DDoS-Attacken — Das sollten Sie wissen…

Dieser Beitrag wurde am von in Allgemein veröffentlicht. Schlagworte: , , , .


ddos attacke

Der Sicherheitsbericht „State of the Internet“ von Akamai verrät Ihnen alles über DDoS-Attacken. Wer greift an? Wer wird angegriffen? Wie oft wird angegriffen? Wie groß sind die Angriffe? Und wie wird angegriffen?

Die aktuelle Ausgabe des Reports zur Internetsicherheit für das erste Quartal 2015 liefert Analysen und Einblicke in die globale Cloud-Sicherheit und deren Bedrohungslandschaft.
Für den Bericht für das erste Quartal 2015 hat Akamai Tausende DDoS-Angriffe analysiert, die im ganzen PLX-gerouteten Netzwerk beobachtet wurden. Außerdem wurden Millionen Auslöser von Angriffen auf Web-Applikationen auf der gesamten Akamai-Edge-Netzwerkplattform ausgewertet. Durch die Berücksichtigung der Daten zu Angriffen auf Web-Applikationen und der ausführlichen Berichte von Akamai Experten-Teams rund um IT-Sicherheit bietet der Bericht eine umfassende Übersicht über das Internet und die alltäglichen IT-Angriffe.

 Ddos-Attacken –  „State of the Internet“

ddos attacken überblickDer Sicherheitsbericht „State of the Internet“ von Akamai besteht aus 6 Forschungsbereichen:

  • Angriffsstatistiken für DDoS Angriffe (Distributed Denial-of-Service Attacks) pro Quartal und für das vergangene Jahr sowie Statistiken zu sieben beliebten Angriffsvektoren für Webanwendungen aus dem 1. Quartal 2015
  • Beschreibung einer DDoS-Attacke mit mehr als 100 Gbit/s mit auf Booter-/Stresser-Websites verfügbaren Tools, insbesondere SSDP-Reflection-Angriffe
  • Fallstudie zu den Sicherheitsrisiken, die aus der Erschöpfung von IPv4-Adressen (Internet Protocol Version 4) und des Wechsels zu IPv6 entstehen
  • Analyse der Methoden und Einsatzmöglichkeiten von SQL Injection-Angriffen basierend auf der Evaluierung von über 8 Millionen Angriffen, die mit der Kona Site Defender-WAF (Web Application Firewall) von Akamai erkannt wurden
  • Identifizierung von Defacement-Angriffen auf Webseiten und Domain-Hijacking-Versuchen mit Details zur Abwehr und Schadensminderung
  • Zusammenfassung der 2015 erkannten Angriffstechniken und Sicherheitsrisiken, darunter SSLv3-Schwachstellen, Joomla!-Reflection-Angriffe, MS SQL-Reflection-Angriffe und Datendiebstahl, sowie Strategien zur Vermeidung

Statistiken zu DDoS-Angriffen

ddos attacken größeIm 1. Quartal 2015 stieg die Anzahl der DDoS-Angriffe deutlich an. Sie erreichte erneut einen Rekord in der Anzahl der beobachteten DDoS-Angriffe innerhalb des Prolexic-Netzwerks. Im Vergleich zum 4. Quartal 2014 betrug der Anstieg 35%, im Vergleich zum 1. Quartal 2014 nahmen die Attacken um 117% zu.

Die durchschnittliche Angriffsbandbreite und das Volumen nahmen im 1. Quartal 2015 zu. Sie setzen damit einen Trend fort, bei dem Angreifer kleinere, aber länger andauernde Angriffe bevorzugen. Im Vergleich zum 1. Quartal 2014 nahm die Angriffsdauer um 43% zu. Eine bemerkenswerte Abweichung von diesem Trend stellten Angriffe mit mehr als 100 Gbit/s dar, darunter ein Angriff, der eine Spitze von 170 Gbit/s erreichte. Diese Angriffe richten sich hauptsächlich gegen die Gaming-Branche, die weiterhin das beliebteste Ziel für einen DDoS-Angriff bleibt.

Die noch vor einem Jahr nahezu unbekannten SSDP-Angriffe bildeten insgesamt die häufigsten infrastrukturbasierten Angriffe. Da zahlreiche SSDP-Reflection-Angriffe auf ungeschützte Geräte in Privathaushalten abzielen, konnten viele davon weder erkannt noch abgewehrt werden. Unter den drei häufigsten DDoS-Angriffen im 1. Quartal 2015 machten SSDP-Angriffe 21% aller Angriffe aus. An zweiter Stelle befinden sich SYN Floods mit 16% und an dritter UDP Floods mit 13% aller Angriffe. Angriffe auf Infrastrukturebene stellten die mit Abstand beliebteste Angriffsform dar. Diese übertrafen Angriffe auf Anwendungsebene im Verhältnis 9:1. Angriffe auf Anwendungsebene stellen jedoch weiterhin ein Risiko dar, da Angreifer Angriffsskripte bevorzugen, die die offenen Proxys im Internet nutzen. Die häufigsten Angriffe auf Anwendungsebene im 1. Quartal bildeten HTTP-GET-Angriffe mit 7% aller DDoS-Angriffe.

ddos attacken angreifer länderIm 1. Quartal 2015 gab es einen Wandel im Ursprungsland  von DDoS-Angriffen. Während im 4. Quartal 2014 32% der DDoS-Angriffe aus den USA und 18% aus China stammten, wurden im 1. Quartal 2015 23% der Angriffe aus China, 17% aus Deutschland und 12% aus den USA gestartet. Die prozentuale Verteilung bedeutet dabei nicht, dass die Menge der Angriffe aus diesen Ländern abgenommen hat. Sie stellt lediglich eine Verschiebung der Verhältnisse dar, während die Gesamtzahl der DDoS-Angriffe weltweit weiter auf dem Vormarsch ist. Im Ursprungsland mit den meisten Angriffen dieses Quartals, nämlich China, stieg die Zahl der Angreifer-IPs im Vergleich zu den USA um 66%. Ein Teil dieser Zunahme ist jedoch möglicherweise der vermehrten Umleitung des Datenverkehrs aus Asien zuzuschreiben.

Statistiken zu Angriffen auf Webanwendungen

 Im 1. Quartal 2015 analysierte Akamai über 178 Millionen Angriffe auf Webanwendungen, die im Akamai Edge-Netzwerk beobachtet wurden. Der Schwerpunkt lag dabei auf den sieben häufigsten Angriffsvektoren für Webanwendungen. Diese umfassen: SQL-Injection (SQLi), Local File Inclusion (LFI), Remote File Inclusion (RFI), PHP-Injection (PHPi), Command-Injection (CMDi), OGNL-Injection über die OGNL Java Expressing Language (JAVAi) und Malicious File Upload (MFI).

Die beiden am häufigsten beobachteten Angriffsvektoren auf Webanwendungen waren LFI mit 66% und SQLi mit 29%. Die große Anzahl an LFI-Angriffsversuchen beruht zum Teil darauf, dass deutsche IPs im Rahmen einer massiven Kampagne gegen das WordPress RevSlider-Plugin zwei große Einzelhandelsketten mit Angriffen bombardierten. Ein wesentlicher Teil der SQLi-Angriffe im 1. Quartal war Angriffskampagnen gegen zwei Unternehmen aus dem Reise- und Gastgewerbe geschuldet, wobei die Mehrzahl der Angriffe Ursprungs-IPs in Irland aufwies.

Unter den Ursprungsländern von Webanwendungsangriffen erreichte die USA mit 52% der Angriffs-IPs Platz 1, gefolgt von China mit 11% und Brasilien mit 6%. Die meisten Angriffe auf Webanwendungen im 1. Quartal 2015 zielten auf Websites in den USA ab, was 82% der Angriffe ausmachte. Im Vergleich dazu erreichte kein anderes Land einen höheren Wert als 2%.

Die beliebtesten Branchen für Angriffe auf Webanwendungen im 1. Quartal 2015 waren Einzelhandel, Medien/Entertainment und Hotel/Reisen. Dies kann zum Teil daran liegen, dass Unternehmen aus dem Finanzdienstleistungssektor nach vorangegangenen Angriffen die Sicherheit ihrer Webseiten stark verbesserten. Im Gegensatz dazu entlarvten die groß angelegten Angriffe und Sicherheitsverstöße in der Einzelhandels- und Medienbranche diese Sparte als leichte Ziele. Das verleitete führende Angreifer, ihre Schwachstellen auszutesten.

Angriff im Fokus

ddos booter attackenIm 1. Quartal 2015 wurden Angriffe auf Akamai-Websites mit DDoS-Angriffstools auf dem „DDoS-for-hire“ Markt nachverfolgt, besser bekannt als Booter-/Stresser-Sites. Mit Spitzenwerten von mehr als 100 Gbit/s deuteten diese Angriffstechniken darauf hin, dass die Angreifer eine Methode zur Maximierung der Auswirkungen entwickelt haben. Experten gehen davon aus, dass dieser Trend sich weiter fortsetzen wird. Ebenso besorgniserregend ist, dass die Auswahl an einfach einzusetzenden Angriffsvektoren im auftragsbasierten DDoS-Markt auch unerfahrenen Angreifern Angriffe mit einem hohen Schadenspotenzial ermöglicht. Der im Bericht analysierte Angriff umfasste die volle Bandbreite an Booter- Vektoren, darunter einen SYN Flood-, UDP Flood-, UDP Fragment Flood-, RESET Flood-, DNS Flood-, ACK Flood-, NTP Flood- und SSDP Flood-Angriff.

Sicherheitsrisiken von IPv6

ddos ipv6Die Erschöpfung des IPv4-Adressraums führte zur Entwicklung des IPv6-Protokolls. Es eröffnet einen um 79 Quadrillionen größeren Adressraum– eine kaum vorstellbare Zahl. Doch die Lösung des IPv4- Erschöpfungsproblems brachte andere Herausforderungen mit sich. So haben Experten Schwachstellen in den Übergangstechnologien und Sicherheitsprobleme im Zusammenhang mit der Größe des IPv6-Adressraums identifiziert. In einigen Fällen erkannten Experten, dass Bedrohungen, die unter IPv4 als abgewehrt galten, unter IPv6 Firewalls und andere Sicherheitsmaßnahmen umgehen konnten. Da viele Benutzer und Administratoren sich nicht bewusst sind, dass IPv6-Networking standardmäßig aktiviert werden kann, können Dienste und Protokolle offengelegt werden, selbst wenn für die IPv4-Implementierung ausreichende Sicherheitsmaßnahmen getroffen wurden. Dieser Abschnitt des Berichts enthält zudem einen Überblick über die Internetadressierung und die Vorteile von IPv6.

SQL-Injection-Angriffe

 SQL-Injection ist eine ältere Angriffstechnik, die weiter verändert wird, um bestimmte Aufgaben zu erfüllen und Injection-Tools für Angreifer zu automatisieren. Der Bericht analysiert zehn Arten von realen SQL-Injection-Angriffen. Die gängigste ist die Abfrage über SQL-Injection, die den erforderlichen ersten Schritt aller Arten von SQL-Injection-Angriffen bildet. Anschließend wird die Umgebung abgefragt und der Inhalt der Datenbank abgerufen. Viele Angriffe konzentrierten sich auf den Diebstahl von Benutzeranmeldedaten. SQL-Injection-Angriffe können jedoch auch zur Ausführung von Befehlen, Beschädigung von Daten oder Blockierung von Diensten eingesetzt werden.

Website Defacement und Domain Hijacking

Die Analyse der Website-Defacement (böswillige Umgestaltung von Webseiten)- und Domain-Hijacking (Übernahme fremder Webseiten)-Massenangriffe im 1. Quartal 2015 zeigte, das viele der betroffenen Websites sich die gleiche IP-Adresse teilten und auf dem Server gehostet wurden. Sobald ein Angreifer eine Website mit Schwachstellen ermittelt hat, kann der gesamte Server infiziert werden. Der Bericht erläutert Schutzmechanismen gegen Website Defacement und Domain Hijacking.

Zusammenfassung

Im 1. Quartal 2015 begann Akamai, bewusst zugunsten von TLS (Transport Layer Security) von der Nutzung von SSL (Secure Socket Layer) abzurücken. Der Grund für diesen Wechsel besteht in Sicherheitsrisiken wie Poodle, Shellshock und Heartbleed. Dieser Abschnitt betrachtet zudem Angriffe auf SaaS-Anbieter (Software-as-a-Service), eine Schwachstelle in der GNU-C-Bibliothek auf Linux-Systemen, Angriffe, die das Microsoft SQL Server Resolution Protocol (MC-SQLR) ausnutzen, sowie die versuchte Nutzung gestohlener Anmeldedaten aus öffentlichen Auszügen kompromittierter Daten. Der Bericht stellt Vermeidungs- und Schutztechniken für ausgewählte Bedrohungen zur Verfügung.

Den vollständigen Sicherheitsbericht „State of the Internet“ für das 1. Quartal 2015 finden Sie unter www.stateoftheinternet.com/security-report.