Denial-of-Service-Attacken gehören seit knapp 20 Jahren zum Standard-Arsenal krimineller Hacker. Wir zeigen Ihnen die sechs bislang größten DDoS-Angriffe.
Hinter Distributed Denial of Service (DDoS)-Angriffen können sich vielerlei Motive verbergen - Profitgier, ein Ablenkungsmanöver oder Protest. Insbesondere mit dem Aufkommen des Internet of Things (IoT) hat sich die Schlagkraft der Angriffe vervielfacht. Wir zeigen Ihnen die sechs größten - beziehungsweise schlagzeilenträchtigsten - (Distributed) Denial-of-Service-Attacken der vergangenen Jahre.
Die Schlagkraft von Denial-of-Service-Attacken hat sich im Laufe der Jahre vervielfacht. Wir zeigen Ihnen die größten (D)DoS-Angriffe der vergangenen Jahre. Foto: Alexyz3d - shutterstock.com
Mafiaboy und das Denial-of-Service-Debüt
Einer der ersten Denial-of-Service-Angriffe, der es in die Schlagzeilen schafft, findet Anfang des Jahres 2000 statt. Der Millenium-Bug ist noch in aller Munde, da tritt ein 15-jähriger Kanadier mit dem Online-Pseudoynm "Mafiaboy" eine der bis dahin größten DoS-Attacken los.
Dabei werden einige der bekanntesten Websites der Welt getroffen: CNN, Amazon, eBay und Yahoo sind kurzerhand offline. Die Attacke dauert ungefähr eine Woche - in dieser Zeit läuft auf den betroffenen Seiten so gut wie nichts mehr. Presseberichten zufolge ist "Mafiaboy" zuvor unbemerkt in circa 50 verschiedene Unternehmensnetzwerke eingedrungen und hat dort eine Software namens "Sinkhole" installiert. Die übernimmt anschließend die Koordination der Traffic-Flut.
Die Vehemenz der DoS-Attacke ruft sowohl die kanadischen Polizeibehörden, als auch das FBI auf den Plan. Die Strafverfolger müssen sich allerdings nicht in besonderem Maße anstrengen: Der jugendliche Hacker hatte im Netz ordentlich mit seinen Missetaten aufgeschnitten und befindet sich bereits ab April 2000 in Haft.
Im September 2001 wird Michael Calce - so der bürgerliche Name von "Mafiaboy" - von einem kanadischen Jugendgericht zu acht Monaten Arrest verurteilt. Dazu gehören nicht nur schattenintensive Tage in einer Besserungsanstalt, sondern auch eingeschränkter Zugang zum Internet und eine einjährige Bewährung. Jahre später bereut Calce seine Cyber-Jugendsünden öffentlich und veröffentlicht seine Geschichte auch in Buchform.
DoS meets DNS
Ende Oktober 2002 kommt es zu einer andauernden und koordinierten DoS-Attacke auf die Root Server des Domain Name Systems (DNS) - es ist der erste Angriff dieser Art.
Zwar verursacht die Attacke auf die DNS-Server keine größeren Ausfälle, aber sie sorgt dafür, dass einige Root Name Server nicht mehr erreichbar sind. Die Angreifer nutzen bei der Attacke ein Botnetz, um die Überflutung mit Fantasie-Traffic und maliziösen Datenpaketen zu initiieren. Nur einer fachgerechten Konfiguration und der ausgewogenen Verteilung von Ressourcen ist es damals zu verdanken, dass diese DDoS-Attacke nicht verheerend ausgefallen ist.
Die größten Botnets der Welt
Gheg Verbreitungsgebiet: Spanien, Indonesien, Indien<br /> infizierte Rechner: 8.000-12.000<br /> versendete Spam-Mails pro Tag: 49,8 Millionen<br /> Anteil am gesamten Spam-Aufkommen: 0,1 Prozent <br /><br /> (alle Angaben Stand Oktober 2010, Quelle: MessageLabs Intelligence 2010 Annual Report)
Xarvester Verbreitungsgebiet: Italien, Großbritannien, Polen<br /> infizierte Rechner: 17.000 - 25.000<br /> versendete Spam-Mails pro Tag: 501 Millionen<br /> Anteil am gesamten Spam-Aufkommen: 0,5 Prozent
Cimbot Verbreitungsgebiet: Italien, Spanien, Frankreich<br /> infizierte Rechner: 32.000 - 48.000<br /> versendete Spam-Mails pro Tag: 1,9 Milliarden<br /> Anteil am gesamten Spam-Aufkommen: 2,1 Prozent
Einige nennen es die Initialzündung für den Cyberkrieg: Der massive DDoS-Angriff auf Regierungs- und Finanzbehörden in Estland 2007. Dabei werden diverse Webseiten der Regierung, von Finanzinstituten und auch von Medienhäusern lahmgelegt. Der Distributed-Denial-of-Service-Angriff spielt sich parallel zu politischen Protesten russischer Nationalisten ab, die über die Verlegung eines Denkmals aus dem zweiten Weltkrieg erbost sind. Webseiten werden bei dem Hackerangriff nicht nur lahmgelegt, sondern auch mit gefälschten Inhalten befüllt und mit Kommentaren geflutet.
Estland ist zu dieser Zeit gerade dabei, zum Vorreiter in Sachen E-Government zu werden: Die Behörden operieren nahezu papierlos, die Bürger erledigen das Gros ihrer täglichen Bankgeschäfte online und geben auch zur Parlamentswahl ihre Stimme über das Netz ab. Die Entwicklung des digitalen Staatsapparats in dem baltischen Land wird durch den Angriff um Jahre zurückgeworfen.
DDoS als Hacktivismus-Tool
Im Januar 2008 kommt es zur Konfrontation zwischen dem Hacker-Kollektiv Anonymous und der Church of Scientology. Auslöser ist ein Video mit Hollywood-Star Tom Cruise, das die Sekte aus dem Netz entfernen will.
Für seine Offensive gegen Scientology fährt Anonymous verschiedene Angriffe: Neben DDoS-Attacken auf Webpräsenzen werden auch interne Dokumente "geleakt", Informationskampagnen angestoßen und zahlreiche Pranks erdacht. Es ist einer der ersten spontanen Akte von Hacktivismus.
Distributed Denial of Service als Politikum?
Zwischen 2012 und 2013 werden mindestens 26 US-Finanzinstitute von Traffic-Tornados ereilt. Die Verantwortung für die DDoS-Attacken übernimmt eine Gruppe, die sich selbst "Izz ad-Din al-Quassam Cyber Fighters" nennt. Die US-Geheimdienste gehen allerdings davon aus, dass es sich um eine gezielte Racheaktion für die Verhängung von US-Sanktionen gegen den Iran handelt.
Betroffen sind von den DDoS-Angriffen unter anderem die Institute Bank of America, Capital One, Chase, Citibank, ONC Bank und Wells Fargo. Und obwohl der Angriff mit einer Stärke von 65 GBps im Vergleich zu heutigen Attacken schwach ausfällt: Er bringt die Abläufe bei den Banken nachhaltig durcheinander. Erst nach sechs Monaten läuft alles wieder einigermaßen rund.
So bekämpfen Sie DDoS-Attacken wirksam
Schützen Sie Ihr Unternehmen gegen DDoS-Attacken Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten.
1. Angriff verifizieren Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen.
2. Teamleiter informieren Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird.
3. Ressourcen bündeln Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren.
4. Remote-User schützen Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden.
5. Attacke klassifizieren Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet.
6. Bestimmte IP-Adressenbereiche blockieren Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen.
7. Angriffe auf Applikationslayer abwehren Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage.
8. Sicherheitsperimeter richtig einsetzen Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement.
9. Ressourcen einschränken Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere.
10. Kommunikation planen Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.
Mirai und die neue DDoS-Latte
Mit Hilfe der Mirai Malware wird der bislang größte DDoS-Angriff aller Zeiten möglich. Die Malware scannt das Netz auf ungesicherte IoT-Devices und infiziert diese. So werden mit Hilfe von bis zu 500.000 kompromittierten Geräten DDoS-Attacken mit über 1 Tb/s möglich.
Aufgedeckt wird das Mirai-Botnetz im August 2016 vom Security-Anbieter MalwareMustDie. Mirai ist demnach unter anderem verantwortlich für den Angriff auf die Website von Security-Koryphäe Brian Krebs und die Attacke auf den DNS-Provider Dyn. Letztgenannter Hack sorgt dafür, dass die Webpräsenzen von Airbnb, GitHub, Netflix, Reddit und Twitter über längere Zeit nicht erreichbar sind.
Drei Fakten zu DDoS-Attacken via IoT
DoS und DDoS Bei Denial-of-Service-Angriffen (DoS) versuchen Cyber-Kriminelle den Internetauftritt eines Unternehmens durch Überlastung der Systeme zu beinträchtigen oder völlig lahmzulegen. Das Zielsystem kann zwischen "echten" und "bösartigen" Anfragen nicht unterscheiden. Es versucht alles zu verarbeiten, wird immer langsamer und muss schließlich wegen Überlastung seiner Ressourcen die Arbeit einstellen. Herkömmliche Angriffe dieser Art sind mittlerweile relativ leicht zu erkennen und zu bekämpfen, doch hat sich mit Distributed-Denial-of-Service-Angriffen (DDoS) eine besonders tückische Variante etabliert. Hier verwendet der Angreifer eine große Anzahl von Clients, über die er sich zuvor unrechtmäßig Kontrolle verschafft hat - beispielsweise über ein Bot-Netz mit vielleicht 100.000 gekaperten Rechnern.
Smart-TVs sind besonders beliebt Smart TVs sind ideale Werkzeuge für DDoS-Angriffe. Aufgrund der hohen Verbreitung, einer breitbandigen Anbindung und des Betriebs durch unerfahrene Nutzer ist die Wahrscheinlichkeit groß, dass von ihnen massive Angriffe ausgehen werden. Es könnte dann zu der paradoxen Situation kommen, dass ein Angriff sich genau der Geräte bedient, deren Service er anschließend einschränkt oder unterbindet. Dann greifen Tausende von Smart TVs Netflix an, und können selbst kein Programm mehr zeigen.
Consumer-Gadgets sind meistens der Ausgangspunkt IoT-Systeme, die für Bot-Netze missbraucht werden, kommen derzeit vorwiegend aus dem Consumer-Umfeld - beispielsweise schlecht abgesicherte Webkameras oder auch Home Router. Auch industrielle IoT-Geräte, die in Produktionsanlagen oder der Logistiksteuerung eingesetzt werden, sind zunehmend Ziel von DDoS-Attacken. Solche Devices können aber selbst zum Angriffsziel werden, indem etwa Messwerte verfälscht oder Daten entwendet werden. In Finnland wurden zum Beispiel im letzten Herbst Heizungsanlagen angegriffen und manipuliert. Akamai beobachtet zudem bei den Cyber-Attacken vermehrt Kampagnen, die auf Erpressung mit entsprechenden Geldforderungen abzielen. (Michael Tullius, Akamai)