Massive DDoS-Attacke auf Web-Domain-Registrar GoDaddy

12.03.2007
Eine groß angelegte DDoS-Attacke (Distributed Denial of Service) legte gestern für mehrere Stunden eine Vielzahl von Kunden-Sites und Services des Domain-Dienstleisters GoDaddy Group lahm.

Der größte Registrar von Internet-Domain-Namen ist gestern Opfer eines groß angelegten und raffinierten Angriffs geworden. Die Folge: Für vier bis fünf Stunden reagierten die von den GoDaddy-eigenen Rechenzentren gehosteten Services nur noch stark verzögert beziehungsweise gar nicht mehr. Andere Datenzentren des Unternehmens waren einem Bericht des Online-Branchendiensts "Computerwire" zufolge nicht betroffen.

Nach Angaben von Neil Warner, Chief Information Security Officer bei dem in Arizona ansässigen Unternehmen, handelte es sich bei dem Angriff um eine SYN-Flood-Attacke, die auf einen "bestimmten, unzureichend geschützten" Service abzielte. Auch andere, von dem attackierten Datenzentrum gehostete Services sowie zahlreiche Kunden-Web-Seiten waren davon betroffen.

Bei der als SYN-Flood bezeichneten DDoS-Attacke nutzen Angreifer den Drei-Wege-Handshake beim Aufbau einer TCP-IP-Konversation aus. Bei üblichen TCP-IP-Handshakes sendet der die Verbindung initiierende Rechner ein "SYN"-Paket (für "Synchronize"). Daraufhin schickt der Empfänger ein "SYN-ACK" beziehungsweise eine Synchronisationsbestätigung zurück, auf die der Sender mit einem "ACK" (für "Acknowledgement") antwortet.

Bei einer SYN-Flood-Attacke fälscht der Angreifer die IP-Adresse der SYN-Paket-Quelle, so dass SYN-ACKs keine Antwort erhalten. Auf diese Weise wird das Opfer dazu veranlasst, zehntausende von simulierten Sessions zu verwalten, wodurch der reguläre Betrieb nicht mehr möglich ist.

Der aktuelle Angriff, der am Sonntag morgen um 6:50 Ortszeit begann, sei etwas anderes als das Übliche gewesen, so Warner gegenüber "Computerwire. "Meist erleben wir Attacken, die auf bestimmte Hosting-Kunden abzielen." Entgegen anfänglicher Spekulationen handelte es sich dabei nicht um ein technisches Problem in Folge der auf den 11. März vorgezogenen Umstellung der US-Sommerzeit (siehe Gartner: Vorsicht - die US-Sommerzeit ändert sich!).

Dutzende von Bloggern und Besuchern von Web-Foren hatten sich gestern beschwert, dass ihre Sites mehrere Stunden lang nicht verfügbar waren. Einige wollen dadurch sogar finanzielle Einbußen erlitten haben. Nach Angaben von CIO Warner empfing der betroffene Service während des Angriffs zeitweise 70.000 Pakete pro Sekunde. Das sind rund 20.000 Pakete (pro Sekunde) mehr als bei der SYN-Flood, die die SCO Group im Jahr 2003 lahm legte. Gewöhnlich sei die Infrastruktur der GoDaddy Group dazu in der Lage, eine solche Attacke zu verarbeiten - offenbar haben die Angreifer aber einen Schwachpunkt entdeckt.

Warner zufolge haben sein Security- und das Netz-Team des Unternehmens das Problem mittlerweile im Griff. Zudem habe man präventive Maßnahmen etabliert, die Attacken wie diese künftig abschwächen sollen. Mehr zu Thema Sicherheit finden Sie im Security-Expertenrat der COMPUTERWOCHE. (kf)

Newsletter 'Nachrichten morgens' bestellen!