Mehr als 1 Terabit pro Sekunde: DDoS-Angriffe erreichen neue Dimension

Rekordangriff der letzten Woche bereits wieder übertroffen.
 
Letzte Woche fand ein äusserst heftiger Denial-of-Service-Angriff auf 'KrebsOnSecurity', den Blog des Security-Investigators Brian Krebs, statt. Die Site wurde über lange Zeit mit einem Traffic-Volumen von rund 620 Gigabit pro Sekunde überflutet. Security-Experten schätzten dies als den möglicherweise heftigsten DDoS-Angriff ein, der jemals stattgefunden hat, knapp doppelt so stark wie der bisher stärkste bekannte Angriff, der Anfangs dieses Jahres verzeichnet wurde. Nun berichtet 'Ars Technica' bereits von einem noch viel stärkeren Angriff, der den französischen Web-Hoster OVH betraf. Dieser Angriff erreichte anscheinend ein Volumen von bis zu 1,1 Terabit pro Sekunde.
 
Octave Klaba, CTO von OVH, berichtete bisher nur via Twitter darüber. Die Attacke begann laut einem Tweet am 19. September. Danach folgten zumindest bis gestern weitere Angriffe. Zu einem Gespräch konnte ihn 'Ars Technica' nicht gewinnen. Die Newssite schätzt die Informationen aber als verlässlich ein, unter anderem da sie mit Informationen über den Angriff auf 'KrebsOnSecurity' übereinstimmen.
 
Laut Klaba wird der DDoS-Angriff auf sein Unternehmen via ein aus rund 15'000 gehackten IP-Kameras und digitalen Videorekordern bestehendes Botnetz durchgeführt. Er schätzt die Angriffskapazität dieses Netzes auf bis zu 1,57 Terabit pro Sekunde. Diese Schätzung äusserte Klaba noch bevor er gestern erklärte, dass sich die Zahl der am Angriff beteiligten Geräte weiter erhöht hat. Klaba glaubt, dass dies das gleiche Botnetz ist, dass auch für den Angriff auf 'KrebsOnSecurity' verwendet wurde.
 
Laut Krebs gibt es Anzeichen, dass der Angriff auf seinen Blog durch ein Netz aus gehackten "Internet-Devices", darunter Kameras, Videorekorder und Router durchgeführt wurde.
 
Riesige Kosten für DDoS-Schutz
Der Angriff auf 'KrebsOnSecurity' begann am Morgen des 20. September. Akamai, Betreiber eines der bekanntesten Anti-DDoS-Services der Welt, half zunächst kostenlos und konnte den Angriff einige Zeit lang erfolgreich abblocken. Nachmittags um vier Uhr erhielt Krebs aber laut 'Ars' die Nachricht von Akamai, dass man den Schutz aufgrund der hohen Kosten nicht mehr länger aufrecht erhalten könne und ihn in zwei Stunden beenden werde. Krebs entschied sich daraufhin, seine Site zu deaktivieren, um Kollateralschäden für seinen Provider und dessen Kunden zu verhindern. 'KrebsOnSecurity' blieb daraufhin 24 Stunden lang unerreichbar.
 
Die hohen Kosten für DDoS-Schutz sind einer der Hauptaspekte dieser Geschichte. Laut Krebs würde ihn ein wirksamer Schutz gegen Angriffe mit hoher Bandbreite zwischen 100'000 und 200'000 Dollar pro Jahr kosten. Und je stärker die Angriffe werden, desto höher steigen die Schutzkosten.
 
Gleichzeitig wird es für Angreifer immer einfacher und billiger, DDoS-Angriffskapazität "als Service" einzukaufen. Brian Krebs selbst hat vor drei Wochen einen Bericht über eine solche DDoS-as-A-Service-Plattform veröffentlicht. Der Bericht führte letztendlich zur Verhaftung von zwei jungen Männern in Israel. Es liegt nahe zu spekulieren, dass dies der Grund für den Angriff auf sein Blog sein könnte.
 
Eine neue DDoS-Ära?
Eines der grossen Probleme bei "Internet-der Dinge"-Devices ist, dass ihre Besitzer meist selten überprüfen, ob sie gekapert und zum Teil eines Botnetzes gemacht wurden. Meist verrichten sie ihren Dienst ja trotzdem weiter. Und die Zahl solcher Geräte nimmt immer schneller zu.
 
Der Akamai-Experte Martin McKeay glaubt, dass die heute noch ungewöhnlichen Riesenattacken leider schon bald häufiger sein werden. "Wir haben nun ein 600-Gigabit-Botnet erlebt und müssen damit rechnen, dass diese in ein, zwei Jahren schon häufig sein werden", erklärte er gegenüber 'Ars Technica', noch bevor er vom Angriff auf OVH erfuhr. Natürlich werde nicht jede DDoS-Attacke in diesem neuen Stärkebereich sein, aber schon bald könnten es ein Dutzend massive Angriffe pro Quartal und dann einige Hundert pro Jahr sein. (Hans Jörg Maron)