DDoS-Attacke mit “Teppichbombardierung” setzt südafrikanischen ISP für einen ganzen Tag lahm

Siehe auch

  • 10 gefährliche App-Schwachstellen, auf die Sie achten sollten (kostenloses PDF)

Mysteriöse Angreifer haben am Wochenende einen südafrikanischen Internetdienstanbieter mit einer DDoS-Technik namens Carpet Bombing ausgeschaltet. ZDNet hat gelernt.

Die DDoS-Angriffe fanden am Samstag und Sonntag, 21. und 22. September, statt und zielten auf Cool Ideas, einen der größten ISPs Südafrikas, ab.

Während des DDoS gelang es Angreifern, die externen Verbindungen von Cool Ideas zu anderen ISPs erfolgreich zu unterbrechen, wie aus Open-Source-Berichtstools hervorgeht.

sa-ci-ddos.png

Bild über ihr.iijlab.net

Als Ergebnis dieses Angriffs erlebten Cool Ideas-Kunden „zeitweiligen Konnektivitätsverlust und verschlechterte Leistung“ für jede Verbindung, die versucht, auf einen internationalen Dienst oder eine Website zuzugreifen, teilte das Unternehmen auf seiner öffentlichen Statusseite mit.

Angreifer starteten einen Folgeangriff

Cool Ideas hat zwar nicht auf eine Bitte um einen Kommentar geantwortet, dass ZDNet Gestern gesendet, sagte Paul Butschi, Mitbegründer von Cool Ideas, einer lokalen Nachrichtenagentur, dass die Angreifer den Umgang des ISP mit dem Angriff im Auge behalten und entsprechend reagiert haben.

Sobald Cool Ideas es geschafft hatte, die erste DDoS-Angriffswelle abzuwehren und die langsame Wiederaufnahme des Dienstes ankündigte, schlug innerhalb von Minuten ein weiterer DDoS-Angriff ein, der die Systeme des ISP erneut lahmlegte.

Darüber hinaus gab Butschi bekannt, dass dies der zweite große DDoS-Angriff war, mit dem der Anbieter konfrontiert war, mit einem weiteren, der das Unternehmen am 11. September traf.

sa-ci-ddos-three.png

Bild über ioda.caida.org

Darüber hinaus wurde der ISP heute früher erneut von einem vierten Angriff getroffen. Im Gegensatz zu den ersten Angriffen traf dieser die Website des ISP und nicht sein Netzwerk. ZDNet erfuhr aus einer Quelle, die anonym bleiben wollte, aber Beweise für den Angriff lieferte.

DNS+CLDAP-Verstärkungsangriffe im Stil von Teppichbombardements

Alle Angriffe, die Cool Ideas getroffen haben, waren sogenannte DDoS-Amplification-Angriffe, die die Protokolle DNS und CLDAP nutzten.

Hacker schickten Junk-Traffic an ungepatchte DNS- und CLDAP-Server, die wiederum den Verkehr zum Netzwerk von Cool Ideas in verstärkter Größe widerspiegelten – daher der Begriff DDoS-Amplification-Angriff.

Auffällig war jedoch, dass die Hacker keinen klassischen DDoS-Angriff durchgeführt haben, bei dem es um einen Schlüsselserver im Netzwerk von Cool Ideas ging.

Stattdessen verwendeten sie eine Technik, die als Carpet Bombing bekannt ist, bei der sie den Junk-DDoS-Verkehr an zufällige IP-Adressen im Netzwerk von Cool Ideas schickten.

Während eines Teppichbombenangriffs erhielt jeder Kunde im Netzwerk von Cool Ideas etwas Junk-Traffic. Der Junk-Traffic war nicht groß genug, um die Verbindung jedes Kunden zu unterbrechen; Es war jedoch groß genug, um die Server an der Netzwerkgrenze von Cool Ideas zu überfordern, was ausfiel und schließlich auch die externe Konnektivität des ISPs zum Erliegen brachte.

Teppichbombardierung kann rudimentäre DDoS-Abwehr umgehen

Man könnte sich fragen, warum Angreifer die Edge-Server von Cool Ideas nicht direkt ins Visier genommen haben. Der Grund ist ganz einfach – denn diese Systeme wurden durch DDoS-Abwehrlösungen geschützt und hätten den gesamten Junk-Traffic abgefangen, bevor er Schaden anrichten konnte.

Indem der DDoS-Angriff auf zufällige IPs im IP-Adresspool von Cool Ideas abzielte, sah das DDoS-Abwehrsystem keinen DDoS-Angriff, der auf ein bestimmtes Ziel abzielte, sondern sah viel Verkehr zu den Tausenden von Kunden des ISP. Seltsam und ungewöhnlich, aber nicht so, wie ein klassischer DDoS-Angriff aussieht.

Als der DDoS-Verkehr wuchs, wurden die Edge-Router langsam überfordert und stürzten schließlich ab, während die DDoS-Abwehrlösung keinen Angriff erkennen konnte.

Im Interview mit ZDNet, Netzwerksicherheitsforscher Tucker Preston sagte, dass Teppichbombardierung eine Technik ist, die “überwiegend gegen ISPs eingesetzt wird” und normalerweise nirgendwo anders verwendet wird.

„Diese Technik vereitelt rudimentäre Abschwächungsoptionen wie das Routing von Schwarzen Löchern und entzieht sich gleichzeitig der flussbasierten Erkennung“, sagte Preston.

DDoS-Angriffe auf ISPs sind nicht so schwer durchzuführen

Darüber hinaus könnte man meinen, dass es eine ziemlich schwierige Aufgabe ist, einen ganzen Internetdienstanbieter zu Fall zu bringen, aber die Realität sieht so aus, dass diese Angriffe ziemlich häufig vorkommen.

Zum Beispiel gab es schon früher Angriffe auf ganze ISPs und zielten auf ISPs in Liberia und Kambodscha ab, um nur die bekanntesten zu nennen ZDNet in früheren Berichten behandelt. Beides waren auch Teppichbombenangriffe.

„Im Allgemeinen sind diese Angriffe erfolgreich genug, um netzwerkweite Dienstunterbrechungen und längere Verlangsamungen zu verursachen“, sagte Preston ZDNet über einige der Angriffe, die er gegen ISPs gesehen hat.

“Manchmal werden Angriffe während der Spitzenzeiten des Surfens zeitlich festgelegt, um die Benutzer noch mehr zu frustrieren”, sagte er. “Entschlossene Angreifer scheinen motiviert zu sein, beim Kunden so viel Unzufriedenheit wie möglich zu verursachen, was sowohl zu Verlusten für den Anbieter als auch zu schlechter Presse führt.”

Außerdem brauchen Angreifer nicht immer ein großes DDoS-Botnet, um ISPs zu stören, und sie müssen auch nicht ständig das Netzwerk eines Providers mit Junk-Traffic hämmern.

„Tagelange Angriffe auf ISPs sind keine Seltenheit; kurze Angriffe, die den Dienst zu Stoßzeiten unterbrechen, können jedoch genauso effektiv sein“, sagte Preston. “Die Allgegenwart von Echtzeitanwendungen wie VOIP und Gaming bedeutet, dass Endbenutzer eine zuverlässige Verbindung ohne Paketverlust erwarten.”

Preston sagte jedoch auch, dass die meisten ISPs heutzutage über die Tools verfügen, um solche Angriffe abzuwehren. Sie können beispielsweise das DOTS-Protokoll (DDoS Open Threat Signaling) auf DDoS-Minderungsplattformen einsetzen und zusammenarbeiten, um schlechten Datenverkehr für eines der teilnehmenden Mitglieder lange bevor er das Netzwerk des Ziels erreicht, abzufangen.

Darüber hinaus weist Preston darauf hin, dass Lösungen wie BGP flowspec auch ISPs helfen können, DDoS-Angriffe zu verhindern, die den Carpet-Bombing-Ansatz verwenden. [More on this topic in the video below — a presentation on BGP flowspec by Charter security engineer Taylor Harris.]

Die DDoS-Teppichbombentechnik ist nichts Neues. Es ist seit mehr als einem Jahrzehnt dokumentiert. Das DDoS-Minderungsunternehmen Netscout stellte kürzlich in einer Präsentation fest, dass die Angriffe von Teppichbomben im Jahr 2018 zugenommen haben.

Die Forscher von Netscout machten die zunehmende Popularität der Technik auf die Verbreitung von DDoS-Botnets und DDoS-for-hire-Diensten in den letzten Jahren zurückzuführen. Heutzutage ist die Technik weit verbreitet und wird jetzt oft bei Angriffen auf große Ziele gesehen, die groß genug sind, um eigene AS-Nummern- und IP-Adresspools zu haben, wie ISPs, Rechenzentren, Webhosting-Firmen, Cloud-Anbieter oder große Unternehmensnetzwerke .

Wenn eines dieser Unternehmen es versäumt, in moderne Tools und Protokolle zur DDoS-Abwehr zu investieren, kommt es häufig zu Ausfällen. Bis die meisten dieser Unternehmen ihre Schutzmaßnahmen verbessern, werden DDoS-Teppichbombenangriffe weiterhin eine aktuelle Bedrohung bleiben, auch wenn es bereits viele Lösungen für diese Art von DDoS-Angriffen gibt.

Die meistgesuchten Cyberkriminellen des FBI SIEHE VOLLSTÄNDIGE GALERIE

15 von 19 NÄCHSTE ZURÜCK

Sicherheit

  • Wenn es bei Ihrem VPN um Leben oder Tod geht, verlassen Sie sich nicht auf Bewertungen
  • Ransomware-Banden beschweren sich darüber, dass andere Gauner ihr Lösegeld stehlen
  • Bandwidth CEO bestätigt Ausfälle durch DDoS-Angriffe
  • Diese Systeme sind jeden Monat mit Milliarden von Angriffen konfrontiert, da Hacker versuchen, Passwörter zu erraten
  • So bekommen Sie einen bestbezahlten Job in der Cybersicherheit
  • Cybersecurity 101: Schützen Sie Ihre Privatsphäre vor Hackern, Spionen und der Regierung

Leave a Comment