Seit Anfang 2023 gibt es immer grössere DDoS-Angriffe. Attacken mit einem Terabit pro Sekunde oder mehr gehören laut einem Bericht fast zur Tagesordnung.
Distributed-Denial-of-Services-Angriffe (DDoS) sind ein seit langem bestehendes Problem, das nach wie vor eine wirksame Möglichkeit ist, die Verfügbarkeit eines Onlinedienstes zu beeinträchtigen, schreibt der Provider OVHcloud in einem Blogbeitrag.
Dies hat man kürzlich auch in der Schweiz gesehen. Cyberkriminelle haben im Vorfeld der Friedenskonferenz auf dem Bürgenstock versucht, die Websites mehrerer Behörden lahmzulegen.
Mit dem Mirai-Botnetz erreichte 2016 ein DDoS-Angriff erstmals mehr als ein Terabit pro Sekunde (Tbit/s). Ein Wert, der mittlerweile mehrfach übertroffen wurde. Allerdings seien Angriffe in dieser Grössenordnung relativ lange selten geblieben, so der Blogbeitrag weiter.
Dies hat sich offenbar aber geändert. Seit Anfang 2023 verzeichne man einen starken Anstieg von DDoS-Angriffen, sowohl in der Häufigkeit als auch in der Intensität, heisst es vom Cloud-Provider weiter. Angriffe mit einem Tbit/s oder mehr würden mittlerweile fast täglich vorkommen.
Ein Angriff mit 1,5 Tbit/s am 25. Mai, direkt gefolgt von der höchsten jemals bei OVHcloud aufgezeichneten Bitrate von 2,5 Tbit/s. Foto: OVHcloud
DDoS-Angriffe mit hohen Bitraten zielen meist darauf ab, die Internetverbindung zu belegen, sodass es zum "Denial of Service" kommt. Immer häufiger kommt es laut OVH auch zu Angriffen mit hohen Paketraten. Bei diesen wird versucht, Server, Router oder andere Hardwaregeräte mit vielen kleinen Paketen zur Überlastung zu bringen. Dies kann weitere Kollateralschäden nach sich ziehen.
Ein DDoS-Angriff im April 2024 erreichte 840 Mpps. Quelle: OVHcloud
Paket-Angriffe seien nicht neu, so OVHcloud. Aber seit Anfang 2023 habe es einen starken Anstieg von Angriffen mit Raten von 100 Millionen Pakete pro Sekunde (Million packets per second, Mpps) und mehr gegeben. "Unsere Infrastruktur musste Anfang 2024 mehrere Angriffe mit über 500 Mpps abwehren", so OVHcloud.
Im April habe man schliesslich einen rekordverdächtigen Angriff mit etwa 840 Mpps verzeichnet, was knapp über dem vorherigen von Akamai gemeldeten Rekord liege.
Netzwerkgerät gekapert
Eine Analyse habe gezeigt, dass viele der Angriffe von einer kleinen Anzahl von IP-Adressen ausgingen, so der Blogbeitrag. Die weitere Untersuchung der 70 problematischsten IP-Adressen habe ergeben, dass es sich hauptsächlich um Mikrotik-Router handelte, deren Interfaces online exponiert gewesen seien.
Im Mikrotik-Betriebssystem RouterOS seien in den letzten Jahren mehrere Sicherheitslücken gemeldet worden. Angreifer würden wohl ungepatchte Systeme ausnutzen. OVHcloud vermutet weiter, dass die Angreifer die Funktion "Bandwidth Test" missbrauchen, die für Stresstests gedacht ist. Der Provider gibt an, den Hersteller über seine neusten Erkenntnisse informiert zu haben.