Experten berichten von bisher intensivstem DDos-Angriff in Europa

NetzwerkeSicherheit
Der bislang größte DDos-Angriff nutzte das Protokoll NTP.

Dem Dienstleister CloudFlare zufolge übertraf das Volumen das des Angriffs auf den Dienstleister Spamhaus vor knapp einem Jahr deutlich. Die Angreifer verwendeten diesmal das Network Time Protocol (NTP) indem sie dessen Wirkung um ein Vielfaches verstärkten. Das US-CERT hatte im Januar vor derartigen DDoS-Attacken gewarnt.

In den vergangenen Tagen hat CloudFlare von DDoS-Angriffen auf einen seiner europäischen Kunden in einem bislang unerreichten Ausmaß berichtet. Sie sollen mit 400 GBit pro Sekunde noch intensiver gewesen sein als die Angriffe auf Spamhaus im März 2013. Damals war von 300 GBit/s die Rede.

Der bislang größte DDos-Angriff nutzte das Protokoll NTP.

Dem Content Delivery Network CloudFlare, das sich wie seiner Mitbewerber – etwa Akamai – zunehmend als Sicherheitsanbieter versteht, zufolge kam dabei auch eine neue Angriffsmethode zum Einsatz. Bei ihr wird das Network Time Protocol (NTP) mit vielfach verstärkter Wirkung genutzt.

“Sehr große NTP-Reflection-Attacke trifft uns genau jetzt”, machte CloudFlare-CEO Matthew Prince mit einem Tweet bekannt. “Jemand hat eine große neue Kanone. Hässliche Dinge kommen auf uns zu.” dramatisierte er in einem folgenden Tweet. Allerdings ist CloudFlare ist für theatralische Formulierungen bekannt – schließlich hilft das, die eigene Leistungsfähigkeit in ein gutes Licht zu stellen.

Immerhin sah auch das Internet Storm Center (ISC) eine von verschleierten Quellen ausgehende Attacke von offenbar beträchtlicher Größe. Vor der neuen Angriffsmethode der “NTP Amplification Attacks” warnte das US-CERT bereits im Januar. Anlass war ein auf diese Weise erfolgreich durchgeführter Angriff gegen Gaming-Netzwerke.

Das NTP-Protokoll dient dem Zeitabgleich im Internet. Angreifer fragen jedoch mit gefälschter Absenderadresse NTP-Server nach Daten ab – und umfangreiche Antworten gehen dann an die Angriffsziele, von denen berechtigte Abfragen zu kommen schienen. “Da die Antwort typischerweise viel größer ausfällt als die Abfrage, kann der Angreifer das Volumen des Traffics verstärken, der auf das Opfer zielt”, heißt es in der Warnung des US-CERT. “Weil die Antworten legitime Daten sind, die von zulässigen Servern kommen, ist es besonders schwierig, diese Art von Angriffen abzublocken.”

Sicherheitsforscher Johannes Ullrich vom Sans Institute hält solche Angriffe noch für wirksamer als DNS-Amplification-Attacken, die bereits 20- bis 50-fach verstärken. Ein NTP-Amplification-Angriff wie der von CloudFlare berichtete, könnte Ulrich zufolge sogar eine Verstärkung um den Faktor 500 bewirken.

Laut CloudFlare-CEO Matthew Prince machte sich der Angriff zwar weltweit bemerkbar, langsamer sei aber nur der Traffic im europäischen Netzwerk von CloudFlare geworden. Auf welchen Kunden die Attacke zielte, wollte er nicht sagen, auch wer der Angreifer ist und welche Beweggründe er hatte, sei ihm nicht bekannt.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen