Botnetz mit Taktik: DNS-Amplification trifft kritischen Backend-Port

Freitag, 10:14 Uhr – ein Routine-Tag für die IT-Crew eines international tätigen Finanzinstituts. Auf der Monitoring-Konsole läuft noch ein beschaulicher Datenstrom von knapp fünfzig Megabit pro Sekunde. Zwei Minuten später schlägt die Nadel aus: 1,7 Gigabit. Eine weitere Minute vergeht, dann schnellt der Zeiger auf 60 Gigabit hoch und kurz darauf auf den Spitzenwert von 83 Gigabit. Insgesamt dauert der Traffic-Anstieg weniger als neun Minuten, dann ebbt es ebenso abrupt ab, wie es begonnen hat. Was auf dem Bildschirm wie eine Herzlinie im EKG aussieht, ist in Wahrheit ein Distributed Denial-of-Service-Angriff (DDoS): technisch simpel, gleichzeitig mit erstaunlicher Schlagkraft. 

So lief die Attacke ab

Die Angreifer starten behutsam mit dem Datenstrom. In den ersten beiden Minuten wächst dieser von 50 Mbit/s auf 1,7 Gbit/s. Diese Verzögerung zeigt, dass das Botnet stufenweise zuschaltet: Zunächst einige hundert, später tausende kompromittierte Geräte. Kaum erreicht der Angriff die nächste Stufe, wird der Datenstrom innerhalb einer Minute auf 60 Gbit/s und kurz darauf auf 83 Gbit/s gesteigert – genug, um einige Firmenleitungen in die Knie zu zwingen, da die Internetanbindungen oftmals unter dieser Kapazität liegen. 

Die digitale Flut setzt sich aus drei Strömungen zusammen: 

• UDP-Pakete ohne konkreten Zweck fungieren als reiner Ballast. Sie sollen Leitungen füllen und Systeme, die jedes Paket prüfen müssen, ins Schwitzen bringen. Besonders effizient wird dies bei fragmentierten UDP-Paketen. Diese erzeugen Mehraufwand auf Firewall- und Deep-Packet-Inspection-Systemen, da jedes Fragment einzeln gespeichert und rekonstruiert werden muss. 

• DNS-Antwortpakete sind der Kern der Attacke. Hierzu missbraucht der Angreifer öffentlich erreichbare DNS-Resolver und täuscht diesen mithilfe gefälschter Quelladressen vor, das Finanzunternehmen habe eine DNS-Anfrage gestellt. Die DNS-Server antworten – und zwar nicht dem Angreifer, sondern direkt dem Opfer. So entsteht der typische Amplification-Effekt: Ein kleines Paket (oft nur 60–80 Byte) löst eine Antwort aus, die 30- bis 70-mal so groß ist. Besonders perfide ist, dass verteilte Open Resolvers ausgenutzt wurden, die systematisch falsch konfiguriert oder böswillig betrieben werden – mit Quelladressen aus über 182 Ländern. 

• IP-Fragmente bilden den dritten Baustein. Dabei werden bewusst große DNS-Antwortpakete in viele kleinere Teile zerlegt, die dann einzeln verschickt werden. Das zwingt Netzwerkkomponenten zur Reassemblierung. Das ist der Prozess, bei dem am Zielcomputer mehrere kleine, fragmentierte Datenpakete wieder zu einem vollständigen Paket zusammengesetzt werden. Hierdurch werden CPU- und RAM-Ressourcen gebunden und überlastete Geräte schnell an ihre Grenzen gebracht. Die Verteilung der Paketgrößen spricht eine klare Sprache: Fast 40 % der Pakete lagen über 1050 Byte, mit einem Peak zwischen 1351 und 1500 Byte, was dem technisch maximalen Wert im Ethernet-Standard entspricht. Diese gezielte Auswahl maximiert die Belastung für Switches, Router und Firewalls. 

Port 8080: Bequem, beliebt und gefährlich

Alle drei Stränge treffen auf Port 8080, der unscheinbar wirkt, aber in Admin-Kreisen beliebt ist: Wenn Port 80 (klassisches HTTP) und Port 443 (HTTPS) bereits belegt sind oder stark reglementiert werden, weichen viele Entwickler und Hersteller von Management-Oberflächen auf 8080 aus. Der Port liegt oberhalb der „privilegierten Zone“ der Betriebssysteme. Dienste können ihn starten, ohne dass Administratorrechte nötig sind. Zudem ist er leicht zu merken: zweimal Achtzig, also 8080. 

Wegen dieser Bequemlichkeit ist Port 8080 heute de facto Standard für Testumgebungen, Proxyserver und webbasierte Wartungskonsolen. Genau das macht ihn zu einem attraktiven Angriffsziel, denn interne Services werden dort gerne vergessen, während er von außen häufig offensteht. 

Zerstreuung statt Zuordnung

Die Port-Statistik zeigt zudem eine hohe Streuung bei den Quellports: Es wurden über 551 verschiedene Quellports verwendet – ein Indiz dafür, dass die Quellpakete entweder aus zufälligen Ports generiert oder durch NAT-/Gateway-Systeme geleitet wurden. Das erschwert die Attribution zusätzlich. 

An der Attacke beteiligen sich rund 50.000 verschiedene IP-Adressen aus 182 Ländern. Selbst das größte Quellnetz, der russische Provider Rostelecom, stellt weniger als drei Prozent des Gesamtvolumens. Rechenzentren in Industrienationen bedienen die Attacke mit hoher Bandbreite, während unzählige kompromittierte Heimrouter in Asien die Gesamtzahl der Absender aufblähen. 

Angriff aus der zweiten Reihe

Interessant ist zudem, wer nicht auftaucht: Es gibt keinen nennenswerten Traffic von typischen Cloud- oder CDN-Anbietern wie Amazon, Microsoft Azure, Akamai, Fastly oder Cloudflare und auch nicht von Telekommunikationsriesen wie der Deutschen Telekom, Vodafone oder Telefónica. Die Angreifer setzen gezielt auf Ressourcen außerhalb der großen Provider. Das könnte ein Hinweis auf eine sorgfältige Planung oder die Absicht sein, „gute” Netze nicht zu kompromittieren, um nicht erkannt zu werden. 

Warum war die Attacke so kurz?

Die Stoppuhr zeigt neun Minuten, doch aus Sicht der Angreifer war das bereits eine ausgiebige Probe. Sie testen, ob sich die Investition in Rechenzeit lohnt. Dafür lassen sich drei plausible Motive ableiten: 

1. Proof of Concept (PoC): Die Drahtzieher wollten testen, ob das ausgewählte interne System tatsächlich verwundbar ist und wie rasch die Abwehr reagiert. Sobald klar war, dass das Ziel standhält, wurden die Ressourcen abgezogen und eingespart. 
2. Kostenkontrolle: Ein Botnetz dieser Größe bedeutet Gebühren für gemietete Rechenzentren oder die Gefahr, gekaperte Server durch Abuse-Meldungen (Hinweise auf die missbräuchliche Nutzung kompromittierter Systeme) zu verlieren. Ein kurzer Schlag sichert die eigenen Ressourcen für lukrativere Operationen. 
3. Ablenkungsmanöver: Weil nicht die öffentliche Website, sondern ein wenig beachteter Backend-Dienst attackiert wurde, liegt der Verdacht nahe, dass der DDoS-Angriff lediglich ein Ablenkungsmanöver war. Während die Security-Teams mit der Attacke beschäftigt sind, könnten Parallelversuche laufen, Ransomware zu installieren oder Daten abzuziehen. 

Alle drei Szenarien sprechen für eine professionell organisierte, kommerziell motivierte Gruppe, die Aufwand und Nutzen nüchtern gegeneinander abwägt – anders als politisch motivierte Hacktivisten, die eher auf eine medienwirksame Inszenierung setzen. 

Was Unternehmen daraus lernen können

1. Mehrschichtige Abwehr: Cloud-basiertes „Scrubbing“, das den Verkehr schon weit vor dem Rechenzentrum filtert, ist Pflicht. 
2. Hygiene bei Nebenports: Wer Port 8080 (oder 8000, 8443) nutzt, sollte ihn wie Port 80/443 behandeln. TLS erzwingen, Login absichern, Rate Limits setzen. 
3. Angriff nicht isoliert betrachten: Ein interner Service als Ziel kann eine Ablenkung sein. SOC-Teams sollten parallel auf verdächtige Logins, Malware-Drops oder Seitwärtsbewegungen achten. 
4. Verkehrsmuster im Blick behalten: Kurze, hochskalierte DDoS-Angriffe mit fragmentierten Paketen und ungewöhnlichen Ports können Indikatoren gezielter Reconnaissance sein – es handelt sich also nicht nur um Lärm, sondern um digitale Aufklärung. 

Ihr Unternehmen soll nicht zur nächsten Schlagzeile werden? 

Ob Proof-of-Concept oder voll ausgeführte Attacke: DDoS-Angriffe wie dieser sind für Finanzinstitute, E-Commerce-Plattformen und Medienkonzerne weltweit längst kein Ausnahmefall mehr, sondern Alltag. 

Schützen Sie Ihr Unternehmen proaktiv mit einem DDoS-Schutz, der Angriffe erkennt, bevor sie Schaden anrichten. Sprechen Sie mit unseren Expert:innen und erfahren Sie, wie Sie Ihre kritischen Services von Layer 3 bis Layer 7 dauerhaft absichern können. 

Jetzt kontaktieren >>

Share this post