In der Analyse: das Anonymous DDoS „Ping Attack“ Tool
DDoS-Attacken der Gruppierung „Anonymous“ sorgen regelmäßig für Schlagzeilen. Damit der digitale Protest gelingt, stellen die Aktivisten DDoS-Programme kostenfrei ins Netz. Das Link11 Security Operation Center (LSOC) hat eines der Tools untersucht.
Das Starten von DoS Angriffen ist heutzutage selbst für Anfänger und technische Laien problemlos möglich. Denn viele Nutzer stellen Attacken-Tools kostenfrei ins Internet. Die Gruppierung Anonymous macht ihre DoS-Programme seit Jahren der Allgemeinheit zugänglich. Eines dieser Tools ist das Programm „Anonymous Ping Attack“, das im Web frei verfügbar und dessen Download kostenlos ist. Es gehört zu einem Set von Tools inklusive Tutorials, mit denen jeder Internetnutzer Denial-of-Service-Angriffe gegen beliebige Ziele starten kann. Das Link11 Security Operation Center (LSOC) hat untersucht, wie das es funktioniert und welche Gefahr von den Attacken ausgeht.
Der Name des Programms verweist auf Ping-Attacken, eine besondere Form von DoS-Angriffen. Eigentlich dienen PINGs der Erreichbarkeitsprüfung anderer Systeme und geben einen Indikator für die Übertragungszeitdauer. PINGs werden im Alltag genutzt, um Verbindungsprobleme und andere Vorkommnisse zu analysieren. Leider kann dieser Datenverkehr aber auch für Angriffe missbraucht werden.
Einfache Handhabung des Denial-of-Service-Tools
Nach dem Download und Entpacken des Anonymous-ZIP-Archives ist das Programm mit dem Namen „Anonymous Ping Attack.exe“ schnell installiert. Ein einfacher Doppelklick auf das Icon startet die DoS-Waffe. Die Benutzeroberfläche hat mit früheren Kommandozeilen-Tools mit Hunderten von Optionen nichts mehr gemein, sondern kommt in modernem Design daher und ist einfach zu bedienen.
Der Arbeitsaufwand beim Nutzer ist auf ein Minimum reduziert. Als einzige Angabe muss er den FQDN (Fully Qualified Domain Name) des Ziels, zum Beispiel die entsprechende Webseite, namentlich eingeben. (Für Testzwecke unterhält das LSOC die Domain www.dosme.de.) Ein Klick auf den „LOCK ON“-Button ermittelt die IP-Adresse des Ziels. Ein eigenes Verständnis davon, wie man DNS-Namen auflöst, ist damit nicht mehr notwendig.
Danach lässt sich über einen Schieberegler die Stärke des Angriffs einstellen. Die Skala reicht von 100 bis 65000 und bestimmt die Größe der Daten innerhalb des PING Request in Bytes.
Das Aufsetzen der Attacke wird durch das Anklicken des „Send“-Buttons abgeschlossen. Jedes Senden startet einen ICMP Flood auf das selektierte Ziel, den Rest übernimmt das Programm.
Ping-Attacken in der Analyse
Bei jedem Klick auf den „Send“-Button öffnet sich ein CLI-Fenster.
ine technisch versierte Person erkennt, dass hier ein PING ausgeführt wird, der 100 Bytes an Daten übermittelt. Wird die Attackenstärke auf 65000 erhöht, sind es PINGs mit je 65000 Datenbytes. Die Ansicht im CLI-Fenster ändert sich dabei wie folgt:
in einzelner PING bringt noch keinen Server ins Schwanken. Vom Angreifer aus werden pro PING (ICMP Echo Request) 44 Datenpakete in Richtung Ziel gesendet. Das Ziel sendet als ICMP Echo Reply ebenso viele Datenpakete in Richtung Angreifer, wie auf der Abbildung zu sehen ist.
Startet der Angreifer durch mehrfaches Drücken von „SEND“ mehrere Angriffe parallel, prasseln schnell Tausende Pakete pro Sekunde auf das Ziel ein. Ein IO/Graph zeigt den ausgehenden Verkehr des Angreifers:
Massenangriffe mit DoS zuverlässig eliminieren
Als einzelner Angreifer kann das LSOC ca. 2 Mbps Angriffsverkehr erzeugen. Als Einzelevent betrachtet, ist das noch kein großes Problem. Sobald aber eine größere Gruppierung von Personen gemeinsam ein Ziel torpediert, entstehen schnell Angriffsvolumen von Hunderten Megabits pro Sekunde. Dann ist es wichtig, den Angriffstraffic sauber von regulären Internetzugriffen zu trennen. Bei zu vielen Anfragen ist eine Firewall schnell überlastet. DDoS-Filtercluster spezialisierter Schutzanbieter wie Link11 halten hingegen genügend Ressourcen vor, um auch großvolumige und lang anhaltende DoS-Attacken abzuwehren.
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
A simple visualization of how the Underground Cybercrime Economy cashes in on data and DDoS attacks. To learn more,…
9 Retweets 10
Mehr lesenHow to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0