Sophos erklärt den Vorfall zwischen Cyberbunker und Spamhaus

DDos-Attacke verlangsamt weltweiten Datenverkehr

3. April 2013, 9:08 Uhr | LANline/sis

Im Laufe der Woche vom 18. bis 22. März war das Thema der DDos-(Distributed-Denial-of-Service-)Attacken in aller Munde. In diesem Zeitraum fielen Internet-Nutzern immer wieder Online-Anomalien auf. Vor allem Einwohner Nordamerikas und Europas waren von der größten, jemals festgestellten Attacke dieser Art betroffen. Sophos klärt die wichtigsten Fragen rund um den Angriff.

Mehr zum Thema:

Hacker identifizieren und Angriffe stoppen

Entlarvt: Die Top-4-Mythen über sicheres Surfen im Internet

Performanterer Schutz für Anwendungen

Deutsche Mittelständler vernachlässigen die mobile Datensicherheit

Was war passiert? Vor etwa zwei Wochen legte sich der Internet-Hosting-Provider „Cyberbunker“ mit „“Spamhaus““ an. Dabei handelt es sich um eine Non-Profit-Organisation, die seit 1998 gegen Spammer und eben auch Host-Unternehmen vorgeht, die von den Aktivitäten profitieren. Mittlerweile scheint Cyberbunker offline zu sein. Dabei lässt sich nur schwer beurteilen, ob dies auf eine DDoS-Attacke oder andere Umstände zurückzuführen ist. Laut Sophos bietet der Hosting-Provider seine Dienste vor allem Kunden an, die bei seriösen Providern abblitzen. Unter anderem betreffe dies so genannte Copyright-Täter, Spammer oder Malware-Vertreiber. Aufgrund dieser Ausrichtung setzte Spamhaus die IP-Adressen des Providers auf seine Blacklist. Im Gegenzug startete Cyberbunker seinen Feldzug, um Spamhaus offline zu setzen.

Wie groß ist die Attacke? Zu den Hochzeiten haben die Experten von Sophos bis zu 300 GBits pro Sekunde gemessen. Für einen besseren Vergleich nennt der Hersteller große Bot-Netze, die „lediglich“ in der Lage sind, hunderte von MBit/s oder wenige GBit/s auszuliefern.

Was macht die Attacke so besonders? Die groß angelegte DNS-Reflection-Attacke nutzt falsch konfigurierte DNS-Server aus, um die Auswirkung eines kleineren Bot-Netzes zu potenzieren. Cloudflare, ein von Spamhaus zum Schutz der eigenen Systeme angeheuerter Anti-DDoS-Provider, hat berichtet, dass beispielsweise in einer deutlich kleineren Attacke Ende 2012 mehr als 68.000 DNS-Server für eine einzige Attacke zum Einsatz kamen.

Warum dauert das Laden von Websites dadurch länger? Zurzeit überwältigt das Traffic-Volumen der Attacken viele der primären „Internet-Hauptleitungen“ (so genannte Tier-1-Service-Provider). Dadurch dauert der Zugriff auf manche Seiten teils sehr lange. Zu Hochzeiten der Angriffe kam es sogar vor, dass User manche Seiten überhaupt nicht mehr öffnen konnten. Ein klarer Fall von „Kollateralschaden“.

Wie funktioniert eine DNS-Reflection-Attacke? Der Versand von DNS Requests erfolgt normalerweise über das Netzwerkprotokoll UDP. Dabei erhält ein Rechner direkt ein Datenpacket von einem anderen Computer, wobei vor der Übertragung kein Verbindungsaufbau zwischen den Rechnern stattfindet. Dadurch lässt sich die Absenderadresse in dem UDP-Paket auch fälschen. Erreicht ein solches Paket mit einer relativ kurzen Anfrage einen der 21,7 Millionen falsch konfigurierten DNS-Server, nimmt der Server die Anfrage an und schickt eine lange Antwort an den Anfragenden. Ist die Antwort des DNS-Servers länger als 512 Bytes, wechselt dieser zum TCP-Protokoll. Hierbei ist ein Verbindungsaufbau zwingend notwendig – und der kostet Zeit und Bandbreite. Zudem erzeugen die TCP-Antworten beispielsweise für 300 Byte Botnet-Traffic über 3.000 Byte Angriffs-Traffic. Auf diese Weise wandeln sich einige hundert MBit schnell in riesige Traffic-Mengen von Servern. Da die Absenderadresse der Anfrage gefälscht war, erfolgt der Versand der Daten an einen unbeteiligten Rechner, in diesem Fall: Spamhaus.

Was ist zu tun? Obwohl normale Internet-Nutzer keinen großen Einfluss haben, müssen sie sich keine Sorgen um die Sicherheit ihrer Daten machen, da lediglich Verzögerungen beim Seitenaufbau auftreten, so Sophos. Für Administratoren von DNS-Services ist es wichtig, die Recursive-Name-Services so zu konfigurieren, dass sie nur auf das eigene Netzwerk antworten. Alle Anbieter, die ein öffentliches DNS aufrechterhalten müssen, sollten die Aktivierung eines Filtersystems für missbräuchliche Anfragen sicherstellen. Ferner sollten sie absichern, dass die Häufigkeit der Anfragen sich mit dem erwarteten Volumen deckt.

Weitere Informationen gibt es unter blog.cloudflare.com/the-ddos-that-almost-broke-the-internet.


Lesen Sie mehr zum Thema


Das könnte Sie auch interessieren

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Action Europe

Weitere Artikel zu LinkedIn Germany GmbH

Weitere Artikel zu General Electric Dtl. Holding GmbH

Matchmaker+