Sieben Antworten zur historischen DDoS-Attacke

Sicherheit

Der Streit zwischen Spamhaus und dem niederländischen Hoster Cyberbunker beziehungsweise dessen Kunden hat sich zur größten bisher festgestellten DDos-Attacke ausgewachsen. Die Nebenwirkungen sind vor allem in Europa zu spüren. Dirk Kolberg von Sophos erklärt im Expertenbeitrag für ITespresso, worum es geht und wer betroffen ist.

Internetnutzern sind vielleicht schon im Laufe der vergangenen Woche immer wieder Online-Anomalien aufgefallen. Mittlerweile ist das Thema in aller Munde: Die größte jemals festgestellten DDoS-Attacke sorgt dafür, dass vor allem Intenretnutzer aus Nordamerika und Europa betroffen sind. Sophos-Mitarbeiter Dirk Kolberg erklärt im Expertenkommentar für ITespresso die wichtigsten Fragen rund um den Angriff.

Was war passiert?

Dirk Kollberg, Senior Threat Researcher bei Sophos und Autor dieses Expertenbeitrags für ITespresso (Bild: Sophos).
Dirk Kollberg, der Autor dieses Expertenbeitrags für ITespresso, ist Senior Threat Researcher bei Sophos (Bild: Sophos).

Vor etwas mehr als einer Woche legte sich der fragwürdige Internet Hosting Provider Cyberbunker mit Spamhaus an. Bei Spamhaus handelt es sich um eine Non-Profit-Organisation, die seit 1998 gegen Spammer und eben auch Host-Unternehmen vorgeht, die von Spam-Aktivitäten profitieren.

Mittlerweile scheint Cyberbunker offline zu sein, was wenig überraschend ist. Ob das allerdings auf eine DDoS-Attacke oder andere Umstände zurückzuführen ist, ist von außen schwierig zu beurteilen. Das Unternehmen bietet seine Dienste vor allem Kunden an, die bei seriösen Providern abgeblitzt sind oder ihre zweifelhaften Aktivitäten einfach nicht auf den traditionellen Web Hosts durchführen wollen.

Zur Kundschaft gehören unter anderem Copyright-Täter, Spammer oder Malware-Verbreiter. Aufgrund dieser Ausrichtung setzte Spamhaus die Cyberbunker-IP-Adressen auf seine Blacklist. Im Gegenzug startete Cyberbunker seinen Feldzug, um Spamhaus offline zu setzen.

Wie groß ist die Attacke?

Zu den Hochzeiten wurden bis zu 300 Gigabit pro Sekunde gemeldet. Diese Größenordnung lässt sich besser einschätzen, wenn man bedenkt, dass sogar große Botnetze lediglich dazu in der Lage sind, hunderte von Megabit oder wenige Gigabit pro Sekunde auszuliefern.

Was macht die Attacke so besonders?

Es ist eine groß angelegte DNS-Reflection-Attacke, die falsch konfigurierte DNS-Server ausnutzt, um die Auswirkung eines sehr viel kleineren Botnetzes zu potenzieren. Cloudflare, ein von Spamhaus zum Schutz der eigenen Systeme angeheuerter Anti-DDoS-Provider, hat berichtet, dass beispielsweise in einer sehr viel kleineren Attacke Ende 2012 mehr als 68.000 DNS-Server für eine einzige Attacke genutzt wurden.

Wie groß ist das Problem?

Das Open Resolver Project meldete am 28. März 2013 mehr als 21,7 Millionen unsichere bzw. falsch konfigurierte DNS-Server im IPv4-Internet.

Warum wird das Internet dadurch langsamer?

Die Bemerkung eines US-Senators, der das Internet als ein System von Röhren bezeichnet hat, sorgte damals für viel Gelächter. Diese Bezeichnung ist bis zu einem gewissen Grad aber auch wahr. Zurzeit werden viele der primären Internet-Hauptleitungen (sogenannte Tier 1 Service Provider) vom Traffic-Volumen der Attacke überwältigt. Das führt dazu, dass auf manche Seiten nur sehr langsam oder, zu den Hochzeiten der Attacke, gar nicht zugegriffen werden kann. Ein klarer Fall von “Collateral Damage”.

Wie funktioniert eine DNS-Reflection-Attacke?

DNS Requests werden normalerweise über das Netzwerkprotokoll UDP versandt. Hierbei wird ein Datenpaket direkt an einen anderen Rechner versendet. Es findet kein Verbindungsaufbau zwischen den Rechnern statt, bevor die Daten übertragen werden.

Somit ist es auch möglich, die Absenderadresse in dem UDP-Paket zu fälschen. Erreicht ein solches Paket mit einer relativ kurzen Anfrage einen der 21,7 Millionen falsch konfigurierten DNS-Server, nimmt der Server die Anfrage an und schickt eine lange Antwort an den Anfragenden. Ist die Antwort des DNS-Servers länger als 512 Bytes, wechselt dieser zum TCP-Protokoll. Hierbei ist ein Verbindungsaufbau zwingend notwendig – und der kostet Zeit und Bandbreite.

Zudem sind die TCP-Antworten so beschaffen, dass sie einige Kilobyte groß sind. So bekommt man zum Beispiel für 300 Byte Botnetz-Traffic plötzlich über 3000 Byte Angriffs-Traffic. Auf diese Weise können sich einige Hundert Megabit Botnetz-Bandbreite sehr schnell in riesige Traffic-Mengen von Servern verwandeln und von Angreifern gezielt genutzt werden. Da die Absenderadresse der Anfrage gefälscht war, werden die Daten an einen unbeteiligten Rechner gesendet, in diesem Fall an Spamhaus.

Was ist zu tun?

Der normale Internetnutzer hat keine großen Einflussmöglichkeiten. Aber keine Panik, Daten sind von dieser Art Attacke in keiner Weise betroffen, es treten lediglich Verzögerungen beim Seitenaufbau auf.

Für Administratoren von DNS-Services ist es wichtig, die Recursive Name Services so zu konfigurieren, dass sie nur auf das eigene Netzwerk antworten. Alle Anbieter, die ein öffentliches DNS aufrecht erhalten müssen, sollten sicher stellen, dass sie ein Filtersystem für missbräuchliche Anfragen aktiviert haben und zudem absichern, dass die Häufigkeit der Anfragen sich mit dem erwarteten Volumen deckt.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de