Skip to content

Angriffe auf TCP/IP (9) - DDoS-Angriffe aus dem IoT (1)

Die Entwicklung der DDoS-Angriffe hat 2016 einen neuen Höhepunkt erreicht: DDoS-Angriffe durch Botnets, die ihre Bots unter den Geräten des Internet of Things rekrutieren, und die nie zuvor gesehen Datenfluten lostreten.

Das erste Opfer: KrebsOnSecurity.com

Am Abend des 20. September 2016 wurde die Website des Security-Bloggers Brian Krebs, KrebsOnSecurity.com, Opfer eines DDoS-Angriffs. Die Website wird vom Akamai vor solchen Angriffen geschützt, und die Techniker von Akamai schafften es auch, den Angriff ins Leere laufen zu lassen, so dass es zu keinen größeren Ausfällen kam. Aber laut Akamai war der Angriff mit ca. 620 Gigabit Traffic pro Sekunde fast doppelt so groß wie der größte Angriff, den man zuvor beobachtet hatte (363 Gbps), und gehörte zu den größten Angriffen, die im Internet bis dahin beobachtet wurden.

Doch während die Angriffe zuvor Techniken nutzten, um ihren Traffic zu verstärken, z.B. indem die bei einem DNS-Reflection-Angriff die Antworten auf gefälschte DNS-Anfragen auf den angegriffenen Server leiteten, ging der Angriff auf KrebsOnSecurity.com ausschließlich von einem sehr großen Botnet aus. Es wurde einfach eine große Anzahl von Anfragen an den Webserver geschickt, darunter SYN-, GET- und POST-Floods.

Besonders auffällig war dabei, dass der größte Teil des Angriffs aus Traffic bestand, der wie Generic Routing Encapsulation (GRE) Datenpakete aussah (dazu später mehr).

Es gab damals bereits Hinweise darauf, dass das für den Angriff genutzte Botnet zu einem großen Teil aus kompromittierten IoT-Geräten besteht.

22. September 2016: Akamai gibt auf

Nachdem die DDoS-Angriffe weiter zunahmen, gab Akamai am 22. September 2016 auf und stellte den Schutz von Brian Krebs Website ein. Der macht Akamai aber keinen Vorwurf, da sie seinen Server kostenlos geschützt haben und dieser Schutz seit dem Beginn der Angriffe sehr teuer war. Und immerhin hat Akamai KrebsOnSecurity.com zuvor vier Jahre lang vor mehreren DDoS-Angriffen geschützt.

25. September 2016: Google springt ein

Am 25. September 2016 war die Website wieder online, nun geschützt durch Googles "Project Shield". Das ist ein kostenloses Programm von Google, um Journalisten und Nachrichten-Websites vor Online-Zensur zu schützen. Denn dazu kann ein DDoS-Angriff sehr gut genutzt werden - unerwünschte Meinungen werden einfach blockiert. Der Schutz vor solchen Angriffen ist für unabhängige Journalisten quasi unbezahlbar.

Nochmal 20. September 2016: Ein neuer Rekord für DDoS-Angriffe

Am 20. September 2016 gab der Gründer des französischen Web-Hosters OVH, Octave Klaba, bekannt, dass sein Unternehmen Opfer eines DDoS-Angriffs war, der sogar den Angriff auf KrebsOnSecurity.com in den Schatten stellt: Es wurden insgesamt bis zu 1,1 Terabit pro Sekunde gemessen.

Die Angriffe liefen über mehrere Tage und gingen von einem aus anfangs 145607 Kameras und DVRs bestehenden Botnet aus, das eine Kapazität von mehr als 1,5 Tbps hatte. Nach und nach kamen weitere Geräte dazu: 6857 Kameras, noch mal 15654 und noch mal 18000 .

Es soll sich dabei um das gleiche Botnet gehandelt haben, dass auch für die Angriffe auf KrebsOnSecurity.com verwendet wurde.

Wenn das stimmt, muss es noch mehr als die von Octave Klaba angenommenen 1,5 Tbps leisten können, denn die Angriffe auf KrebsOnSecurity.com und OVH begannen beide am 20. September 2016, fanden also zumindest teilweise parallel statt. Und damit musste das Botnet nicht nur die 1,1 Tbps für den Angriff auf OVH erzeugen, sondern zusätzlich die 620 Gbps für den Angriff auf KrebsOnSecurity.com.

28. September 2016: Der Sourcecode des Botnets wird veröffentlicht

Am 28. September 2016 wurde der Sourcecode für das für die Angriffe auf KrebsOnSecurity.com verwendete IoT-Botnet mit dem Namen "Mirai" auf Hackforums.net veröffentlicht. Kurz drauf wurde der Sourcecode auch auf GitHub veröffentlicht, so dass Forscher ihn untersuchen können.

Es gibt noch eine weitere weit verbreitete Software für den Aufbau eines Botnets aus IoT-Geräte namens "Bashlight" bzw. "BASHLITE". Ein damit aufgebautes Botnet ist das "LizardStresser"-Botnet, dass u.a. für DDoS-Angriffe während der Olympischen Spiele in Rio eingesetzt wurde und dabei bis zu 540 Gbps erreichte.

Default-Zugangsdaten sind gefährlich!

Beide Bots verbreiten sich, indem sie ständig vorgegebene Netzwerkbereiche nach IoT-Geräten absuchen und sich bei diesen über Telnet mit bekannten Default-Zugangsdaten anmelden, um dann ihren Schadcode darauf auszuführen. Danach kann das infizierte Gerät sofort für DDoS-Angriffe missbraucht werden, außerdem sucht es selbst ebenfalls nach weiteren Opfern.

In der nächsten Folge werfe ich einen genaueren Blick auf Mirai.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Dipl.-Inform. Carsten Eilers am : Angriffe auf TCP/IP (10) - DDoS-Angriffe aus dem IoT (2)

Vorschau anzeigen
Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Grund genug, mal einen genaueren Blick auf Mirai zu werfen. Mirai unter der Haube Verschiedene Forscher haben die von Mirai durchgeführten Ang

Dipl.-Inform. Carsten Eilers am : Angriffe auf TCP/IP (11) - DDoS-Angriffe aus dem IoT (3)

Vorschau anzeigen
Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Die DDoS-Angriffe des Botnets habe ich bereits beschrieben, in diese Folge geht es um die Verbreitungsroutinen von Mirai Die folgenden Informatione

Dipl.-Inform. Carsten Eilers am : Angriffe auf TCP/IP (12) - DDoS-Angriffe aus dem IoT (4)

Vorschau anzeigen
Die DDoS-Angriffe durch das Mirai-Botnet haben 2016 zuvor ungeahnte Ausmaße angenommen. Die DDoS-Angriffe des Botnets habe ich bereits beschrieben, ebenso die Verbreitungsroutinen des Bots. Zum Abschluss geht es nun noch um die Folgen der