Security-Blog attackiert

Massive DDoS-Attacke mit IoT-Botnetz

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

DDoS-Attacken wie die auf KrebsOnSecurity abzuwehren kann sich inzwischen längst nicht mehr jedes Unternehmen und kaum eine Einzelperson leisten.
DDoS-Attacken wie die auf KrebsOnSecurity abzuwehren kann sich inzwischen längst nicht mehr jedes Unternehmen und kaum eine Einzelperson leisten. (Bild: KrebsOnSecurity, Collage mit CC0 / CC0)

Das Sicherheitsblog KrebsOnSecurity wurde Opfer eines massiven DDoS-Angriffs. Bis zu 620 GBit/s an Datenmüll prasselten auf die Seite ein, der Großteil wurde scheinbar durch schlecht gesicherte IoT-Geräte erzeugt.

Brian Krebs, der Betreiber von KrebsOnSecurity.com, kennt sich aus mit DDoS-Attacken auf sein Blog. Beinahe wöchentlich versuchen die Kriminellen, deren Machenschaften er genauer beleuchtet, seine Webseite offline zu nehmen.

Bislang konnten die Gegenmaßnahmen des CDN-Anbieters Akamai (der KrebsOnSecurity bislang kostenlos schützte) die Angriffsversuche abwehren, die letzte Attacke war allerdings selbst für Akamai zu viel: Datenmüll von bis zu 620 GBit/s prasselte über mehrere Stunden auf die Webseite ein – irgendwann musste der Anbieter den Stecker ziehen, da das Unternehmen Auswirkungen auf andere Kundenseiten befürchtete.

Riesiges Botnet statt Amplification-Attacke

Der Unterschied zu früheren Angriffen war die Art des DDoS. In den letzten Monaten waren bei Kriminellen vor allem DNS-Amplification-Attacken en vouge. Diese nutzen offene oder fehlerhaft konfigurierte DNS-Server, um mit relativ kleinen Angriffspaketen einen großen Traffic zu erzeugen, dieser Technet-Eintrag von Microsoft erklärt die Angriffsmethode sehr gut. Der Rekord lag bei laut Krebs bei 363 Gbit/s, deutlich unter der aktuellen Attacke.

Diese nutzte in erster Linie GRE-Pakete. Dies Abkürzung steht für das Generic Route Encapsulation Protokoll, mit dem zwei Netzwerkknoten eine direkte End-zu-End-Verbindung aufbauen können. Anders als bei DNS-Attacken lässt sich dieser Datenverkehr laut einem Akami-Sprecher nicht fälschen oder spoofen – für so einen Angriff muss also jemand über riesiges Botnet mit manipulierten Systemen verfügen.

Es liegt nahe, dass es sich dabei vor allem um IoT-Geräte handelt. Gerade im Consumer-Umfeld sind billige, netzwerkfähige Systeme wie Kameras, Drucker, Router, Sensoren oder Systeme zur Hausautomatisierung beliebt. Gerade im Billigsegment sparen Hersteller bei der Sicherheit, sie nutzen etwa Standard-Passwörter oder verwenden undokumentierte Telnet-Zugänge mit direktem Root-Zugriff. Auch die Anwender spielen Sicherheitsupdates nicht immer sofort ein. Spezielle Malware wie etwa BASHLITE zielt genau auf solche Geräte und ist dabei leider oft erfolgreich.

Düstere Aussichten

Wer im Internet aktiv ist, muss mit DDoS-Angriffen rechnen. Bislang konnten diese aber mit gängigen Methoden abgewehrt oder zumindest der Schaden minimiert werden. Hoster bieten häufig den Schutz vor solchen Attacken kostenlos oder für einen Aufpreis an. Das gilt allerdings nur so lange, wie die Angriffe auch mit mittelmäßigem Aufwand abzuwehren sind. Attacken wie die auf KrebsOnSecurity dürften die meisten Hoster in die Knie zwingen – und kann für Einzelpersonen und Unternehmen zusätzliche Kosten im sechsstelligen Bereich bedeuten. Eine stattliche Summe, die sich nicht jeder leisten kann.

Betreiber von Botnets dürften die ungewollte Werbung, die die Attacke auf Brian Krebs mit sich gezogen hat, ausnutzen um ihre Dienste weiter auszubauen und verstärkt anzubieten. Sei es zur Erpressung von Unternehmen oder um Konkurrenten zu schädigen, die Abwehr groß angelegte DDoS-Attacken dürften in Zukunft weiter nach oben auf der Agenda von IT-Verantwortlichen rutschen.

KrebsOnSecurity ist inzwischen wieder Online, geschützt wird es nun nicht mehr von Akamai sondern von Project Shield, einem DDoS-Abwehrsystem von Google.

Akamai selbst gibt an, dass sie die Seite gegen eine der größten DDoS-Attacken verteidigt hat, am Ende des dritten Tages musste das Unternehmen allerdings die Entscheidung treffen, das Blog aus der Plattform zu nehmen. Das lag auch daran, dass Krebs seit vier Jahren pro bono von Akamai betreut wurde und der Aufwand laut dem Unternehmen nicht mehr im Verhältnis zum Schutz zahlender Kunden stand. Brian Krebs selbst gab an, dass er absolutes Verständnis für diesen Schritt hatte und dankte dem Anbieter für die bisherige Unterstützung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44289866 / DDoS und Spam)