2017: Das Jahr der DDoS-Angriffe

DDoS-Angriffe sind nicht neu. Was neu ist, ist die Qualität und Quantität der Attacken. Schutz vor DDoS-Attacken braucht künftig jeder Seitenbetreiber.

DDoS früher: „Es wird mich schon nicht treffen”

Es ist mit Sicherheit mindestens zehn Jahre her, dass ich mit einer frei verfügbaren Software aus den Tiefen des Netzes experimentierte. Mit dem Progrämmchen konnte ich über mehrere Lokationen verteilt Last auf einen Server schicken, um zu schauen, wie lange er ordentlich standhält und ab wann er zusammenbricht. Das war im Grunde das Prinzip einer DDoS-Attacke.

Lange haben wir geglaubt, DDoS-Angriffe würden nur gegen Internetriesen gefahren oder gegen unliebsame Regierungs- und Nichtregierungsorganisationen. Teilweise wurden DDos-Angreifer schon als eine Art Kämpfer für die Gerechtigkeit nach dem uralten Racheprinzip verklärt.

DDoS verlääst das Dunkel und wird mehr und mehr zum Massenphänomen. (Foto: Pixabay)

Ich für meinen Teil habe mich definitiv sehr lange sicher geglaubt und hielt einen aktiven Schutz gegen DDos-Angriffe für überflüssig. Und das mag sogar lange wirklich gestimmt haben.

Leider zeigt die Entwicklung der letzten Jahre, dass Zahl und Intensität, wie auch die Zielauswahl und Motivation hinter den Attacken einem schnellen Wandel unterliegen. Nicht nur steigt stetig die Angriffsfrequenz, auch die Stärke der Attacken nimmt zu. Bei der Zielauswahl wird intelligenter vorgegangen und Erpressungsversuche werden mehr und mehr zur Hauptmotivation beim DDoS-Angreifer. Es wird Zeit, das Thema DDoS Schutz noch einmal zu überdenken.

Schauen wir uns die Eckpunkte der Veränderungen einmal an.

Das Internet der Dinge wird zur Bedrohung

Wer hätte damit gerechnet, dass sein Webserver mal von einem gekaperten Toaster angegriffen werden könnte? Gut, es waren keine Toaster, sondern digitale Videorekorder, die für die DDoS-Attacke im Oktober 2016 verantwortlich waren, bei der weite Teile des Netzes, darunter Twitter, Amazon, AirBNB, Netflix, Github und etliche andere nicht mehr erreichbar waren.

Mit Hilfe des Malware-Kits Mirai hatten Angreifer ein Botnetz aus Tausenden von intelligenten DVR und anderen Bestandteilen des Internet der Dinge gebastelt. Der Erfolg war durchschlagend.

Das hatte keiner auf dem Zettel: angreifende Web-Cams. (Foto: Pixabay)

Erstaunlicherweise traten danach Experten auf den Plan, die das alles schon immer so vorhergesehen haben wollen und die postulierten, viele Teilnehmer im Internet der Dinge seien irreparabel kaputt und müssten eigentlich ausgetauscht werden, weil sie nicht einmal zu einem simplen Firmwareupdate in der Lage seien und von daher nicht sicherer gemacht werden können.

Dieser Umstand wird in 2017 aller Voraussicht dazu führen, dass weitere, größere DDoS-Angriffe über das Internet der Dinge ausgeübt werden. Denn am Grundproblem hat sich nichts geändert. Das unsichere Internet der Dinge mit seinen irreparablen Sichereitsmängeln wächst beständig weiter und damit auch sein Angriffspotenzial.

Die einzelne DDoS-Attacke wird potenter

Die Intensität der einzelnen DDoS-Angriffe steigt von Jahr zu Jahr. Die Größe einer Attacke nahm laut Deloitte im Zeitraum von 2013 bis 2015 um 30 Prozent zu. Im jahr 2016 konnten allerdings die ersten beiden Attacken beobachtet werden, die mit einer Stärke von über einem Tbps (Terabit pro Sekunde) verübt wurden. Deloitte prognostiziert für 2017, dass mindestens ein solcher Angriff pro Monat erfolgen wird.

Je größer der Hammer, desto matscher das Ei. (Foto: Pixabay)

Die Gesamtzahl der Angriffe schätzt Deloitte auf zehn Millionen, wobei die durchschnittliche Attacke eine Größenordnung von 1,25 bis 1,5 Gigabit pro Sekunde (Gbps) erreichen wird. Bei diesen Größenordnungen reicht eine einzelne Attacke aus, um nahezu jeden durchschnittlichen Server vom Netz zu nehmen. Das Problem potenziert sich auch in Zukunft durch stetig steigende Bandbreiten.

Alle Zahlen stammen aus dem Deloitte-Bericht „Technology, Media and Telecommunications Predictions 2017” (Download als PDF).

DNS-Server werden als lohnende Ziele erkannt

Der bereits genannte Mirai-Angriff aus dem Internet der Dinge richtete sich gegen die DNS-Server des US-amerikanischen Unternehmens Dyn und störten die Namensauflösung für diverse große Internetdienste. Der Effekt war simpel. Ohne Namensauflösung kann kein Server erreicht werden. So ist eine DDoS-Attacke gegen einen DNS-Server im Erfolgsfalle weitaus effektiver als einzelne Attacken gegen individuelle Anbieter.

Da Malware-Kits wie Mirai gezielt immanente Schwächen des DNS an sich ausnutzen, ist es geradezu naheliegend, direkt den DNS zu attackieren. Unternehmen sollten deshalb niemals auf nur einen DNS-Anbieter setzen, sondern sich bei verschiedenen hinterlegen, damit bei Ausfall des einen, immer noch der andere Besucher korrekt zuleiten kann.