Abwehr von DDoS-Angriffen
Gefahrenquelle Botnet
Auch wenn sich Methoden und Techniken der Cyberattacken im Laufe der Zeit ändern, bleibt eines gleich: Die Angreifer suchen gezielt nach Sicherheitslücken, um unzureichend geschützte Rechner und Geräte zur Verstärkung ihrer Angriffe zu nutzen. Gegenwärtig missbrauchen Kriminelle häufig IoT-Geräte (Internet of Things), die nur mit leicht zu erratenden Kennwörtern geschützt sind. Ein besserer Passwortschutz kann hier schon viel bewirken. Wirksamer DDoS-Schutz (Distributed Denial of Service) erfordert aber mehr.
Bei DDoS-Angriffen haben sich in letzter Zeit zwei Trends herauskristallisiert: Erstens nutzen Angreifer Reflection-Techniken; bei Reflection-Verfahren werden Angriffe durch das Einbeziehen von Servern Dritter verstärkt, auf denen beispielsweise Dienste wie DNS (Domain Name System), Chargen (Character Generator Protocol) und NTP (Network Time Protocol) laufen. Reflection-Techniken kamen beispielsweise bei Angriffen über mDNS-fähige (Multicast Domain Name System) Geräte ebenso zum Einsatz wie bei Attacken, die über CLDAP (Connectionless Lightweight Directory Access Protocol) liefen.
Zweitens dient der Botnet-Einsatz als zusätzlicher Hebel. Im Mittelpunkt des öffentlichen Interesses stehen aktuell Botnets wie Mirai oder Spike. Denn Angreifer nutzen sie, um die Größe der DDoS-Angriffe zu steigern. Bei vielen Unternehmen genügt zwar schon ein DDoS-Angriff mit 1 GBit/s, um deren ungeschützte Web-Infrastruktur lahmzulegen. Dem gegenüber stehen Angriffskapazitäten wie im vierten Quartal 2016 der größte bis dahin auf der Akamai Intelligent Platform gemessene Spike-Botnet-Angriff mit einem Volumen von 517 GBit/s. Das Spike-Botnet ist bereits seit Mitte 2014 aktiv, im September 2014 wurde der damalige Spitzenwert mit 215 GBit/s gemessen. Das besondere des Spike-Angriffs vom Oktober 2016: Es kamen keine infizierten IoT-Geräte als Clients zum Einsatz, sondern primär 32- und 64-Bit-Linux- und Windows-Systeme. Das Original-Spike-Toolkit kann auch ARM-Systeme nutzen.
Mirai-Botnet
Für Schlagzeilen sorgt seit Herbst 2016 immer wieder das Mirai-Botnet, eine Variante der Kaiten/STD Router DDoS Malware. Im dritten Quartal 2016 verzeichnete man beispielsweise Angriffe mit Volumina von 623 GBit/s und 555 GBit/s. Mirai durchsucht mittels über 60 weit verbreiteter Benutzername/Kennwort-Kombinationen wie etwa Admin/Admin das Internet nach angreifbaren Geräten, um sie in einzubinden. Jedes infizierte Gerät kann dann Teil eines DDoS-Angriffs werden und die Malware weiter verbreiten. Darüber hinaus finden die Bots für auftragsbasierte DDoS-Angriffe und Erpressungsversuche Verwendung.
Charakteristisch für Mirai ist der Einsatz internetfähiger Geräte zusammen mit Aktivitäten, die für Botnets sonst untypisch sind. Beispielsweise scannen die Betreiber das Internet per Telnet nach anfälligen Systemen und knacken Kennwörter mit Brute-Force-Angriffen. DDoS-Floods erfolgen mit GRE-Paketen (Generic Routing Encapsulation), über die die Angreifer ungehärtete DDoS-Abwehrsysteme angreifen können. Eine weitere Besonderheit: Im Unterschied zu anderen sehr großen DDoS-Angriffen, die häufig auf Protocol-Reflection-Techniken setzen, generiert Mirai den Angriffsdatenverkehr direkt und ohne Reflection. Zu beobachten war vielmehr ein Angriff, der Traffic aus mehreren Botnets produzierte, die alle auf das gleiche Unternehmen zielten.
Im Oktober letzten Jahres veröffentlichte ein Nutzer den Mirai-Quellcode in einem Hackerforum zusammen mit der Anleitung zum Einrichten des Botnets. Sehr schnell sind dann neue Varianten entstanden. Im Dezember 2016 nutzte eine Mirai-Variante eine Schwachstelle im Fernwartungsprotokoll TR-069 und infiziere Home-Router. Ende Januar dieses Jahres folgte eine Reihe von DDoS-Angriffen auf deutsche Onlineshops, bei denen ein Mirai-Botnet zum Einsatz kam. Im März 2017 tauchte dann eine Variante auf, die Angriffe auf Web-Anwendungen durchführen kann, während die Angriffe zuvor nur auf Infrastrukturebene erfolgt waren.
Das Mirai-Botnet bleibt weiter extrem gefährlich. Nicht auszuschließen ist, dass es zu einem Wettbewerb zwischen dem Mirai- und dem Spike-Botnet kommt, bei dem die jeweiligen Botnet-Protagonisten die Grenzen ihrer Angriffsmöglichkeiten ausloten wollen. Damit besteht die Gefahr, dass die Angriffe immer größer ausfallen.
Angriffe über mDNS-fähige Geräte
Das Standardprotokoll mDNS vereinfacht die Erkennung von Geräten und Diensten, vorwiegend in kleinen Netzwerken, mit geringer oder völlig ohne Beteiligung des Nutzers. Daher eignet sich mDNS auch als Komponente für konfigurationsfreie Netze (Zero Configuration oder Zeroconf Networking). Es verfügt über eine vergleichbare Struktur wie reguläre DNS-Pakete, vermutlich einer der Gründe, warum mDNS als DDoS-Angriffsvektor zum Einsatz kommt. Eine Schwachstelle von mDNS besteht darin, dass das Protokoll Antworten auf Abfragen zulässt, die von einer Quelle außerhalb des lokalen Netzwerks eingehen. Die Antworten enthalten Informationen zum betroffenen Gerät, beispielsweise die installierte Software, Host-Name, interne Netzwerk-Konfigurationseinstellungen und Modellnummer. Diese Daten kann ein Angreifer nutzen, um einen beliebigen auf Unicast-Abfragen antwortenden mDNS-Host in DDoS-Reflection-Attacken einzubinden.
Im Herbst 2016 erfolgten DDoS-Angriffe auf Unternehmen aus der Spiele- und Software- sowie Technologiebranche über mDNS-fähige Geräte. Ein Multi-Vektor-DDoS-Angriff vom Oktober bestand aus SYN-Flood, UDP-Flood, UDP-Fragmenten, DNS-Flood sowie mDNS-Flood und erreichte einen Maximalwert von 41 GBit/s. In Spitzenzeiten wurden sechs Millionen Pakete pro Sekunde verschickt.
Reflection zur DDoS-Verstärkung
Reflection-basierte Angriffe machen nach wie vor einen wesentlichen Teil der DDoS-Attacken aus. Bereits im vierten Quartal 2016 entdeckte und verhinderte Akamai einen DDoS-Angriff, der über das CLDAP ausgeführt wurde. Wie bei den mDNS- waren auch bei CLDAP-basierten Angriffen überwiegend Unternehmen aus der Software- und Technologiebranche betroffen, hier aber zudem solche aus den Branchen Internet und Telekommunikation, Medien und Unterhaltung, Bildungswesen, Handel und Konsumgüter sowie Finanzdienstleistungen.
Ähnlich wie bei anderen Reflection- und Amplification-Vektoren gäbe es den CLDAP-Vektor nicht, wenn geeignete Ingress-Filter implementiert wären, die Netze vor unerwünschten Eingangsdatenverkehr schützen. In erster Linie geht es dabei um die Blockade von Paketen mit gefälschten oder inkorrekten IP-Adressen. Gefährdete Hosts lassen sich mit Internet-Scans und einer Filterung des UDP-Ports 389 (LDAP) erkennen. Solange kein Bedarf besteht, CLDAP über das Internet zugänglich zu machen, gibt es keinen Grund, das DDoS-Reflection-Problem dadurch zu verschärfen.
Im Vergleich zu Angriffen auf Infrastrukturebene zeigt sich bei jenen auf Web-Anwendungen seit einiger Zeit kaum eine Dynamik. Deren Anteil an DDoS-Angriffen liegt zwischen einem und zwei Prozent. Einer der Gründe dafür liegt darin, dass Angriffe auf Web-Applikationen ein vergleichsweise hohes technisches Fachwissen erfordern. Im vierten Quartal 2016 machten allein die SQLi-, LFI- und XSS-Vektoren rund 95 Prozent der registrierten Angriffe auf Web-Anwendungen aus. Eine Konzentration der Attacken zeigte sich in den letzten Jahren typischerweise zum Jahresende in Form von Angriffen auf die Onlineshops von Branchen wie Elektronik, Bekleidung, Medien und Unterhaltung.
DDoS-Angriffe auf Unternehmen nehmen seit geraumer Zeit an Quantität und Qualität massiv zu. Die dadurch verursachten Kosten sind nicht nur abhängig von Ausmaß und Dauer der Angriffe, sie variieren zudem von Unternehmen zu Unternehmen: Je stärker die Umsätze eines Unternehmens von einem Onlineshop abhängig sind, desto größer die Risiken und damit auch die potenziellen Verluste. Klassische und vor allem auch punktuelle Sicherheitssysteme reichen daher zum Schutz vor DDoS nicht mehr aus.
Da Häufigkeit, Komplexität und Gefahren von Botnets aus internetfähigen Geräten weiter ansteigen, kann jeder Anwender selbst etwas tun, um den Schutz zu verbessern. Eine dringend notwendige, aber oft sträflich vernachlässigte Maßnahme besteht darin, die in den Geräten bei der Auslieferung eingestellten Benutzernamen und Kennwörter zu ändern - natürlich auch bei bereits im Einsatz befindlichen Geräten, bei denen dies zuvor nicht geschah. Zudem sollten Anwender überprüfen, ob neue Firmware- und Sicherheits-Updates für Webcams, Fernseher und DSL-Router verfügbar sind, und diese installieren.
Einen effizienten Schutz für Unternehmen bietet ein Security-Ansatz, der interne Sicherheitsvorkehrungen wie Virenschutz und Firewalls mit Cloud-basierten Security-Services kombiniert und damit komplettiert. Cloud-basierte Sicherheitslösungen bieten rund um die Uhr aktive Sicherheit. Cyber-Security im Internet sollte dabei aus mehreren überlappenden Schichten bestehen: Die erste Schicht schützt vor Angriffen auf die Infrastruktur, die zweite vor Angriffen auf Web-Applikationen, die dritte schirmt die DNS-Infrastruktur ab.
Lesen Sie mehr zum Thema
