Get best of the week

Denial-of-Service-Typ: Wie DDoS voranschreitet

Gutes altes DDoS ... Jedes Jahr analysieren wir, wie sich dieses Segment der Cyberkriminalität verändert, und nach den Ergebnissen der Vergangenheit und zu Beginn dieses Jahres stellen wir fest, dass die Anzahl solcher Angriffe um mehr als das 1,5-fache gestiegen ist. Während dieser Zeit erhöhten Angreifer die Angriffskraft erheblich und änderten die Taktik. Außerdem ist DDoS noch zugänglicher geworden: Gemessen daran, wie stark die Anzahl der Angriffe auf Bildungsressourcen und verschiedene "elektronische Tagebücher" in letzter Zeit zugenommen hat, entdeckt der Schulhacker zunehmend die Welt von DDoS. In diesem Beitrag werden wir über die DDoS-Angriffe sprechen, die wir 2019 und Anfang 2020 aufgezeichnet haben, und darüber, wie sich DDoS in letzter Zeit verändert hat.



Schnell und kraftvoll


Hacker beschleunigten. Angriffe mit geringem Stromverbrauch, die mehrere Tage dauern, sind für sie jetzt uninteressant. Beispielsweise dauerte der längste Angriff im Berichtszeitraum etwa einen Tag (ein Jahr zuvor haben die Angreifer den Server 11 Tage und 16 Stunden lang „gefoltert“).

Natürlich haben die Angreifer ihren Griff nicht gelockert - im Gegensatz zur Dauer nahm die Stärke von DDoS-Angriffen zu. Der stärkste Angriff der letzten Zeit wurde mit einer Intensität von 405 Gbit / s durchgeführt. Dies ist natürlich etwas niedriger als der Rekordangriff des Modells 2018 (450 Gbit / s) für das Rostelecom-Netzwerk, aber im Durchschnitt sind die DDoS-Leistungsindikatoren immer noch gestiegen. Die Änderung der Hacker-Taktik kann durch die Tatsache erklärt werden, dass während des Angriffs Botnets, die ein wertvolles Gut sind, von Verteidigern aufgedeckt werden können. Nach der Neutralisierung des Angriffs werden Botnet-Adressdaten im Rahmen des Informationsaustauschs anderen Betreibern zur Verfügung gestellt, und das Botnet ist nicht mehr geeignet. Wenn Sie das Opfer schnell mit einer starken Welle von Anfragen angreifen, hat der Anti-DDoS-Dienst einfach keine Zeit, die schwarze Liste zu füllen.

DDoS Technologies - Arsenal Neu


Um Sprints mit Explosionen von Störverkehr durchzuführen, benötigen Sie eine gute technische Basis. Und in letzter Zeit haben Angreifer es gut gepumpt. Wir machten auf die Entstehung neuer leistungsstarker Verstärker aufmerksam, die bei DDoS-Angriffen aktiv eingesetzt wurden.

Erstens handelt es sich um das UDP-basierte Apple Remote Desktop-Protokoll (UDP-Port 3283), dessen Verstärkungsfaktor 35,5: 1 (Netscout-Daten) beträgt. Apple Remote Desktop ist eine Remoteverwaltungsanwendung für MacOS Workstations. ARMS (Apple Remote Management Service) greift auf einen UDP-Port zu, der auf Workstations unter macOS immer geöffnet ist, wenn der Remote Management-Modus aktiviert ist, auch wenn er mit den Sicherheitseinstellungen in der Firewall in Konflikt steht. Heute sind über 16.000 Computer mit MacOS und offenem UDP-Port im globalen Netzwerk registriert.

Außerdem verwenden Cyberkriminelle aktiv das in IoT-Lösungen verwendete WS-Discovery-Protokoll (Web Services Dynamic Discovery). Sein Verstärkungsfaktor beträgt 500: 1. Wie Apple Remote Desktop überträgt WS-Discovery Pakete mithilfe des UDP-basierten Protokolls, mit dem Hacker Paket-Spoofing (IP-Adress-Spoofing) verwenden können. BinaryEdge zählte im Internet etwa 630.000 Geräte mit dieser Sicherheitsanfälligkeit (Daten für September 2019). Nutzen Sie den Vorteil - ich will nicht!

Vergessen Sie nicht eines der wichtigsten Tools für DDoS - Botnets von IoT-Geräten. Der stärkste von uns aufgezeichnete Smart Attack war 2019: 178 Mpps trafen eine der Wettfirmen. Angreifer verwendeten ein Botnetz von 8.000 realen Geräten: Heimrouter, Kameras und andere IoTs sowie Mobiltelefone. Ich möchte den Druck nicht erhöhen, aber es besteht ein klares Gefühl, dass 5G und IPv6 uns neue "Rekorde" bringen werden.

Beliebteste Angriffsarten


Im Allgemeinen ist die beliebteste Methode für DDoS-Angriffe immer noch die UDP-Flut - etwa 32% des gesamten Angriffsvolumens. An zweiter und dritter Stelle - SYN-Flut (27,4%) und Angriffe mit fragmentierten Paketen (14,2%). Nicht weit von den Marktführern entfernt sind DNS-Amplifikationsangriffe (13,2%).

Angreifer experimentieren auch mit den derzeit selten verwendeten Protokollen 16 (CHAOS) und 111 (IPX over IP). Solche Angriffe sind jedoch eher eine Ausnahme: Diese Protokolle werden von Clients im wirklichen Leben nicht verwendet und können leicht erkannt und gelöscht werden, wenn Angriffe unterdrückt werden.

Unter den ungewöhnlichen Angriffen des letzten Jahres ist das sogenannte „Teppichbombardement“ zu verzeichnen. Sie zeichnen sich dadurch aus, dass sie Ziele im Adressraum des Opfers sprengen und nach den am stärksten gefährdeten suchen. Dies erschwert die Erkennung und Bekämpfung solcher Angriffe im IP-Schutzmodell, wenn nur einzelne IP-Adressen und nicht die gesamte Internetinfrastruktur geschützt sind. Die massivsten von uns aufgezeichneten „Teppichbomben“ umfassten fast dreitausend Ziele - jede Adresse aller Netzwerke eines Kunden wurde ausprobiert.

Vor kurzem begannen Angreifer, verschiedene Arten von Angriffen zu kombinieren. Ein Beispiel für einen solchen DDoS-Cocktail ist die SYN + ACK-Reflexion. Bei dieser Art von Angriff werden öffentliche Ressourcen von Drittanbietern verwendet, an die ein SYN-Paket mit einer gefälschten Opferadresse als Quelle gesendet wird. Server von Drittanbietern antworten mit einem SYN + ACK-Paket auf ein Opfer, dessen TCP-Stapel unter der Verarbeitung von Paketen leidet, die außerhalb einer Sitzung ankommen. Wir beobachteten eine Situation, in der beide Parteien - sowohl das Opfer als auch die zur Reflexion verwendeten Ressourcen Dritter - unsere Kunden waren. Für das erstere sah es aus wie SYN + ACK-Reflexion, für das letztere als SYN-Flut.

Neue und alte Opfer


Die ersten beiden Worte zu unserer Methodik. Da diese Studie auf Daten zu Angriffen gegen Kunden des Rostelecom Anti-DDoS-Dienstes basiert, bilden wir bei der Ermittlung der am stärksten angegriffenen Branchen zwei analytische Schichten:

  1. einfache Verteilung der Gesamtzahl der registrierten Angriffe durch die Industrie,
  2. durchschnittliche Zunahme der Anzahl der Angriffe pro Branchenkunde. Dieser Indikator eliminiert den möglichen Fehler, der mit einer Zunahme der Anzahl von Kunden aus einer bestimmten Branche (und folglich einer Zunahme der Anzahl aufgezeichneter Angriffe) verbunden ist.

Was haben wir gesehen?

Nach Branchen


Wie oben erwähnt, nimmt die Anzahl der DDoS-Angriffe zu. Selbst die Schließung einer Reihe bedeutender Stressfaktoren und tatsächlich Dienste zur Organisation von DDoS (Quantum Stresser, ExoStress.in, QuezStresser.com usw.) haben keinen Einfluss auf diese Dynamik. DDoS ist immer noch billig und einfach genug. Der Höhepunkt der Angriffe ereignete sich im Oktober 2019, als sich die Online-Shops auf den Black Friday vorbereiteten. DDoS wurde zu dieser Zeit zur gleichen Tradition wie „Rabatte bis zu 90%“. Gleichzeitig werden große Marktteilnehmer mit gezielten Multi-Vektor-Angriffen angegriffen - ganz sicher.

Die Spielebranche ist nach wie vor führend bei DDoS: Sie machte 34% der Gesamtzahl der Angriffe aus (gegenüber 64% im Jahr 2018). Dies bedeutet nicht, dass Hacker das Interesse an Spielen verloren haben - die Anzahl der Angriffe auf das Segment hat nicht abgenommen, aber aufgrund des Auftretens neuer Opfer ist der Anteil dieser Branche „erodiert“.

Trotzdem bleibt der eSport insgesamt ein Leckerbissen. Spielprotokolle verwenden UDP als Transportmittel. Dies ermöglicht nicht nur das Ersetzen der Absenderadressen, sondern erschwert auch das Verfolgen von Sitzungen. Im Berichtszeitraum haben wir zwei Haupttypen von DDoS-Angriffen auf Anwendungsebene auf Spieleservern beobachtet. Die erste erreicht ihre Unzugänglichkeit, indem sie eine große Anzahl von Paketen sendet, die für einen Schutzdienst eines Drittanbieters wie legitime aussehen. Der Schutz vor solchen Angriffen basiert auf der Profilerstellung für legitimen Datenverkehr und Maßnahmen wie Regexp und Challenge-Response.

Der zweite Typ ist mit der Ausnutzung identifizierter Schwachstellen in Spielprotokollen und -plattformen verbunden. In diesem Fall erfordert ein proaktiver Schutz eine andere Geräteklasse - die Firewall für Spieleanwendungen. Große Spiele-Hosting-Unternehmen und Hersteller versuchen, die Server zu schützen, indem sie verschiedene Prüfungen in ihre Client-Programme einbetten und sie mit unabhängig entwickelten Schutzsystemen verknüpfen.

Telekommunikationsunternehmen belegten den zweiten Platz in der Beliebtheit, ihr Anteil am gesamten Angriffsvolumen stieg deutlich: von 10% auf 31%. In der Regel handelt es sich dabei um kleine regionale ISPs, verschiedene Hosting- und Rechenzentren, die nicht über die Ressourcen verfügen, um mächtige Angriffe abzuwehren, sodass sie ein leichtes Opfer für Hacker werden.

Neben der Telekommunikation machten Angreifer auf Bildungseinrichtungen und den öffentlichen Sektor aufmerksam. Zuvor betrug ihr Anteil am Gesamtvolumen der DDoS-Angriffe 1% bzw. 2%, stieg jedoch im Laufe des Jahres für jedes Segment auf 5%. Wir führen dies auf die Digitalisierung und die Einführung eigener Internetressourcen zurück, von denen die Aktivitäten solcher Organisationen zunehmend abhängen, insbesondere in der Zeit der Selbstisolation.

In anderen Sektoren ohne wesentliche Änderungen:



Angriffe pro Client


Der durchschnittliche Anstieg der Anzahl der Angriffe pro Client hat sich erheblich beschleunigt. Wenn es 2018 21% waren, dann erreichte es nach den Ergebnissen von 2019 und Anfang 2020 58%. Der größte Anstieg der Anzahl der Angriffe pro Kunde wurde von Bildungseinrichtungen verzeichnet - 153%. Dies sind elektronische Tagebücher, Websites mit Aufgaben und Tests - alles, was die Schüler daran hindert, das Leben zu genießen. Es ist möglich, dass die Initiatoren solcher Angriffe häufig die Hacker der Mutter sind, die Schüler selbst, was erneut die Einfachheit der Organisation von DDoS auf unsicheren Ressourcen wie beispielsweise Schulstandorten beweist.

Das Wachstum von Angriffen auf einen Client:


Was ist zu tun


Die Anzahl der DDoS-Angriffe wird zunehmen, neue Verstärker, Angriffsarten und natürlich neue Ziele für Angreifer werden angezeigt. Aber wie Newtons drittes Gesetz sagt,
gibt es Widerstand gegen jede  Handlung.

DDoS-Präventionsmethoden sind bekannt - es besteht der Wunsch, dieses Problem endgültig anzugehen. Um keine IoT-Botnets zu erstellen: Beseitigen Sie Schwachstellen auf allen Ihren Geräten rechtzeitig, steuern Sie die Ports und verwenden Sie kein IPv6.

So konfigurieren Sie den Schutz unter den Bedingungen sich schnell ändernder Angriffsmethoden: Verwenden Sie vorbereitete Optionen, um bestimmten Arten bekannter Angriffe entgegenzuwirken und Ihre Infrastruktur regelmäßig zu überprüfen.

Im Allgemeinen ist ersichtlich, dass aktuelle Probleme im Bereich DDoS irgendwie miteinander verbunden sind. Daher ist es notwendig, Anwendungen und Infrastruktur, insbesondere das geschäftskritische Segment, in verschiedenen Phasen der Filterung umfassend zu schützen.

More articles:


All Articles