[Netzwelt] Heftigster DDoS-Angriff der Geschichte auf Brian Krebs' Website

Dienstag und Mittwoch dieser Woche wurde der Sicherheitsexperte und -Journalist Brian Krebs mit seiner Website http://krebsonsecurity.com (Seite aktuell nicht erreichbar) Ziel des bisher größten DDoS-Angriffs in der Geschichte des Internets. Die Angriffe erreichten über einen langen Zeitraum bis zu 665 Gbps, das entspricht in etwa der doppelten Potenz des bisher stärksten gemessenen Angriffs.

Auslöser für diesen Angriff war vermutlich ein Bericht über den israelischen Booter-/Stresser-Service vDos, der aktiv zur Aufdeckung und Verhaftung der Hintermänner geführt hatte (Seite derzeit nicht erreichbar).

Krebs' Anti-DDoS-Dienstleister Akamai, der laut Krebs seine Website bis dato kostenlos geschützt hatte, konnte dem Angriff nichts entgegensetzen und verzichtete in der Folge darauf, die Dienstleistung weiter zu erbringen. Brian Krebs hat nach eigener Aussage völliges Verständnis dafür, er habe schließlich in zwei Nächten mehr Kosten verursacht, als Akamai zuzumuten wäre.

Auf Heise.de wird auf die schiere Größe des dem Angriff zugrunde liegenden Botnets' hingewiesen. Die Existenz eines derartig großen Botnets war bisher völlig unbekannt.

 

[Jester]

Zwar gelesen, aber leider nicht im Zusammenhang gesehen - Schneier hat im Vorfeld vor einigen Tagen berichtet, dass jemand gerade lernt, wie man das Internet gezielt abschaltet.

Im Artikel spricht er davon, dass jemand gezielt die Verteidigungsmechanismen von Firmen abklopft, die kritische Teile des Internets betreiben und bereitstellen - und was nötig ist, um diese abzuschalten. Die Angreifer führen gezielt Angriffe in immer stärkeren Wellen durch, um den genauen Punkt des Systemversagens herauszufinden.

Verisign war nach eigener Aussage eines der Ziele. Wenn Verisign als Registrar aller .com und .net-Domains ausgeschaltet würde, wäre ein Großteil des Internets von einem Blackout betroffen.

@d235: Teile des IoT & die Router sind hier recht sicher mit drin imho.

 

[Novgorod]

Wenn Verisign als Registrar aller .com und .net-Domains ausgeschaltet würde, wäre ein Großteil des Internets von einem Blackout betroffen.

wie das? müssten dazu nicht alle DNS-server weltweit ebenfalls abgeschossen werden? die schalten sich ja nicht von allein ab, wenn eine zeit lang keine neuen updates gepusht werden.. während des ausfalls können dann schlimmstenfalls keine neuen domains mehr registriert oder umgemeldet werden, aber das ist doch eher nur eine kleine unbequemlichkeit.. ich hatte eigentlich immer das gefühl, das DNS-system sei ziemlich robust, eben weil es global verteilt und nicht zentral kontrolliert wird..

 

[d235]

Könnte es hier um die zwei Root-Server gehen, die durch Verisign betrieben werden?
Interessant wäre ob RIPE NCC Ähnliches berichten könnte

 

[virtus]

richtig, du hast praktisch keine chance, den virtus zu entdecken

Wtf soll denn diese Anspielung?

Taktisch gesehen war es sicher nicht allzu klug, sich mit dem Angriff auf Krebs' Website zu offenbaren. Ein unvorbereiteter Treffer mit diesem Ding an der richtigen Stelle hätte womoglich schlimme Folgen gehabt.

Selbst wenn man nun um das Potential weiß, wie willst du so einen Angriff abwehren?

wie das? müssten dazu nicht alle DNS-server weltweit ebenfalls abgeschossen werden? die schalten sich ja nicht von allein ab, wenn eine zeit lang keine neuen updates gepusht werden.. (...) ich hatte eigentlich immer das gefühl, das DNS-system sei ziemlich robust, eben weil es global verteilt und nicht zentral kontrolliert wird..

Es gibt 13 logische Root-DNS Server, die hauptsächlich das Management im Hintergrund übernehmen. Einer dieser logischen Rootserver wird von VerySign betrieben. Wobei 13 Root-DNS Server natürlich nicht heißt, dass da nur 13 physische Maschinen stehen. Gewöhnlich wird Lastenverteilung betrieben und hinter jedem der 13 logischen DNS-Server stehen wiederum dutzende physische Maschinen.

Mehr zum Thema Root-DNS

Spoiler

2002 konnten bei einem Angriff 9 der 13 Server lahmgelegt werden, alle 13 wurden angegriffen.
2006 konnten 2 von 5 angegriffenen DNS Servern lahmgelegt werden. Der Angriff richtete sich ausschließlich gegen eine Domain.
2007 konnten 2 der 13 Server vollkommen abgeschossen werden.
2013 wurde ein erfolgreicher Angriff auf die DNS-Systeme von Spamhouse gefahren.

Mit entsprechender Power, wäre es sicher möglich alle 13 offline zu nehmen. Wenn dich das Thema interessiert: Root-Nameserver

Gewöhnlich wird aktuell eine sog. DNS Amplification Attack durchgeführt. Dabei werden vom Angreifer bzw. dessen Minions verhältnismäßig kleine Anfragen gestellt, auf die das Opfer mit deutlich größeren Antworten reagiert. Im Fall von Spamhouse wurden z.B. Anfragen mit je 36 Byte gestellt, während die DNS Server von Spamhouse mit 3000 Byte antworteten. Bei einer hinreichenden Anzahl an Anfragen, kann man so die Leitungen der DNS Server verstopfen..

 

[Novgorod]

@virtus: dann stimmt doch im grunde meine annahme.. wenn die root-server ausfallen, können vorübergehend keine unbekannten domains mehr aufgelöst werden - das wird doch nicht das internet lahmlegen .. jeder ISP hat seine eigenen DNS-server mit cache für alle bisher gemachten anfragen seiner kunden (und sicherlich darüber hinaus), somit bleiben alle größeren seiten weiterhin erreichbar und lediglich kleine/unbekannte seiten und DNS-änderungen funktionieren nicht mehr, bis die attacke vorbei ist.. das betrifft sicher weniger als 1% der internetnutzer und ist auf die dauer des angriffs beschränkt (paar stunden oder höchstens tage?).. also hätte ich so ein botnet, würde ich mir ziele mit bedeutend mehr return of investment aussuchen..

PS: a bisserl spaß muss sein, sogar hier, oder?

 

[Jester]

Die Aussage war die rohe Übersetzung/Inhaltsangabe einer Passage aus Schneiers Artikel (war verlinkt):

I am unable to give details, because these companies spoke with me under condition of anonymity. But this all is consistent with what Verisign is reporting. Verisign is the registrar for many popular top-level Internet domains, like .com and .net. If it goes down, there's a global blackout of all websites and e-mail addresses in the most common top-level domains.

J.

PS: meine Theorie mit dem IoT und den Routern wird durch einen Artikel auf Golem.de von heute bestätigt:

[...] Der Angriff auf Brian Krebs erfolgte nach seinen Angaben durch ein Botnetz aus Routern, IP-Kameras und digitalen Videorekordern - also Geräte, die man üblicherweise als Internet of Things (IoT) zusammenfasst. Und genau hier liegt das große Problem: Es sieht nicht so aus, als ob irgendjemand diesem Problem demnächst Einhalt gebietet.

Es ist bekannt, dass die Sicherheit von nahezu allen IoT-Geräten lächerlich schlecht ist. Offene Telnet-Ports ohne Authentifizierung, Standard-Nutzernamen, banalste Sicherheitslücken - und vor allem: keine Security-Updates. Die Hersteller produzieren massenhaft unsichere Geräte und kümmern sich anschließend nicht um die Folgen.[...]

Leider ist keine Quelle 1. Grades angegeben.


[UPDATE]

The Register schreibt, an der DDoS-Attacke seien zahllose Sicherheitskameras beteiligt gewesen wobei selbst das gespooft werden könne (Dave Lews, Global Security Advocate @ Akamai).

Insgesamt sei der Angriff von mehr als einer Million Geräte aus dem IoT ausgegangen.
Artikel auf Heise News

 

[MSX]

Sicherheitskameras. Lustig. Gerade heute las ich, dass die NSA sich Sicherheitslücken zu sowas offengehalten hat und der BND das wusste. - Ob die wohl noch anderen Menschen bekannt waren? :-)

Naja, dieses IoT wird sicher noch zu einem großen Problem. Allgemein wurde dieser ganze Kram viel zu kompliziert und komplex. Das nur so als kurzes Fingerfuchteln am Rande.

 

[keinbenutzername]

wie definiert man eigentlich den "Heftigster DDoS-Angriff der Geschichte"?
Sprich, was macht diesen Angriff heftiger als diverse andere große Angriffe vor ihm?

 

[Abul]

Eine Zahl wurde in den News ja schon genannt. Mit etwas Hilfe (google.de, son elgitarre hat das öfters erwähnt, danke dafür!) findet man auf Heise.de (die jetzt https haben!) eine News vom 8.6. in der die größte gemessene DDoS-Attacke, die in 2015 stattfand, mit etwa halb so viel Bandbreite beziffert wird.

 

[Mr. White]

@keinbenutzername: Ich dachte immer lesen lernt man spätestens in der Grundschule

Dienstag und Mittwoch dieser Woche wurde der Sicherheitsexperte und -Journalist Brian Krebs mit seiner Website http://krebsonsecurity.com (Seite aktuell nicht erreichbar) Ziel des bisher größten DDoS-Angriffs in der Geschichte des Internets. Die Angriffe erreichten über einen langen Zeitraum bis zu 665 Gbps, das entspricht in etwa der doppelten Potenz des bisher stärksten gemessenen Angriffs.

[...]

Auf Heise.de wird auf die schiere Größe des dem Angriff zugrunde liegenden Botnets' hingewiesen. Die Existenz eines derartig großen Botnets war bisher völlig unbekannt.

Der Punkt ist weder die Story um Brian Krebs, noch die Geschehnisse um vDos. Hier geht es darum, dass gerade das größte Botnet der Welt offen in Erscheinung getreten ist. Die 665 Gbps waren ein Angriff _ohne_ Reflection, d.h. die Potenz ist geschätzt bis zu Faktor 70 (!) höher - das ist eine Hausnummer, über die man erstmal eine Sekunde nachdenken muss.

Die darin enthaltene Frage ist: hat es eine Malware geschafft, wie ein APT unbemerkt auf 100-tausende bis Millionen Rechner und Geräte zu kommen und dort auf Befehle zu warten?

Das Potential wäre so immens, dass es mit diesem Botnet theoretisch möglich wäre, relevante Bereiche des Internets lahmzulegen, sprich: unter Umständen große Teile der Infrastruktur eines Landes.

 

[INURIA]

Die Angriffe erreichten über einen langen Zeitraum bis zu 665 Gbps, das entspricht in etwa der doppelten Potenz des bisher stärksten gemessenen Angriffs.

Nope, OVH hatte am 16.09.2016 mit DDos-Angriffen von 1156Gbps & 901Gbps zu kämpfen & am 21.09.2016 mit nahezu 1Tbps.

..simultaneous DDoS are close to 1Tbps !

Quelle:

https://twitter.com/olesovhcom/status/778830571677978624
https://twitter.com/olesovhcom/status/778019962036314112

Krebs' Anti-DDoS-Dienstleister Akamai, der laut Krebs seine Website bis dato kostenlos geschützt hatte, konnte dem Angriff nichts entgegensetzen und verzichtete in der Folge darauf, die Dienstleistung weiter zu erbringen.

Akamai hätte den Angriff abblocken können, wenn der Herr Krebs zur zahlenden Kundschaft gehört hätte

 

[TBow]

Google scheint jetzt die DDoS Abwehr übernommen zu haben.
Die Seite ist nun wieder erreichbar.

http://www.heise.de/newsticker/meld...r-Krebs-vor-DDoS-per-IoT-Botnetz-3333054.html

 

[sia]

Gut so, dann kann die Google-Sicherheitsabteilung eventuell mit den Netzknotenbetreibern eine Lösung ausarbeiten, die zukünftige DDoS-Angriffe verhindert.

 

[Jester]

@MSX: Darauf bin ich auch gerade gestoßen.

Angesichts des Umstandes, dass die USA vor einigen Monaten proklamiert haben, dass sie "jetzt" in der Lage seien, Cyberangriffe entsprechend direkt und wirksam zu beantworten, ist es schon eher fraglich, ob die vDos-Betreiber wirklich etwas mit dem Angriff zu tun haben.

Rein hypothetisch wären diese Leute und Krebs' Website ja eine perfekte Ablenkung, und die enthaltene Message ist wohl weltweit angekommen. Wieviele Teilnehmer gibts im IoT (und was ist mit Smartphones?^^)? Schätzen wir doch mal vorsichtig 5 Milliarden und eine Zombie-Quote von 10%. Das dürfte sehr vorsichtig geschätzt sein.

Also 500 (Faktor Zombies zu den Bekannten aus dem Angriff) * 70 (Reflection Amp.) * 600 Gbps = 21 Pbps

Damit kann man schonmal ein oder zwei Länder vom Internet kappen. Zeitraum? Nicht Stunden, nicht Tage, nicht Wochen. Für derartige Angriffe müssten erstmal Gegenmaßnahmen entwickelt werden.

J.

Nachtrag: der Hersteller der Sicherheitskameras heißt Netbotz?!? WTF?! Botnetz? Alter.

 

[TBow]

Tja, wenn jeder Sch... mit dem Internet verbunden ist, dann kommen eben IoT Angriffe raus.
Echt tragisch, dass man auf so ein nahezu unmögliches und absurdes Szenario nie hätte kommen können. Ich schwör, keiner hat vor den Risiken gewarnt.
Hmmm, wird das ein Spaß werden, wenn erst die Kühlschränke samt den Wohnungen "smart" gemacht sind.

In Sachen Netbotz sei noch gesagt, dass die NSA Tarnfirma von der französichen Firma Schneider Electric aufgekauft wurde und nun deren Backdoor verseuchten Produkte weltweit im Einsatz sind, da Schneider einer der Big Player in der Branche ist.

 

[virtus]

@Novgorod: Kennst du das DNS?

Betrachte dir mal die Grafiken zu möglichen Szenarien, wie ein Domain-Name aufgelöst wird und überleg dir, was passiert, wenn der root DNS server fehlt, also (2) ins Leere führt:

Spoiler

Iteratives Verfahren (Standard):

Spoiler

Rekursives Verfahren (in kleineren DNS-Umgebungen):

 

[sia]

@virtus: ohne zu wissen, wie DNS funktioniert, sind deine Bildchen ziemlich nutzlos. Erklären tun die nämlich nichts. Vielleicht editierst du das noch mal oder verlinkst zumindest die Quelle bzw einen weiterführenden Link

 

[virtus]

Ich glaube TBow wird schon verstehen, dass ein Link, der ins Nichts führt, aber einen essenziellen Bestandteil der Kette darstellt, ein Problem ist.

 

[TBow]

Wie meinen der Herr?

 

[BurnerR]

Also ich habe das verstanden .
Wenn der lokale DNS Server bei 2 eine Anfrage an den root Server schickt, aber bei 3 keine Antwort erhält, dann gibt es kein 4,5 oder 6 .
Welche / wieviele DNS Einträge hält so ein lokaler DNS Server denn vor, so dass er ohne root server auskommt? Das ging auch aus dem wiki artikel nicht hervor und war ja auch die Frage gewesen quasi.