker werden und auch neue Player, wie die Killnet Organisation, hinzugekommen sind.

Über den Autor: Karl Heuser ist Account Manager Security DACH bei Netscout.

(ID:49032816)