300 Millionen Rechner: Das größte DDoS-Botnetz der Welt

Publiziert am 20. August 2015 von Verena

Bis zu 70% des globalen Internet-Verkehrs läuft über das populäre Filesharing-Protokoll BitTorrent. Wie Forscher jetzt herausfanden, kann ein Angreifer das Heer an BitTorrent-Clients missbrauchen um DDoS-Angriffe zu starten. Über diese werden täglich Internet-Shops und auch kritische Infrastrukturen wie Banken angegriffen und lahmgelegt.

Angreifer bleiben im Verborgenen

Ein Angreifer tarnt sich dabei mit der IP-Adresse seines Opfers (IP-Spoofing). Mit der gefälschten Absender-IP täuscht er BitTorrent vor, Anfragen im Namen des Opfers zu stellen. Dadurch antwortet BitTorrent dem Opfer anstelle des Angreifers. Die Antwort ist dabei bis zu 100-mal größer als die eigentliche Anfrage. Durch diese Vervielfachung kann ein einzelner Angreifer beträchtlichen Schaden verursachen.

Dienste werden durch Datenflut überschwemmt

Die dabei benutzten BitTorrent-Clients dienen bei der DDoS-Attacke als Deckmantel und zusätzliche Verstärkung. Mehr als 300 Millionen Nutzer hat der Filesharing-Dienst pro Monat. Diese Scharen an BitTorrent-Nutzern können zu einem Botnetz unfreiwillig zusammengeschaltet werden. Für das Opfer der Attacke ist das verheerend: Internet-Dienste sind nur noch eingeschränkt oder überhaupt nicht mehr verfügbar, oftmals sind viele Menschen direkt durch Angriffe auf wichtige Infrastrukturen betroffen. Eine Attacke auf einen großen Internet-Telefonie-Provider im vergangenen Jahr betraf beispielsweise mehrere hunderttausend Kunden gleichzeitig

Enorme Schlagkraft

Mit der Vielzahl an Benutzern ist das Filesharing-Netzwerk wie geschaffen für DDoS-Angriffe. Der Schutz vor dieser gewaltigen Datenflut ist nur durch speziell aufgesetzte Filter-Rechenzentren möglich. Diese sogenannten Scrubbing-Center wie z.B. von MYRACLOUD haben ausreichend dimensionierte Anbindungen, um Angriffe effektiv zu filtern. „Aus unserer täglichen Arbeit mit Kunden wissen wir, dass neue Angriffsmuster sehr schnell von international-agierenden Gruppierungen genutzt werden. Durch den DDoS-Schutz MYRACLOUD sind unsere Kunden aber bereits jetzt bestens gegen diese schweren Angriffe abgesichert“, sagt Sascha Schumann, Geschäftsführer der Myra Security GmbH aus München.

Über die Studie

In der Studie „P2P File-Sharing in Hell: Exploiting BitTorrent Vulnerabilities to Launch Distributed Reflective DoS Attacks“ der City University London sowie der THM Friedberg untersuchen die Wissenschaftler, wie Internet-Protokolle im BitTorrent-Universum auf verschiedene Weise missbraucht werden können. Wir stellen in unserer Reihe vor, welche Auswirkungen diese Angriffe für Internet-basierte Dienste haben und wie ein potentieller Schutz davor aussehen kann.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Kommentare deaktiviert für 300 Millionen Rechner: Das größte DDoS-Botnetz der Welt

OpenSSL Heartbleed – nicht mit myracloud

Publiziert am 8. April 2014 von thomas
heartbleed

Heartbleed-Bug gefährdet SSL-Zertifikate

Der GAU für Verschlüsselung im Web – So titelt heise.de über einen der schwersten Bugs im Bereich der SSL-Verschlüsselung von Websites.

Alle bei myracloud betroffenen Systeme wurden kurzfristig nach erfolgreichem Testing mit dem Sicherheitsupdate versehen. Damit sind alle myracloud-Kunden automatisch vor dieser Sicherheitslücke geschützt.

Laut der OpenSSL-Foundation können Angreifer über diese Sicherheitslücke einen 64kB großen Teil des Memorys eines verbundenen Servers auslesen. (mehr Infos: CVE-2014-0160)

Wir raten allen Betreiber von Webservern ihre OpenSSL-Bibliothek ebenfalls schnellstmöglich auf Version 1.0.1g upzudaten. Frühere Versionen von OpenSSL sollten mit dem Flag OPENSSL_NO_HEARTBEATS erneut kompiliert werden. OpenSSL 1.0.2 wird mit dem Update auf 1.0.2-beta2 einen eigenen Fix für diese Schwachstelle erhalten.

Das Sicherheitskonzept von myracloud ermöglicht umfassend geschützten und sicheren Betrieb von Web-Applikationen. Dieser Anspruch wurde durch die schnelle Reaktion auf diese Sicherheitslücke einmal mehr unter Beweis gestellt.

Für Fragen zur Heartbleed-Schwachstelle und zu myracloud stehen wir Ihnen gerne unter +49 89 / 41 41 41 -345 zur Verfügung.

Veröffentlicht unter Allgemein | Kommentare deaktiviert für OpenSSL Heartbleed – nicht mit myracloud

TCP SYN-Floods und ihre Abwehr

Publiziert am 18. Oktober 2013 von sas

Jeder Internet-Nutzer, der mit einem Webbrowser auf eine Web-Seite zugreift, nutzt es, meistens ohne es zu bemerken. Gemeint ist TCP, das Transmission Control Protocol aus dem Jahre 1981 (RFC 793). Damals war nicht absehbar welche Bedeutung das Protokoll für die gesamte Welt haben würde.

Trotz seines Alters funktioniert das Protokoll bis heute. Jede Sekunde fließen Milliarden von TCP-Paketen durch die Kupfer- oder Glasfaser-Kabel rund um die Welt.

TCP hat allerdings einige Besonderheiten, die es angreifbar und insbesondere Webserver-Betreibern das Leben durch regelmäßige Denial of Service Attacken schwer machen.

Der erste Schritt bei der Etablierung einer TCP-Session ist der sogenannte Handshake. Dabei schickt der Rechner eines Webseiten-Besuchers ein sogenanntes SYN-Paket. Dadurch, dass ein Angreifer besonders viele SYN-Pakete sendet, kann eine Überlastung des Servers herbeigeführt werden.

Dagegen sind bestimmte Maßnahmen bekannt und können eingesetzt werden. Die bekannten Mittel haben jedoch alle signifikante Vor- und Nachteile, die im Folgenden dargestellt werden.

  • TCP-Stack ohne Schutz. Hier füllt sich die sogenannte Accept- oder Listen-Queue sehr schnell, so dass keine normalen Verbindungen mehr angenommen werden können. Der Angreifer erreicht sein Ziel, die „Abschaltung“ des Dienstes. Die meisten Linux-Distributionen werden in diesem Zustand ausgeliefert.
  • TCP-Stack mit SYN-Cookies. Ist die Accept- oder Listen-Queue eines Dienstes erst mal gefüllt, kann der Server in den sogenannten zustandslosen SYN-Cookie-Modus umschalten. Linux und FreeBSD unterstützen das zum Beispiel, allerdings mit unterschiedlichen und abweichenden Methoden der Kodierung der Basisparameter wie MTU und Window-Size. Nachteil ist, dass bestimmte moderne Erweiterungen von TCP nicht unterstützt werden (Selective ACKs z.B.). Vorteil ist, dass bei leichten SYN-Floods bis mehrere hunderttausend Pakete pro Sekunde dieser Schutz ausreicht. Sobald diese Anzahl überschritten wird (>1mpps), sind allerdings die Kosten der Paketverarbeitung so signifikant, dass auch hier ein erfolgreicher Denial of Service (DoS) stattfindet.
  • TCP-Stack mit SYN-Cookies und vorgeschaltetem SYN-Rate-Limiting. Durch das Limitieren der Anzahl SYN-Pakete pro Sekunde kann ein TCP-Stack geschützt werden, so dass zumindest die bereits aktiven TCP-Sessions und UDP-Pakete verarbeitet werden können. Durch das Rate-Limiting wird jedoch generell ein großer Teil auch der validen Anfragepakete verworfen, was wiederum die Verfügbarkeit des Dienstes für den Nutzer einschränkt. Der Ansatz ist besser als ein Komplettausfall, aber erfüllt nicht den Anspruch der vollen Verfügbarkeit.

Wie geht man nun effektiv mit großen SYN-Floods um ohne die Verfügbarkeit einzuschränken? Für den DDoS-Schutz myracloud haben wir Kernelmodule entwickelt, die viel früher in die Paketverabeitung eingreifen und dadurch mit sehr geringer Latenz und ohne Network-Stack-Overhead SYN-Flood-Angriffe effektiv bekämpfen und abwehren. Der Ansatz funktioniert ohne jeglichen Zustand auf der Filterebene und braucht auch, anders als der für Linux 3.12 vorgeschlagene SYN-Proxy, keine Translation jedes(!) einzelnen(!) Paketes der so aufgebauten TCP-Session. Das ist effizienter, schneller und weniger fehleranfällig und bewältigt somit auch sehr große Angriffe mit minimalem Ressourcen-Verbrauch.

Veröffentlicht unter Allgemein | Kommentare deaktiviert für TCP SYN-Floods und ihre Abwehr

DDoS-Sicherung für SMTP-Server

Publiziert am 29. August 2013 von sas

Ab sofort bietet myracloud auch Schutz gegen DDoS-Angriffe auf SMTP-Systeme (Simple Mail Transfer Protocol).

Durch die meist sehr veraltete Prozess-Struktur von Mail Transfer Agents (MTA), die Emails annehmen und zustellen, sind solche Systeme besonders verwundbar. Das gilt insbesondere für sendmail, postfix, qmail und exim, die weiterhin sehr starke Verbreitung geniessen.

Bei einem solchen Angriff wird ein Botnet benutzt um Verbindungen zu Port 25 bzw. 587 aufzubauen. Auf dieser Verbindung schicken die Bots dann  sehr langsam Daten oder halten die Verbindung einfach nur offen und machen so eine Verwendung des Dienstes durch normale Nutzer unmöglich. Das Prinzip entspricht slowloris für Angriffe auf HTTP-Server.

Da pro Verbindung oftmals ein separater Prozess unter UNIX/Linux gestartet wird, werden so sehr schnell die Grenzen der jeweiligen Mailserver erreicht.

Effektiv kann das so angegriffene Unternehmen nicht mehr mit der Außenwelt per E-Mail kommunizieren. Was das konkret in der heutigen digitalen Welt für ein Unternehmen bedeutet, brauchen wir hier sicherlich nicht ausführen.

myracloud kann problemlos Angriffe auch größter Botnetze abfangen und neutralisieren, so dass Ihre Infrastruktur sowie Geschäft gesichert werden. Bei Fragen nehmen Sie einfach Kontakt auf.

Veröffentlicht unter Allgemein | Kommentare deaktiviert für DDoS-Sicherung für SMTP-Server

NY-Times-Hack: DNS-Absicherung ist elementar

Publiziert am 29. August 2013 von thomas

Cyber-Angriff auf nytimes.com
Wegen eines DNS-Hijacking Angriffs war die Website der New York Times für mehrere Stunden nicht mehr verfügbar. Einige Zeit war sogar das Logo der „Syrian Electronic Army“ zu sehen.

New York Times hacked by Syrian Electronic Army

Die Website der New York Times war stundenlang nicht mehr erreichbar. Es wurde dieses Bild angezeigt.

Die Angreifer nutzten dafür eine gezielte Phishing-Attacke auf den Domain-Registrar Melbourne IT. Durch die Kontrolle der DNS-Server konnten die Angreifer eine präparierte Website mit ihrem Logo auf Anfragen auf die Domain nytimes.de ausliefern. Die Mailserver, welche auf „@nytimes.com“ lauten, waren ebenfalls davon betroffen. Dies barg eklatante Sicherheitsrisiken für die gesamte Kommunikation im Unternehmen. E-Mails konnten auf diesem Wege abgefangen und umgeleitet werden.

Angriff trotzt Sicherheitstechnik möglich
Trotz umfangreichen Schutzes und Sicherheitsmaßnahmen für die Website konnte diese durch die Schwachstelle eines Dritt-Anbieters angegriffen werden.

Folgenschwere Auswirkungen hatte dabei vor allem die lange Time-to-live (TTL) der DNS-Einträge. Diese war auf einen Tag gesetzt. Änderungen am DNS-System, welche wieder die richtige Website der New York Times wieder angezeigt hätten, konnten erst nach einem Tag wirksam werden. So musste die Seite für diese Zeit komplett vom Netz genommen werden.

Spezialisierte Anbieter für Web-Sicherheit bieten mit ihren Produkten oft auch den Schutz des DNS-Systems an. Dieser sollte im Kontext dieser Vorfälle auch genutzt werden. Eine Umleitung per CNAME genügt in diesem Fall nicht und birgt Risiken für Ihre Sicherheit.

Schnelle Reaktionszeit durch kurze DNS-TTL
Wir empfehlen zur schnellen Abwehr und zur schnellen Reaktion auf HTTP-Angriffe daher eine möglichst kurze TTL. Diese sollte nicht mehr als 15 Minuten betragen.
Im Angriffsfall kann so schnelle Hilfe geleistet werden und der Schaden hält sich in Grenzen.

Vorbeugender Schutz gegen solche Angriffe, sowohl auf DNS-Ebene als auch für die Applikation selbst ist aber trotz allem das Mittel der Wahl. So werden Angriffe bereits geblockt, bevor sie Schaden anrichten können.

Konfigurieren Sie bereits jetzt Ihre DNS-TTL richtig und schützen Sie sich proaktiv vor Angriffen aus dem Web.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Kommentare deaktiviert für NY-Times-Hack: DNS-Absicherung ist elementar

Automatisierter Angriffs-Schutz in der Praxis

Publiziert am 26. August 2013 von sas

Der DDoS-Schutz von myracloud funktioniert vollkommen automatisiert. So hat sich am Sonntag ein Kunde auf der Plattform selbst registriert und seine Domain eingerichtet.Wie die folgenden Graphen zeigen geschah das aus sehr konkretem Anlass.

gehtsrund

Was wir hier sehen sind zwei große SYN-Floods aus einem Botnet. Dass es sich um ein Botnet handelt, sieht man am Verhältnis der gesendeten zu empfangenen SYN-Cookies.
SYN-Cookies werden dann von uns automatisiert aktiviert, wenn gleichzeitig sehr viele Verbindungsanfragen einen Server erreichen.

gehtsrund3

Da dieser Angriff nicht erfolgreich war, wurde das Botnet zur GET-Flood-Schleuder umfunktioniert. Das zeigt der folgende Graph der HTTP-Anfragen an mehrere Anycast-Server. Dabei versucht der Angreifer durch sehr viele parallele Zugriffe einen Dienst lahmzulegen.

gehtsrund2

Auch hier hat myracloud effektiv gefiltert und im zweistelligen Millionen-Bereich HTTP-Anfragen abgefangen, so dass die geschützte Seite ohne Einschränkung funktionierte.

Bei Fragen zu myracloud kontaktieren Sie uns einfach unter vertrieb@myracloud.com bzw. telefonisch unter 089/414141-345.

Veröffentlicht unter Allgemein | Kommentare deaktiviert für Automatisierter Angriffs-Schutz in der Praxis

Heftige Cyber-Crime Zeit

Publiziert am 23. August 2013 von sas

Das BKA warnt vor einer stetigen Zunahme der Online-Kriminalität. Auch in unserem Fokusgebiet waren die letzten 10 Tage sehr interessant.  In dieser Zeit fanden deutlich mehr Angriffe auf die myracloud-Kunden statt als sonst. Ein kleiner Auszug aus einer Location zeigt das deutlich:

Ausgewählte Angrifsspitzen

Die dabei benutzten Angriffe waren typischer Natur:

  • DNS Amplification
  • POST-Requests mit extrem großem Response Body
  • POST-Requests auf unsinnige URLs wie / und Suchformulare
  • SYN-Floods
  • GET-Floods ohne Muster

und diverse andere, weniger auffällige Angriffe. Gemein haben sie, dass der DDoS-Schutz myracloud die Angriffe automatisiert unschädlich macht und so den Online-Händler vor Image- und Umsatzverlust schützt.

Aus Gesprächen mit Ermittlungsbehörden können wir ausserdem ergänzen, dass die Aufklärungsquote bei dieser Art von Delikten sehr gering ist. Das BKA erwähnte in einer Pressemitteilung ca. 30%. Die Aufklärung der Verursacher von DDoS-Angriffen dürfte unserer Erfahrung nach sich eher in der Gegend von 0-2% bewegen.

BKA-Präsident: Cybercrime in fünf Jahren verdoppelt

Veröffentlicht unter Allgemein | Kommentare deaktiviert für Heftige Cyber-Crime Zeit

DDoS-Attacke bremst das Internet aus

Publiziert am 27. März 2013 von thomas

Neben den Angriffen auf die US-Banken macht zur Zeit eine weitere große DDoS-Attacke die Runde durch die News-Welt. Der Angriff auf das Spamhaus Project und der daraus resultierende Streit mit dem niederländischen Hoster CyberBunker hatte Auswirkungen auf das gesamte Internet.

Millionen Internetnutzer waren von der DDoS-Attacke auf Spamhaus betroffen.

Millionen Internetnutzer waren von der DDoS-Attacke auf Spamhaus betroffen.

Das Spamhaus Project, mit Sitz in der Schweiz, erstellt Blacklists, welche von Providern genutzt werden um Spam auszufiltern und zu blockieren. CyberBunker, ein niederländischer Hoster, bedient nach eigenen Angaben jede Art von Auftrag, solange es sich nicht um Kinderpornographie oder Terrorismus handelt.

Spamhaus setzte die IP-Range von CyberBunker nach der Identifizierung von Spam auf ihre Blacklist. Kurz darauf begannen die Angriffe auf die Infrastruktur von Spamhaus mit Hilfe einer DNS Amplification Attacke.

Diese Art der DDoS-Attacke nutzt Nameserver zur Verstärkung des Angriffs. In diesem Fall wurden laut arstechnica.com Anfragen mit einem DNS Request von 36 Bytes an die Server gestellt. Diese Anfragen verursachten eine Antwort mit über 3.000 Bytes. Die Angreifer konnten ihre Attacke dadurch nahezu 50-fach verstärken. Die im Artikel angegebene 100-fache Verstärkung trifft dabei nicht zu, da die anderen Header nicht berücksichtigt wurden (Ethernet 14 Bytes, IP 20 Bytes, UDP 8 Bytes). Die Mindestgröße von Paketen, die per Ethernet übertragen werden, beträgt 64 Bytes.

Durch den massiven Angriffstraffic wurde nicht nur die Website von Spamhaus lahmgelegt, sondern auch Millionen von Internetnutzern spürten ebenfalls die Auswirkungen. Webangebote waren teilweise nur verlangsamt oder gar nicht mehr erreichbar.

Spiegel Online berichtet nun, dass der niederländische Hoster CyberBunker wohl eine Schlüsselrolle bei diesem Angriff inne hatte. Der Betreiber von CyberBunker Sven Olaf Kamphuis erklärte in einem Interview mit der New York Times, Spamhaus nutze ihre Vormachtstellung im Internet aus. „Niemand hat Spamhaus dazu ermächtigt zu bestimmen, was im Internet erlaubt ist und was nicht“, sagte Kamphuis gegenüber der NYT.

Kamphuis hatte bereits in der Vergangenheit fragwürdige Bekanntheit erlangt. Er stand in Deutschland als Betreiber einer Vorgängerorganistion von CyberBunker vor Gericht. Damals ging es um den Schutz des Bittorrent Netzwerks „The Pirate Bay“.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , | Kommentare deaktiviert für DDoS-Attacke bremst das Internet aus

Unternehmen zahlen 5.000€ pro Stunde, um sich von DDoS-Attacken zu erholen

Publiziert am 25. März 2013 von thomas

5.000 Euro pro Stunde – so hoch sind die Kosten für Unternehmen, um sich von DDoS-Attacken zu erholen. Die Abwehr von anderweitig gelagerten Angriffen, wie Injections oder Malware schlägt nochmals mit ca. 3.000 Euro zu Buche.

Wie das Sicherheitsportal hotforsecurity.com berichtet, stellen DDoS-Angriffe, speziell angepasste Malware und die Sicherung von Web-Applikationen drei der bedeutensten Sicherheitsthemen für Unternehmen dar. Immer mehr Websites geraten in den Fokus der Kriminellen und die Angriffstechniken werden immer ausgefeilter.

Während vor ein paar Jahren noch Angriffe von einzelnen Computern und ohne klare Struktur gestartet wurden, organisieren sich die Angreifer heute in großen Strukturen und nutzen Bot-Netze zu gezielten Angriffen. Sogar das Ziel selbst wird dabei wohl überlegt angegriffen. Die DDoS-Attacken zielen dabei nicht nur auf die Bandbreite der Websites, sondern im Falle der Angriffe auf den US-Bankensektor auch gezielt auf kleine Schwachstellen im System [siehe: securitybistro.com]. Der effektive Schutz gegen solche Angriffe gestaltet sich daher zunehmend schwieriger.

Kommt es zum Angriff und zum Ausfall der Website entstehen hohe Kosten. Der Verlust von Umsatz, das Bilden einer eigenen Task-Force zur Abwehr des Angriffs, sowie die Investition in neue Sicherheitstechnik kann daher schnell teuer werden. Zu diesen Kosten kommen der Imageverlust und der Rückgang der Produktivität während eines solchen Ausfalls.

Um im Angriffsfall nicht ungeschützt und verwundbar da zu stehen, sollte man sich bereits vorher über Sicherheitsmaßnahmen für seine Website informieren und diese in seine Strukturen einbinden. Dabei hilft es schon die Time-To-Live (TTL) für den DNS-Eintrag der Website auf einen kurzen Wert zu setzen. Im Notfall kann somit schneller Hilfe geleistet werden.

Wird ein effektiver Schutz gegen solche Angriffsszenarien verwendet, sind auch bei stärkeren Angriffen keine negativen Folgen zu befürchten und die Website bleibt trotz des laufenden Angriffs für Besucher und Kunden erreichbar.

 

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , , , , , , , | Kommentare deaktiviert für Unternehmen zahlen 5.000€ pro Stunde, um sich von DDoS-Attacken zu erholen

DDoS-Attacken greifen um sich

Publiziert am 13. März 2013 von Hakan K.Yilmaz

DDoS greift um sich

Die finanzwelt.de wurde lahmgelegt, tschechische Online-Medien waren tagelang nicht erreichbar, github.com stand zwei Tage unter Beschuss, JPMorgan Chase ist Opfer eines Überlastungsangriffs – die Liste der DDoS-Attacken wird jeden Tag länger. Unabhängig vom Motiv der Angreifer, kann jede Website zum direkten oder indirekten Opfer eines Angriffs werden. Oftmals sind ganze Rechenzentren durch Angriffe überlastet, so dass man quasi als Kollateralschaden bei einem Angriff mit unter geht.

Das eigentliche Problem: Botnetze

Mit steigenden Bandbreiten im Privatkundenbereich und der schieren Menge infizierter Rechner wird es Tag für Tag einfacher große Websites mittels DDoS außer Gefecht zu setzen. Botnetze kann man sich leider sogar mieten.

Die effektive Lösung: size does matter

Der enormen Bandbreite der Botnetz-Angriffe kann man effektiv nur über Bandbreite entgegen treten. Mit dem richtigen Cloud-Partner kann man sich bei aktuellen DDoS-Angriffen sogar innerhalb von Minuten schützen lassen.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Kommentare deaktiviert für DDoS-Attacken greifen um sich