Inhalt
Größte Attacke des Jahres mit einer Bandbreite von 1,4 Tbps wurde erfolgreich abgewehrt
Im Oktober 2024 wurde Link11 mit einem der größten DDoS-Angriffe konfrontiert, die je im Link11-Netzwerk registriert wurden. Der Angriff erreichte Spitzenwerte von 1,4 Terabit pro Sekunde (Tbps) und 120 Millionen Paketen pro Sekunde (Mpps). Er basierte nicht auf ausgeklügelten Angriffstechniken, sondern auf schierer Masse. Trotz der enormen Last konnte die Attacke vollständig abgewehrt werden, sodass die Dienste des Kunden ohne Unterbrechung aufrechterhalten wurden.
Blick auf die Zahlen: Die schiere Menge des Angriffsvolumens
DDoS-Attacken in Europa werden häufiger. Angriffe solcher Größe werfen die Frage auf, wie sich Europa gegen DDoS-Angriffe wehren kann. Trotz mehr Netzkapazität bleiben volumetrische Angriffe beliebt.
Ein Angriff mit 1,4 Tbps entspricht der Datenlast, die durch das gleichzeitige Streaming von mehr als 300.000 HD-Videos verursacht wird. Ein solcher Datenfluss überlastet das Netzwerk und die Server-CPUs. DDoS-Abwehr muss heute automatisch und agil gestaltet sein, da Reaktionen in Echtzeit notwendig sind und manuelle Eingriffe oder reine Filterlösungen bei großen Datenmengen nicht mehr ausreichen.
Angriffsdetails: Eine komplexe Strategie
Der DDoS-Angriff wies eine Vielzahl von Angriffsvektoren auf, wodurch die Verteidigungsmaßnahmen erheblich erschwert wurden. Die Angriffsquelle umfasste insgesamt 859.756 einzigartige IP-Adressen, was auf eine starke Verteilung der Angriffsquellen hindeutet. Es ist davon auszugehen, dass eine Vielzahl von kompromittierten Geräten weltweit an dem Angriff beteiligt war. Diese Verteilung ist typisch für moderne DDoS-Angriffe, bei denen Cyberkriminelle häufig Botnetze aus IoT-Geräten oder unsicheren Home-Routern nutzen. In diesem Fall lag die primäre Herkunft des Datenverkehrs in den USA, gefolgt von China.
Traffic aufgeteilt nach Ländern
Die Aufschlüsselung der Angriffsvektoren stellt sich wie folgt dar:
- TCP (über 50 % des gesamten Angriffsvolumens): Die Verwendung zufällig ausgewählter Quellports und das gezielte Anvisieren des Zielports 80 (HTTP) lässt darauf schließen, dass die Angreifer versuchten, die Webdienste direkt zu überlasten.
- UDP (knapp 40 % des Volumens): Da UDP-Pakete in der Regel nicht verbindungsorientiert sind, eignen sie sich besonders gut für Angriffe. Sie können schnell und in großen Mengen gesendet werden, ohne dass eine vorherige Verbindung erforderlich ist.
- ICMP (etwa 5 % des Angriffsvolumens). ICMP-Pakete können zur Erkennung von Netzwerkverbindungen verwendet werden, was darauf hindeutet, dass die Angreifer möglicherweise versuchten, die Netzwerkinfrastruktur zusätzlich zu überlasten.
- GRE: (rund 5 % des Volumens): GRE-Tunnel werden häufig zur Datenübertragung über VPNs verwendet. Dies deutet darauf hin, dass Angreifer versuchen, GRE-Pakete als legitimen Dienst zu tarnen, Filter zu umgehen und ihre Angriffe effektiver zu gestalten.
Attack Traffic in Mbps
Dynamik der Angriffsstrategien
Die Dynamik der Angriffsstrategien war besonders bemerkenswert. Nach etwa vier Minuten wurde die Paketgröße der Angriffe signifikant reduziert. Dies ist eine taktische Variation, die Cyberkriminelle häufig verwenden, um die Abwehrmechanismen zu überlisten. Die anschließende Erhöhung der Paketgröße für die TCP- und UDP-Vektoren und die moderate Anpassung bei GRE beweisen, dass die Angreifer in Echtzeit ihre Strategien an die Abwehrmaßnahmen von Link11 anpassen.
Ein solch komplexes Angriffsszenario kann unweigerlich zu einer Überlastung der Netzwerkkapazität sowie der Server-CPU des Ziels führen. Ein erfolgreicher Angriff hätte zum kompletten Stillstand des digitalen Geschäftsbetriebs geführt. Für viele Unternehmen hätte das katastrophale Folgen gehabt. Der Angriffsverlauf zeigt deutlich, dass DDoS-Abwehrstrategien kontinuierlich optimiert und an die sich ändernden Bedrohungen angepasst werden müssen.
Einfache, aber effektive Angriffsstrategien
Die Schlichtheit der verwendeten Methoden – illegitime webbasierte Traffic-Verbindungen – beweist, dass die Angreifer noch immer häufig auf die am weitesten verbreiteten Internetdienstprotokolle und -ports abzielen. Diese Art von Angriffen bleibt trotz fortschrittlicherer Methoden unter Cyberkriminellen beliebt, da sie einfach zu generieren sind. Die Angreifer wissen genau, dass viele Zielsysteme nicht über die nötigen Kapazitäten verfügen, um mit solchen Angriffen umzugehen.
Auch die strategische Ausrichtung auf Home-ISP-Provider und die damit verbundenen Access/Eyeball-Netzwerke zeigt, wie Angreifer Schwachstellen im Internet nutzen. Indem sie solche Netzwerke infiltrieren, können sie Massenverkehr generieren, der in der Regel schwer zu identifizieren und zu blockieren ist.
Sie möchten Ihre Resilienz gegenüber Cyberangriffen erhöhen? Unsere Experten beraten Sie jederzeit gerne, wie Sie Ihre IT-Sicherheit optimieren können. Kontaktieren Sie uns für eine maßgeschneiderte Lösung.
IoT-Geräte und Schwachstellen – eine gefährliche Kombination
Die zunehmende Vernetzung von Geräten und das Internet der Dinge (IoT) haben das Bedrohungsumfeld verändert.
Viele Geräte sind anfällig für Angriffe, da sie ohne Sicherheitsmaßnahmen betrieben werden. Die Attacken beweisen, dass wir Sicherheitsstandards verbessern müssen. Die kürzlich entdeckte Schwachstelle CVE-2024-3080 verdeutlicht die Notwendigkeit, Sicherheitsstandards in der IoT-Industrie zu verbessern.
Sie kommt in bestimmten ASUS-Router-Modellen vor. Die „Authentifizierungs-Bypass“-Schwachstelle erlaubt Angreifern, sich Zugriff auf Router zu verschaffen, ohne gültige Anmeldedaten einzugeben. Normalerweise erfordert der Zugriff auf die Konfigurationsoberfläche eines Routers die Eingabe von Benutzernamen und Passwort. Bei dieser Schwachstelle können Angreifer jedoch den Authentifizierungsprozess umgehen. Ein kompromittierter Router wird zu einem Teil eines Botnetzes und missbraucht, um DDoS-Angriffe durchzuführen. Dies unterstreicht die Gefahren, die mit ungesicherten IoT-Geräten einhergehen.
Effektive Abwehr durch globale Scrubbing-Center
Um einer solchen Attacke zu begegnen, sind flexible Verteidigungsmechanismen unerlässlich. Link11 hat den Angriff dank seines globalen Netzwerks abgewehrt.
Jedes Scrubbing-Center konnte Datenströme analysieren und bösartige Daten herausfiltern. Die Scrubbing-Center in Europa haben einen Großteil übernommen. Die Verteilung der Daten auf verschiedene Standorte hat die Belastung effektiv verteilt. Die automatisierten Filter und adaptiven Algorithmen von Link11 waren dabei maßgeblich. Dank KI konnten wir illegitimen Traffic blockieren, während wir legitime Anfragen weiterverarbeiteten. So konnten wir die Abwehr ohne menschliches Eingreifen und ohne Auswirkungen auf die Systeme des Kunden durchführen.
Fazit
In einer Zeit, in der die Bedrohung durch Cyberangriffe ständig wächst, sollten Unternehmen robuste, skalierbare, automatisierte DDoS-Abwehrmechanismen implementieren, um sich vor Cyberbedrohungen zu schützen.
Automatisierte Systeme sind unerlässlich, um Angriffe in Echtzeit zu erkennen und zu neutralisieren. Die Komplexität und Dynamik der heutigen Angriffe erfordern intelligente Lösungen, die auf maschinellem Lernen basieren und sich an neue Bedrohungen anpassen können.
Mitarbeiter und Benutzer müssen im Umgang mit IoT-Geräten geschult und für Gefahren sensibilisiert werden. Zudem sind bewährte Sicherheitspraktiken und regelmäßige Updates zwingend notwendig, um Schwachstellen zu schließen und Angriffsvektoren zu reduzieren. Unternehmen müssen handeln und sich gegen die wachsenden Bedrohungen im Cyberraum rüsten.
Share this post
