7 der berühmtesten DDoS-Angriffe der letzten Zeit

Da immer mehr Unternehmen auf Online-Dienste wie Cloud Computing angewiesen sind und Schritte unternehmen, um ihre Netzwerksicherheit entsprechend zu verbessern, sind DDoS-Angriffe (Distributed Detail of Service) zu einer attraktiven Strategie für Hacker geworden, die Chaos und Störungen verursachen wollen. DDoS-Angriffe, die leicht zu organisieren und auszuführen sind, wurden in den letzten zehn Jahren immer ausgefeilter und intensiver, und es gibt kaum Anzeichen für eine Verlangsamung. Obwohl Unternehmen und Rechenzentren ihre Cybersicherheitsmaßnahmen verstärkt haben, um die Auswirkungen dieser Angriffe abzumildern, können sie immer noch großen Schaden anrichten, sowohl für die angegriffenen Unternehmen als auch für die Kunden, die sich bei ihrer Geschäftstätigkeit auf ihre Dienste verlassen.

Obwohl die jüngsten DDoS-Angriffe im Jahr 2018 leicht zurückgegangen sind, gab es im ersten Quartal 2019 einen Anstieg von 84 Prozent gegenüber dem Vorjahr. Sowohl der Umfang als auch die Häufigkeit dieser Angriffe nahmen zu, wobei der größte Anstieg bei Angriffen zu verzeichnen war, die länger als eine Stunde dauerten. Nicht nur die Anzahl dieser Angriffe verdoppelte sich, auch ihre durchschnittliche Dauer stieg um 487 Prozent. Da Angriffe zunehmend mehrere Angriffsvektoren nutzen, wenden sich Cybersicherheitsexperten der künstlichen Intelligenz und dem maschinellen Lernen zu, um Angriffsmuster zu erkennen und ihre DDoS-Abwehr zu verbessern.

Kurzlinks:

• Was ist ein DDoS-Angriff?
• 7 der bekanntesten DDoS-Angriffe der letzten Zeit
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Was ist ein DDoS-Angriff?

Distributed-Denial-of-Service-Angriffe sind eine Art von Cyberangriff, der darauf abzielt, Server zu überlasten oder Netzwerkdienste zu stören, indem sie mit Zugriffsanfragen überflutet werden. Die spezifische Methode dieser Angriffe kann von einem zum anderen variieren, aber häufig werden Botnets eingesetzt.

Was ist ein Botnet? Es handelt sich um eine virtualisierte „Armee“ von kompromittierten Computern und Servern, die dazu verwendet werden, ein bestimmtes System anzugreifen. Der Hacker, der hinter dem DDoS-Angriff steckt, sendet Malware an zahlreiche Systeme und kann diese Malware bei erfolgreicher Installation dazu verwenden, einige (oder alle) Prozesse des kompromittierten Systems aus der Ferne zu übernehmen, um den Angriff auszuführen.

Was bewirkt ein DDoS-Angriff und wie funktioniert er? Das hängt von der spezifischen Art des DDoS-Angriffs ab, der durchgeführt wird. Es gibt viele verschiedene Arten von DDoS-Angriffen, zum Beispiel:

• Volumetrische Angriffe. Diese Angriffe zielen darauf ab, die gesamte verfügbare Bandbreite in einem Netzwerk zu verbrauchen, so dass keine legitimen Anfragen bearbeitet werden können. Ein Beispiel für einen volumetrischen DDoS-Angriff wäre ein DNS-Verstärkungsangriff.
• TCP Handshake/SYN Floods. Eine Reihe von unvollständigen „TCP Handshake“-Protokollanfragen für eine erste Verbindung werden an das Zielsystem gesendet, aber nie abgeschlossen – typischerweise unter Verwendung gefälschter IP-Adressen. Dies ist ein Beispiel für einen „Protokollangriff“. In diesem Fall können legitime Website-Benutzer, die versuchen, die Webseite zu besuchen, weiter zu dem Problem beitragen, da sie auf „Aktualisieren“ in ihren Browsern drücken, um die Seite zu laden (obwohl dies normalerweise nur einen winzigen Prozentsatz der Last im Vergleich zum eigentlichen Angriff ausmacht).
• Angriffe auf der Anwendungsschicht. Diese auch als „Layer-7-DDoS-Angriffe“ bezeichneten Angriffe pingen den Server immer wieder mit HTTP-Anfragen an, was für die Absender nur geringe Auswirkungen hat, für den Server jedoch ressourcenintensiv ist, da er alle Dateien und Datenbankabfragen laden muss, die die Website für eine korrekte Darstellung benötigt.
• Multi-Vektor-DDoS-Angriffe. Manchmal kombiniert ein Angreifer mehrere DDoS-Angriffsmethoden, um seinen Angriff effektiver und schwieriger zu machen. Das Anvisieren mehrerer Netzwerkschichten kann extrem effektiv sein, um die Störung zu verstärken.

Das Verhindern von DDoS-Angriffen wird dadurch erschwert, dass es so viele verschiedene Arten von DDoS-Angriffen gibt und einige schwieriger von legitimen Verkehrsanfragen zu unterscheiden sind als andere.

7 der berühmtesten DDoS-Angriffe der letzten Zeit

Amazon Web Services (AWS) (Februar 2020)

Einem Artikel von ZDNet zufolge hat „Amazon im Februar 2020 gesagt, dass sein AWS Shield Service den größten jemals aufgezeichneten DDoS-Angriff entschärft und einen Angriff mit 2,3 Tbps gestoppt hat.“ Vor diesem Angriff lag der Weltrekord für den größten aufgezeichneten DDoS-Angriff bei 1,7 Tbps (Terabit pro Sekunde), was wiederum den Rekord des GitHub-Angriffs, der weiter unten erwähnt wird, übertraf.

Der ZDNet-Artikel nennt nicht den Namen des AWS-Kunden, aber er erwähnt, dass „der Angriff mit Hilfe von gekaperten CLDAP-Webservern durchgeführt wurde und drei Tage lang eine ‚erhöhte Bedrohung‘ für die AWS Shield-Mitarbeiter verursachte.“ CLDAP steht für Connection-less Lightweight Directory Access Protocol, ein Protokoll zum Verbinden, Suchen und Ändern von gemeinsam genutzten Verzeichnissen im Internet.

Es ist auch ein Protokoll, das laut ZDNet „seit Ende 2016 für DDoS-Angriffe missbraucht wird“ und dass „CLDAP-Server dafür bekannt sind, den DDoS-Verkehr um das 56- bis 70-fache seiner ursprünglichen Größe zu verstärken.“

GitHub (Februar 2018)

Als beliebter Online-Code-Verwaltungsdienst, der von Millionen von Entwicklern genutzt wird, ist GitHub an hohen Datenverkehr und hohe Nutzung gewöhnt. Worauf GitHub nicht vorbereitet war, war der damals rekordverdächtige Datenverkehr von 1,3 Tbps, der seine Server mit 126,9 Millionen Datenpaketen pro Sekunde überflutete. Es handelte sich um den größten DDoS-Angriff, der zu diesem Zeitpunkt verzeichnet wurde, aber der Angriff legte die Systeme von GitHub nur für etwa 20 Minuten lahm. Das lag vor allem daran, dass GitHub einen DDoS-Minderungsdienst nutzte, der den Angriff erkannte und schnell Maßnahmen ergriff, um die Auswirkungen zu minimieren.

Im Gegensatz zu vielen DDoS-Angriffen der letzten Zeit wurden bei dem GitHub-Angriff keine Botnets eingesetzt. Stattdessen nutzten die DDoS-Angreifer eine als Memcaching bekannte Strategie, bei der eine gefälschte Anfrage an einen anfälligen Server übermittelt wird, der dann ein anvisiertes Opfer mit verstärktem Datenverkehr überflutet. Memcached-Datenbanken werden häufig verwendet, um Websites und Netzwerke zu beschleunigen, wurden aber kürzlich von DDoS-Angreifern als Waffe eingesetzt.

Unbekannter NETSCOUT-Client (März 2018)

Nicht lange nach dem DDoS-Angriff auf GitHub mit 1,3 Tbps meldete NETSCOUT, dass einer seiner Kunden von einem DDoS-Angriff mit 1,7 Tbps betroffen war. Dieser spezielle Angriff wurde von NETSCOUT so beschrieben, dass er „auf demselben Memcached-Reflection/Amplification-Angriffsvektor basiert, der auch den Github-Angriff ausgelöst hat“

Trotz des massiven Ausmaßes des Angriffs wurden laut NETSCOUT „keine Ausfälle gemeldet“. Dies kann als Beispiel dafür dienen, wie die Vorbereitung auf eine bestimmte Art von Angriff einen großen Unterschied bei den Auswirkungen dieses Angriffs machen kann.

Dyn (Oktober 2016)

Als großer DNS-Anbieter war Dyn für die Netzwerkinfrastruktur mehrerer großer Unternehmen, darunter Netflix, PayPal, Visa, Amazon und die New York Times, entscheidend. Mithilfe einer Schadsoftware namens Mirai erstellten unbekannte Hacker ein massives Botnetz, das Geräte aus dem Internet der Dinge (IoT) umfasste, um den zu diesem Zeitpunkt größten aufgezeichneten DDoS-Angriff zu starten. Der Angriff hatte massive Auswirkungen, da viele Kunden von Dyn feststellen mussten, dass ihre Websites durch DNS-Fehler lahmgelegt wurden, als die Server von Dyn ausfielen. Obwohl die Probleme bis zum Ende des Tages behoben und die Dienste wiederhergestellt waren, war dies eine erschreckende Erinnerung an die Fragilität der Netzwerkinfrastruktur.

BBC (Dezember 2015)

Am letzten Tag des Jahres 2015 startete eine Gruppe namens „New World Hacking“ einen Angriff mit 600 Gbit/s, bei dem sie ihr Anwendungstool BangStresser einsetzte. Der Angriff legte die BBC-Websites, einschließlich des On-Demand-Dienstes iPlayer, für etwa drei Stunden lahm. Abgesehen von der schieren Größe des Angriffs – es handelte sich um den größten DDoS-Angriff, der zu diesem Zeitpunkt aufgezeichnet wurde – war der bemerkenswerteste Aspekt des BBC-Angriffs die Tatsache, dass das Tool, mit dem er gestartet wurde, tatsächlich Cloud-Computing-Ressourcen von zwei Amazon AWS-Servern nutzte. Für IT-Sicherheitsexperten, die lange Zeit dem Ruf von Amazon in Sachen Sicherheit vertraut hatten, war die Vorstellung, dass DDoS-Angreifer einen Weg gefunden hatten, die Bandbreite eines öffentlichen Cloud-Computing-Dienstes für ihren Angriff zu nutzen, besonders beunruhigend.

Spamhaus (März 2013)

Im Jahr 2013 war Spamhaus ein branchenführendes Spam-Filterunternehmen, das bis zu 80 % der Spam-E-Mails entfernte. Dies machte sie zu einem attraktiven Ziel für Betrüger, die schließlich einen jugendlichen Hacker in Großbritannien anheuerten, um eine massive Offensive zu starten, um die Systeme von Spamhaus auszuschalten. Mit 300 Gbit/s war dieser Angriff der größte DDoS-Angriff, der zu diesem Zeitpunkt verzeichnet wurde. Als Spamhaus auf die Bedrohung reagierte, indem es sich an einen DDoS-Abwehrdienst wandte, verlagerte der Angreifer seinen Schwerpunkt auf den Versuch, auch dieses Unternehmen zu Fall zu bringen, was zu Netzwerkstörungen in ganz Großbritannien führte, da auch andere Unternehmen in das Kreuzfeuer gerieten.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (Dezember 2012)

Im September und Oktober 2012 startete eine Gruppe, die sich selbst als „Izz ad-Din al-Qassam Cyber Fighters“ identifizierte, mehrere DDoS-Angriffe gegen US-Banken, angeblich als Reaktion auf einen kontroversen Filmtrailer auf YouTube. Später im Jahr versprach die Gruppe, den Umfang ihrer Angriffe auszuweiten. Im Dezember setzte sie ihre Ankündigung in die Tat um und griff innerhalb von drei Tagen sechs prominente Banken an, wodurch die Dienste unterbrochen wurden und es zu erheblichen Verzögerungen kam. Der Angriff war zwar umfangreicher als die Angriffe einige Monate zuvor, doch waren die Cybersecurity-Experten aufgrund der früheren Angriffswelle besser auf die von der Gruppe eingesetzten Botnet-Taktiken vorbereitet. In der Spitze erreichten die Angriffe 63,3 Gbps.

Da sich die jüngsten DDoS-Angriffe weiterentwickeln, arbeiten Cyber-Sicherheitsexperten hart daran, ihre Auswirkungen zu bekämpfen und zu verringern. Auch wenn DDoS-Angriffe nach wie vor ein Thema sind, mit dem sich jedes Unternehmen befassen sollte, gibt es viele Möglichkeiten, sich dagegen zu schützen, von DDoS-Abwehrdiensten bis hin zu Optionen für Rechenzentren, wie z. B. eine gemischte ISP-Konnektivität. Diese Bemühungen können DDoS-Angriffe vielleicht nicht aus der Welt schaffen, aber sie machen sie zu einer weniger effektiven Strategie zur Unterbrechung von Abläufen und Diensten.