Inhalt
Manchmal erscheinen Angriffe im Internet wie Präzisionsschläge. Kleine Gruppen mit klaren Zielen, die sich auf ein einzelnes Opfer konzentrieren. Und manchmal gleicht ein Angriff einem Flächenbrand: planlos und unaufhaltsam. Der Angriff, den wir diesen Monat untersucht haben, fällt in keine dieser Kategorien. Er war eine Mischung aus brachialer Gewalt, technischer Raffinesse und einem Ressourcenreichtum, der selbst erfahrene Sicherheitsexperten ins Grübeln brachte.
Angriff mit schier unbegrenzten Ressourcen
Der erste Eindruck: Dem Angreifer standen scheinbar unbegrenzte Ressourcen zur Verfügung. Mehrere Ziele wurden gleichzeitig angegriffen. Das Ausmaß des Angriffs erinnerte an klassische „Carpetbombing“-Taktiken: ein großflächiges Bombardement aller erreichbaren Ziele. Statt einzelne Schwachstellen gezielt auszunutzen, setzte der Angreifer auf Masse – massiven Traffic auf Dutzenden von Endpunkten gleichzeitig.
Von UDP zu TCP – ein strategischer Wechsel
Besonders auffällig an diesem Angriff war die gezielte Anpassung der Taktik:
Der Angreifer startete zunächst mit einem klassischen UDP-basierten DDoS-Angriff. UDP (User Datagram Protocol) ist bei Angreifern beliebt, weil es ressourcenschonend und kostengünstig sehr hohe Bandbreiten erzeugen kann. Ohne aufwändige Handshakes oder Verbindungsprüfungen lassen sich schnell große Mengen an Datenverkehr erzeugen – perfekt, um Netzwerke mit vergleichsweise geringem Aufwand massiv zu überlasten.
Im Verlauf des Angriffs zeigte sich jedoch, dass diese Methode an ihre Grenzen stößt. Die Schutzmechanismen von Link11 konnten den UDP-Verkehr effektiv abwehren. Der Angreifer erkannte dies offenbar und reagierte flexibel: Zeitgleich mit dem Erreichen eines ersten Peaks im UDP-Volumen wurde der UDP-Verkehr drastisch reduziert und stattdessen massiv TCP-Verkehr aufgebaut.
TCP-basierte Angriffe sind sowohl für den Angreifer als auch für den Verteidiger aufwändiger und ressourcenintensiver. Im Gegensatz zu UDP erfordert TCP ein echtes Sitzungsmanagement (z.B. durch den Aufbau und die Aufrechterhaltung von Verbindungen mittels 3-Wege-Handshake), was die Belastung von Netzwerkgeräten und Schutzinfrastrukturen deutlich erhöht. Während ein UDP-Angriff eher dem Prinzip „Masse statt Klasse“ folgt (große Mengen an Datenmüll, billig und schnell produziert), bedeutet ein TCP-Angriff „gezielte Belastung durch Komplexität“.
Bei dem konkreten Angriff konnte beobachtet werden, dass der TCP-Verkehr parallel zu einem massiven Rückgang des UDP-Verkehrs anstieg und innerhalb kurzer Zeit neue Höchstwerte erreichte. Spitzenwerte von über 500 Gbit/s TCP und zusätzlich mehr als 700 Gbit/s UDP machten den Angriff auch für robuste Infrastrukturen zu einer ernsthaften Herausforderung.
Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.
Eine Attacke mit ungewöhnlicher Handschrift
Ein weiteres technisches Detail macht diesen Angriff besonders: Die meisten Pakete hatten eine Größe zwischen 450 und 600 Byte.
Ein Wert, der weder dem typischen Muster besonders kleiner Flooding-Angriffe (sehr viele kleine Pakete) noch großen Fragmentierungsangriffen (stark fragmentierte, sehr große Pakete) entspricht.
Warum diese Größe? Das ist nicht ganz klar. Zwei mögliche Erklärungen:
- Optimierung auf Effizienz: Diese Paketgröße könnte optimal an die kompromittierten Geräte angepasst worden sein – eine Art „Benchmark“ der Leistungsfähigkeit der gekaperten Systeme. Diese Paketgrößen können schneller verarbeitet und versendet werden – ideal für schwache IoT-Geräte.
- Umgehung von Schutzmechanismen: Viele klassische Schutzmechanismen filtern besser bei Standardgrößen. Große und kleine Pakete fallen auf, mittlere sind unauffälliger.
In jedem Fall zeigt die Wahl der Paketgröße: Dieser Angriff war auch auf technischer Ebene professionell vorbereitet.
Ein Botnetz mit globaler Dimension
Beeindruckend war auch die geografische Verteilung des Angriffs: Der Verkehr wurde global orchestriert – von Los Angeles über Frankfurt und Singapur bis nach New York und London. Praktisch an jedem weltweit angebundenen Point of Presence (PoP) wurden Angriffe registriert, was ebenfalls auf ein professionelles Vorgehen und eine hohe Steuerungskompetenz auf Seiten der Angreifer schließen lässt. Es deutet auch darauf hin, dass ein riesiges dezentrales Botnetz aus kompromittierten Endgeräten die Grundlage für diesen Angriff bildete.
Ein weiteres Indiz für die professionelle Organisation des Angriffs ist die Anzahl der beteiligten Systeme: Allein in einem 25-minütigen Ausschnitt wurden über 41.000 eindeutige IP-Adressen gezählt. Und das war nur ein kleiner Teil der gesamten Angriffskampagne, die sich über mehrere Tage erstreckte.
Organisierte Kriminalität in Hochform?
Der Angriff wirkt nicht wie das Werk von Amateuren. Vielmehr deutet alles auf eine professionelle, vermutlich kommerzielle Infrastruktur hin – möglicherweise ein DDoS-Stresser-Dienst, bei dem Kapazitäten eingekauft werden können.
Die Tatsache, dass der Angreifer während der Angriffsserie verschiedene Taktiken ausprobierte und seine Methoden anpasste – vom Wechsel des Protokolls bis zur ausgeklügelten Steuerung der Paketgrößen – deutet darauf hin, dass Know-how, Ressourcen und klare Ziele vorhanden waren.
Fazit
Diese Attacke war nicht nur durch ihr Volumen und ihre internationale Verteilung außergewöhnlich. Sie demonstriert auch eine neue Qualität: Die Fähigkeit, Taktiken in Echtzeit anzupassen, Schwachstellen gezielt auszunutzen und ein weltweites Botnetz mit hoher Effizienz einzusetzen.
Für die Cyberabwehr bedeutet das:
- DDoS-Schutz muss noch flexibler und intelligenter werden.
- Globales Monitoring und schnelle Analysen sind unerlässlich.
- Schutzkonzepte dürfen sich nicht allein auf Volumen, sondern müssen sich auch auf Protokollverhalten und Anomalien basieren.
DDoS-Angriffe entwickeln sich ständig weiter – genau wie die Taktiken der Angreifer. Wer sich effektiv schützen will, braucht mehr als klassische Abwehrmechanismen: Er braucht automatisierte, adaptive sowie KI-gestützte Sicherheitstechnologien.
Sie möchten wissen, wie resilient Ihre Infrastruktur wirklich ist?
Lassen Sie sich von unseren Experten beraten – kostenfrei und unverbindlich.
Share this post
