Frankfurt, 21.09.2016 – Die Zahl der Cloud-Server, die für DDoS-Attacken missbraucht werden, steigt drastisch. Bei 32,3% der von Link11 abgewehrten DDoS-Angriffe in Deutschland, Österreich und der Schweiz konnte das Link11 Security Operation Center (LSOC) im Juli den Einsatz von Cloud-Servern nachweisen.(1) Im Januar diesen Jahres lag der Wert noch bei 2,1%.
Bei diesen 2,1% der Attacken kamen maßgeblich Server des Amazon Web Services (AWS) zum Einsatz. Innerhalb der Attacke waren sie für bis zu 61% des Angriffstraffics verantwortlich. Cloud-Server von Microsoft und Google wurden am Anfang des Jahres deutlich seltener missbraucht. Im Verlauf von sechs Monaten konnte das LSOC den kontinuierlichen Anstieg von Amazon- und Google-Servern als Quellen für DDoS-Angriffe nachweisen. DDoS-Angriffe aus der Cloud sind damit um den Faktor 16 gestiegen. Mit 32,3% wird inzwischen jede dritte Attacke unter Einsatz von Cloud-Servern ausgeführt. Der Anteil am Angriffstraffic variiert von Attacke zu Attacke. Im Juli lag der Anteil von Amazon-Servern bei vier DDoS-Attacken in der Spitze über 90%. Google Server kamen bei einer Attacke im Juli auf einen Maximalwert von 68%.
Jede Woche verzeichnet das LSOC mehrere DDoS-Attacken, bei denen Cloud-Server zu Angreifern werden. Die Schlagkraft der Angriffe wächst. Im Juni hat das LSOC einen DDoS-Angriff erkannt und mitigiert, der maßgeblich über Cloud-Server ausgeführt wurde. 776 der 815 involvierten Server konnte das LSOC zu der Google Cloud zurückverfolgen. Das sind 95,2% der angreifenden Server. Die Attacke – eine reine UDP Flood – erreichte eine Bandbreite von 11,7 Gbps und zielte auf eine Gaming-Plattform in Deutschland.
Statt Privatrechner und Firmen-Server zu hacken und zu DDoS-Botnetzen zusammenzuschließen, nutzen Angreifer zunehmend die Rechenleistung und Server-Kapazitäten bei Cloud-Anbietern, um ihre Attacken auszuführen. Dazu mieten sie immer häufiger unter falschem Namen und mit gestohlenen Kreditkartendaten Cloud-Server an oder nutzen Test-Accounts bei Hostern. Das LSOC weist darauf hin, wie leicht es ist, bei AWS bis zu 200 Server pro Account anzumieten. Mit 200 Cloud-Servern, die mit mind. 1 Gbps angebunden sind und reine UDP Floods ausführen, lassen sich nach Einschätzung des LSOC leicht Angriffsbandbreiten von mehr als 100 Gbps erzielen. Diese können durch Reflection-Vektoren wie NTP, DNS und SSDP weiter erhöht werden.
Wenn Angreifer Cloud-Server zur Durchführung von DDoS-Attacken einsetzen, machen sie sich nicht nur strafbar, sondern brechen auch die AGBs der Cloud-Anbieter. Sowohl das Amazon Web Services™ Customer Agreement als auch Googles Cloud Platform Acceptable Use Policy schließen die Anwendung für Flooding und Denial of Service ausdrücklich aus.
Die Praxis zeigt jedoch, dass sich DDoS-Angreifer durch entsprechende AGBs nicht davon abhalten lassen, Cloud-Server zur Ausführung von Attacken anzumieten. Da sie sich unter falschem Namen anmelden, lässt sich ihre Spur kaum zurückverfolgen.
Das LSOC erwartet, dass der Anteil der Cloud-Server an DDoS-Attacken weiter steigen wird. Bis Ende des Jahres 2016 könnte bei DDoS-Attacken schon jeder zweite angreifende Server aus der Cloud kommen. Bei gehackten Cloud-Rechnern fällt der veränderte Netzwerk-Traffic des Servers aber nur den wenigsten Cloud-Kunden auf. Das stellt ein wachsendes DDoS-Sicherheitsrisiko dar, über das sich IT-Sicherheitschefs von Unternehmen im Klaren sein müssen. Sie können DDoS-Angriffe aus der Cloud nicht verhindern, aber sie können dafür sorgen, dass sie keine Auswirkungen auf Verfügbarkeit und Performance der attackierten Infrastrukturen haben. Die zuverlässigste Lösung, um Unternehmen gegen Attacken aus der Cloud zu schützen, ist die Umleitung des Datenverkehrs über einen externen Schutzanbieter. So ein professioneller DDoS-Schutz verfügt über ein hochentwickeltes Scrubbing Center und die entsprechenden Ressourcen, um den unerwünschten Datenverkehr aus der Cloud herauszufiltern.
(1) Der Anteil der Cloud-Server musste dabei mind. 1% betragen.
