DDoS: Was den Massen­angriff der Bot­netze abwehrt

Was früher als Dummer­jungen­streich galt, ist in­zwischen ein multi­millionen­schweres Geschäft und bedroht ernst­haft die Stabili­tät des Inter­nets: DDoS-Attacken, ob mit oder ohne Er­presser­brief. Die Hinter­männer sind fast nie zu greifen. Wirk­same Verteidi­gung ist immer­hin möglich, wenn auch nicht ganz einfach.

Dieser Beitrag ist mehr als 6 Jahre alt.
© Akamai Technologies
Bild: © Akamai Technologies

Im Netz der faulen Fische

Von Uli Ries

Es ist wohl kaum ein großes Geheimnis, dass sich mit dem Verkauf von Softwarelücken und Schadsoftware jede Menge Geld machen lässt. Dass aber im Windschatten der Malware-Industrie ein anderer, ebenfalls streng arbeitsteilig aufgebauter krimineller Zweig nicht weniger prächtig gedeiht, bleibt oft unerwähnt: Botnet-Betreiber vermieten ihre Netze an Zwischenhändler, die über Webfrontends die Angriffsaufträge zahlender Kunden entgegennehmen. Laut Michael Tullius, Regional Sales Director beim Anti-DDoS-Anbieter Akamai, werden mit Dienstleistungen rund um Distributed-Denial-of-Service-Attacken jährlich mehrere hundert Millionen Euro umgesetzt.

Blackmail aus dem Cyberspace

Die Endkunden der DDoS-Dienste versuchen fast immer, durch Erpressung an Bitcoins zu gelangen. Manchmal schicken sie vor einer Attacke ein Drohschreiben, um auf den bald folgenden Angriff hinzuweisen. Zwischen 1000 und 5000 Euro verlangten beispielsweise die Erpresser, damit die digitale Sturmflut auf Versandapotheken aufhört. Die Opfer: gut 50 Betreiber von Online-Apotheken in Deutschland. Mit bis zu 100 GBit/s donnerte der von den Erpressern im Sommer 2016 auf den Weg gesandte Datenmüll in das Rechenzentrum, in dem das Essener Unternehmen Mauve Software im Auftrag seiner Kunden Shops wie www.apotheker.com oder www.apotheke-guenstig.de betrieb.

SecSol17-ID11-Screenshot-Erpresser-E-Mail.png
Das übliche Vorgehen: Bitcoins oder „ddos attack will start and price to stop will double“ – so traten Ende Januar 2017 die zuvor unbekannten Erpresser „Stealth Ravens“ auf den Plan. Myra Security rät zu Anzeige und professioneller DDoS-Abwehr. (Bild: Myra Security GmbH)

Nicht immer folgen auf ein Drohschreiben jedoch auch Taten: Laut Tullius hoffen manche der Absender offenbar, dass wenigstens eine Handvoll Empfänger der Droh-E-Mail einknicken und auch ohne DDoS-Angriff überweisen – für die Absender ein Gewinn, da sie die Bandbreite des Botnetzes ja selbst pro Stunde bezahlen müssten und so ohne eigene Ausgaben an Geld kommen.

Neben der Schutzgelderpressung sehen Fachleute DDoS-Angriffe auch dann am Werk, wenn Industriespionage oder gezielter Datendiebstahl – wie im Fall Sony – verschleiert werden sollen. Thomas Hiermayer, Technical Solutions Engineer bei der Myra Security GmbH weiß, dass „bei manchen Unternehmen gezielt Produkteinführungen oder große Marketing-Aktionen sabotiert werden.“ Das [Online-Reputation, Teil 1|schädige das Image] der Unternehmen und verursache gleichzeitig Umsatzausfälle, Kosten für nicht nutzbare Marketing-Aktionen und für die Wiederherstellung des regulären Betriebs.

Die Ermittler kapitulieren

Dass sich DDoS-Attacken seit gut 15 Jahren halten und zu einem immer größer werdenden Geschäft geworden sind, liegt neben dem einfachen Geschäftsprinzip daran, dass die Urheber schwer bis unmöglich nachzuweisen sind. Zwar lässt sich der Traffic unter Umständen auf einzelne IP-Adressen zurückführen. Nachdem aber quasi sämtlicher DDoS-Verkehr von infizierten Rechnern (Bots) von ansonsten Unbeteiligten stammt, versandet die Spur der Ermittler an dieser Stelle. Dabei spielt es keine Rolle, ob die Ziele in der Wirtschaft liegen und eine Erpressung folgt oder ob die Angriffe im Rahmen staatlicher Auseinandersetzungen wie in der Ukraine oder in Kriegen wie im Irak passieren – Ausgangspunkt sind stets Botnetze und damit Maschinen, deren eigentliche Besitzer eventuell wenig Wert legen auf den Schutz ihrer Rechner und es den Kriminellen damit leichter machen als nötig.

Myra Security beobachtet verstärkt Angriffe, die auf einzelne Schwachstellen zielen. Diese Beobachtung teilt Michael Tullius: Bevor die eigentliche DDoS-Welle auf das Opfer zurollt, fertigen die Auftraggeber einen Proof of Concept an. Hierzu tragen sie Informationen über die verwendeten Schutzmechanismen, die IP-Bereiche, die Fähigkeiten des Hosting-Providers etc. zusammen. Gerade im Finanz-, Telekommunikations- und Gesundheitssektor kam es laut Hiermayer im letzten halben Jahr zu vermehrten Angriffen auf verschiedene Ziele.

Mutierende Botnetze

Kryptofachmann Bruce Schneier schrieb vergangenes Jahr in seinem Blog, dass ihm Provider von kritischer Internet-Infrastruktur immer öfter von gezielten DDoS-Angriffen auf Teile ihrer Systeme berichten. Die Attacken tragen dabei das Muster von Vorstößen, mit denen Schwachstellen ausgeleuchtet werden sollen. Im Ernstfall könnten in Krisensituationen so ganze Teile des Netzes lahmgelegt werden.

Security Solutions 2017-01.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Auch Myra Security beobachtet in letzter Zeit häufiger Angriffe auf Internet Service Provider und Rechenzentren. Ziele seien dabei auch immer öfter die DNS-Dienste. Möglicher Hintergrund: Hacktivisten können dank neuartiger und bandbreitenstarker Botnetze nun auch große und spezialisierte Angriffe im Multihundertgigabitbereich reiten – wodurch nun auch sehr gut angebundene ISPs zur Zielscheibe werden. Bisher konnten die Provider laut Hiermayer solche Angriffe noch durch ihre Bandbreite und ihre eigenen Kapazitäten abwehren. Das wird jedoch zunehmend schwieriger.

Hinzu kommt, dass Angreifer durch die gezielte Steuerung ihrer Botnetze und einzelner übernommener Clients zunehmend Multivektorangriffe und Angriffsmethoden mit Advanced Persistent Threats (APT) verüben. Im DDoS-Umfeld sind zudem wellenartige Angriffe üblich, um das eingesetzte Botnetz vor Entdeckung durch die eigentlichen Serverbesitzer zu schützen. Denn permanent attackierende Netze werden durch die höhere CPU- und Traffic-Last der Bots meist früh erkannt und verlieren damit die für sie wertvollen einzelnen Clients.

Taktische Angriffsvarianten

Technisch ist es gar nicht nötig, die Bots bis zum Anschlag ausreizen und dennoch die Bandbreite der Angriffe immer weiter zu steigern: Die größten bekannt gewordenen Angriffe bewegen sich mittlerweile im Bereich von über 500 GBit/s und werden damit auch zur Gefahr für Internet-Service-Anbieter und große Rechenzentren. Würde ein einzelner Bot beispielsweise den Upstream von 10 MBit/s ausreizen, die einem mit VDSL50 angebundenen Rechner zur Verfügung stehen, ließe sich damit schon bis zu 1 GBit/s an DDoS-Datenverkehr erzeugen. Die Durchschlagkraft einzelner Bots ist also durchaus nennenswert, da die von den Angreifern verwendeten Techniken die Bandbreite des Bots vervielfachen.

Die Experten sehen zwei Kategorien an Angriffstechniken: einerseits sehr einfach zu verübende, breitbandige Angriffe wie UDP-Floods bzw. UDP-Amplification-Angriffe oder TCP-SYN-Angriffe, andererseits spezialisierte Layer-7-Angriffe, die genau auf Schwachstellen in den jeweiligen Applikationen zielen. Zum Winter- und Weihnachtsgeschäft etwa gerät laut Hiermayer regelmäßig die E-Commerce-Branche ins Visier von Erpressern: Hohe Umsätze und starker Konkurrenzdruck bewegen Betreiber von Online-Shops oft dazu, vorschnell fünfstellige Lösegeldsummen bezahlen – und machen sich dadurch weiter erpressbar.

Laut Akamai-Vertreter Tullius sind neben den breitbandigen Angriffen verstärkt solche mit extrem hoher Paketzahl zu sehen. Akamai beobachtete im zweiten Quartal 2016 rekordverdächtige 21 solcher Attacken, bei denen mehr als 30 Millionen Pakete pro Sekunde erzeugt wurden. Zwei der Angriffe trieben die Zahl sogar auf 300 Millionen Pakete. Die dabei erzeugten Datenmengen fallen zwar vergleichsweise gering aus, doch mit der hohen Paketzahl sollen Router und Firewalls an ihre Limits gebracht werden, da sie zum Verfolgen der Pakete reichlich Speicher verwenden müssen. Das kann entweder zum Paketverlust führen. Oder sogar dazu, dass Firewall-Systeme aufhören, den Verkehr zu filtern und damit quasi umfallen. Welche Hersteller hiervon betroffen sind, wollte Tullius nicht sagen.

Kleiner Fisch am Haken

Im Jahr 2016 wurde auch einer der seltenen erfolgreichen Schläge der Strafverfolger gegen DDoS-Dienste bekannt: Ermittler verhafteten die Macher des vDos genannten, kommerziellen DDoS-Anbieters. Weder Michael Tullius noch Thomas Hiermayer erwarten durch die Verhaftung der Hintermänner jedoch ein Abflauen der Angriffswellen. Laut Tullius sei das Gesamtvolumen einfach zu groß, als dass ein einzelner Booter-Dienst wie vDoS spürbar ins Gewicht fiele. Hiermayer gibt zu bedenken, dass ohnehin ständig Schwankungen zu beobachten sind, da je nach Branche und Jahreszeit mal mehr, mal weniger attackiert werde. Sein Arbeitgeber sah zwar nach der Verhaftung tatsächlich einen Rückgang; ob dies allerdings nur mit vDoS zu tun habe, sei fraglich.

Denn einzelne Angriffe lassen sich nicht immer auch einem bestimmten Angreifer zuordnen. Die Angriffsmethoden unterscheiden sich einfach zu wenig, als dass Fingerabdrücke verlässlich ermittelbar wären. Zudem erschwert das verwendete IP-Spoofing die Analyse, zumal mehrere Gruppierungen die immer gleichen Botnetze parallel aufteilen und verwenden. Thomas Hiermayer vermag derzeit nicht einzuschätzen, ob andere Command-and-Control-Dienste das von vDoS betriebene System weiter nutzen.

Schutzringe fürs Kerngeschäft

Zum Schutz vor DDoS-Angriffen können sich Kunden entweder unter den Schirm von spezialisierten Anbietern wie Akamai, Arbor Networks, Cloudflare oder Myra Security begeben oder sich die zur Abwehr nötige Hardware ins eigene Rechenzentrum stellen. Das kann aber schnell ins Geld gehen: Um beispielsweise verlässlich Angriffe von bis zu 500 MBit/s wegzuschaufeln, ist Hardware für gut 50.000 Euro nötig.

Von daher dürfte für die meisten Kunden ein Anbieter die günstigere Wahl sein. Hier gilt es dann aber zu unterscheiden, welche Arten von Attacken die Dienstleister abwehren können: Einzelne Provider wehren beispielsweise nur Attacken auf Layer 3 und Layer 4 ab, lassen jedoch die Anwendungsebene auf Layer 7 außen vor. Von daher raten Fachleute eher zu umfassenden Schutzpaketen, da halbwegs geschulte Angreifer sich nie auf nur eine Angriffstechnik verlassen.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links