[Netzwelt] Heftigster DDoS-Angriff der Geschichte auf Brian Krebs' Website

Dienstag und Mittwoch dieser Woche wurde der Sicherheitsexperte und -Journalist Brian Krebs mit seiner Website

You do not have permission to view link please Anmelden or Registrieren

(Seite aktuell nicht erreichbar) Ziel des bisher größten DDoS-Angriffs in der Geschichte des Internets. Die Angriffe erreichten über einen langen Zeitraum bis zu 665 Gbps, das entspricht in etwa der doppelten Potenz des bisher stärksten gemessenen Angriffs.

Auslöser für diesen Angriff war vermutlich ein Bericht über den israelischen Booter-/Stresser-Service vDos, der

You do not have permission to view link please Anmelden or Registrieren

(Seite derzeit nicht erreichbar).

Krebs' Anti-DDoS-Dienstleister Akamai, der laut Krebs seine Website bis dato kostenlos geschützt hatte, konnte dem Angriff nichts entgegensetzen und verzichtete in der Folge darauf, die Dienstleistung weiter zu erbringen.

You do not have permission to view link please Anmelden or Registrieren

völliges Verständnis dafür, er habe schließlich in zwei Nächten mehr Kosten verursacht, als Akamai zuzumuten wäre.

You do not have permission to view link please Anmelden or Registrieren

wird auf die schiere Größe des dem Angriff zugrunde liegenden Botnets' hingewiesen. Die Existenz eines derartig großen Botnets war bisher völlig unbekannt.

 

[Lokalrunde]

Brian Krebs nimmt es immerhin mit Humor:

You do not have permission to view link please Anmelden or Registrieren

 

[Larius]

Der DDoS wird wahrscheinlich noch etwas dauern, aber danach wieder aufhören. Was hat es gebracht? Nichts.

 

[keinbenutzername]

klar hat es was gebracht.
Viele Leute hören so zum ersten Mal von diesem Herrn Krebs.

 

[KaPiTN]

You do not have permission to view link please Anmelden or Registrieren

Ja, der war das selber.

 

[keinbenutzername]

wer hat das gesagt?
Ich sagte nur, viele werden jetzt zum ersten mal von ihm hören.
Ist das eine falsche Aussage?

 

[KaPiTN]

Was bringt es, wenn Leute wie Du diesen Namen jetzt einmal gehört haben?

 

[keinbenutzername]

oha, da ist es wieder, dein Schubladendenken und Verurteilen.

Muss ich mich jetzt auf diese Diskussion mit dir einlassen?
Fakt ist, viele Leute werden jetzt zum ersten mal was von ihm hören.

Ob es ihm was bringt, es der Welt was bringt, dir gefällt oder seine Absicht war ist mir echt egal.

Es ging mir nur darum auf Larius Frage "was hat es gebracht" zu sagen was es gebracht hat.
Und das ist doch ein Fakt.

Ich kenne/kannte den Typen nicht. Daher kann ich mir auch nicht anmaßen zu entscheiden was er will und was er macht oder jemand anderes ihm antut.
Ich bin sogar der Meinung das das keiner hier mit aller Sicherheit beurteilen kann.

Gerne darfst du aber natürlich wieder anderweitig argumentieren, nicht weil es deine Meinung wäre, sondern weil es konträr meiner Meinung ist.

Aber ich bin so fein und beantworte deine Frage:
Er ist Journalist. Da will man gehört werden und man will das (auch Leute wie ich) Menschen die eigenen Artikel lesen.

Allerdings habe ich nie gesagt er hätte das selbst inszeniert. Dieser Gedanke und der Anstoß zu der unsinnigen Diskussion darüber kam völlig überflüssigerweise von dir.

 

[KaPiTN]

Du hast also wirklich nicht verstanden, das sich Larius rhetorische Frage auf den Angreifer bezog, der nichts erreicht hat.

 

[U.S.C.H.]

Ihr zwei seid echt süß.

 

[Bernd]

Kann man denn gar nichts gegen solche Attacken machen? Ist denn nicht klar von wo diese Angriffe kommen?

 

[cokeZ]

@Bernd: Bei 665Gb/ps so gut wie nichts. Und nein, das Botnet, welches RIESIG sein muss, ist noch nicht identifiziert.

 

[Lokalrunde]

Selbst Akamai musste da

You do not have permission to view link please Anmelden or Registrieren

.

 

[sia]

Ich kenne/kannte den Typen nicht.

Ich kenne ihn auch nicht persönlich, aber jeder, der in den letzten 10 Jahren auch nur am Rande mit IT-Sicherheit zu tun hat(te), hat seinen Namen wohl schon mal gehört.

Er ist Journalist. Da will man gehört werden und man will das (auch Leute wie ich) Menschen die eigenen Artikel lesen.

Na ja, eigentlich hat der Mann das nicht mehr nötig.

 

[HoneyBadger]

Kann man denn gar nichts gegen solche Attacken machen? Ist denn nicht klar von wo diese Angriffe kommen?

Ich bin kein Programmierer, aber ausreichend technikaffin, um Brain.exe zu verwenden. NoScript, uBlock, VPN, und was man sonst so braucht, um nicht ständig den Rechner zu zerschießen, geht auch alles klar. Ich bin mir aber ehrlich gesagt nicht sicher, ob ich meine Hand dafür ins Feuer legen könnte, dass ich es nicht doch mal irgendwie geschafft haben könnte, ein Teil eines solches Botnetzes geworden zu sein. Bis dato ist mir nie etwas aufgefallen. Worauf müsste man achten, um das sicher zu identifizieren? Bei einer normalen Anfrage fällt der nebenbei verursachte Traffic ja nicht zwangsläufig auf, oder?

 

[keinbenutzername]

Bernd will aber nicht seinen eigenen Computer vor Kompromittierung schützen sondern die Server des Hosters vor einer DDoS Attacke...

 

[Bernd]

Naja, seinen eigenen Computer zu schützen ist ja auch nicht verkehrt lol. Aber irgendwas kann man doch sicherlich machen, diese Angriffe kommen ja von einer IP, und wenn man die hat dann kann man sich ja den PC ansehen und schauen von wem er ferngesteuert wird.

 

[sia]

Worauf müsste man achten, um das sicher zu identifizieren?

Auf Traffic, der nicht von dir selbst verursacht wird, sowie Prozesse, die ebenjenen Traffic verursachen und/oder nicht von dir installiert wurden.

Das ginge bspw. mit Wireshark oder Process Monitor.

Naja, seinen eigenen Computer zu schützen ist ja auch nicht verkehrt lol. Aber irgendwas kann man doch sicherlich machen, diese Angriffe kommen ja von einer IP, und wenn man die hat dann kann man sich ja den PC ansehen und schauen von wem er ferngesteuert wird.

Nein, wenn man eine IP hat kann man nicht einfach schauen, von wem der PC ferngesteuert wird. Du kannst den Traffic an der Quelle ja nicht überwachen, außerdem kontaktieren die Rechner wohl eher einen C&C-Server, damit sie aus dem lokalen NAT kommen, anstatt einen Port aufzumachen.

Man kann IP Ranges blocken, was bei einem globalen Botnet aber kaum was bringt, da man dann auch legitime User aussperrt. Krebs selbst hat den DNS-Eintrag des Servers auf [kw]127.0.0.1[/kw] geändert, damit die Bots sich selbst DoS-en.

 

[one]

Interessant ist vielmehr, dass es keine(!) Reflection-Attacke war. Das Netz muss richtig gut ausgebaut sein. Wenn der Betreiber Reflection fährt, dann gute Nacht.

 

[Novgorod]

Auf Traffic, der nicht von dir selbst verursacht wird, sowie Prozesse, die ebenjenen Traffic verursachen und/oder nicht von dir installiert wurden.

Das ginge bspw. mit Wireshark oder Process Monitor.

heutzutage wird das nur sehr bedingt helfen.. ordentliche viren infizieren das system, d.h. es wird dir nicht viel helfen zu sehen, dass eine der zahllosen svchost.exe instanzen irgendeinen server im internet anpingt.. bestenfalls kriegt man mit, wenn gerade ein angriff mit voller bandbreite stattfindet, falls man seinen netzwerk-speed immer anzeigen lässt (->

You do not have permission to view link please Anmelden or Registrieren

, leider nicht mehr weiterentwickelt) und selbst dann wird man das ohne weitere nachforschung nicht von z.b. irgendwelchen system-updates oder cloud-scheiße unterscheiden können.. erst recht hat man keine chance, einen versteckten C&C-abruf zu erkennen, der vielleicht einmal pro stunde stattfindet, das geht komplett im rauschen aller nach-hause-telefonier-anwendungen (allen voran das OS selbst) unter und als laie braucht man garnicht erst anfangen, da ist die einzige hoffnung, dass ein virenscanner es entdeckt..