Erstmals DDoS-Angriff mit 400 GBit/s in Europa gemeldet

CloudFlare zufolge nutzten die Angreifer eine Methode, die das Network Time Protocol mit einer vielfach verstärkten Wirkung verwendet. Bereits im Januar warnte US-CERT vor DDoS-Attacken dieser Art. Der bislang größte Angriff war im März 2013 gegen Spamhaus gerichtet.

Ein DDoS-Angriff bislang unerreichten Ausmaßes richtet sich gegen einen europäischen Kunden von CloudFlare, meldet das Unternehmen. Er soll bis zu 400 GBit pro Sekunde erreicht haben. Der bisherige Rekord lag bei 300 GBit/s und hatte im März 2013 Spamhaus im Visier.

Cyberattacken_mittelstandDas Content Delivery Network CloudFlare, das sich auch als Sicherheitsanbieter versteht, weist darauf hin, dass für den Angriff eine neue Methode genutzt wurde, die das Network Time Protocol (NTP) mit vielfach verstärkter Wirkung verwendet. “Sehr große NTP-Reflection-Attacke trifft uns genau jetzt”, machte CloudFlare-CEO Matthew Prince mit einem Tweet bekannt. “Scheint größer als die #Spamhaus-Attacke vom letzten Jahr zu sein. Wir schwächen sie ab.” In einem folgenden Tweet dramatisierte er weiter: “Jemand hat eine große neue Kanone. Hässliche Dinge kommen auf uns zu.”

Auch das Internet Storm Center entdeckte eine Attacke von offenbar beträchtlicher Größe ausgehend von verborgenen Quellen. Bereits im Januar warnte US-CERT (United States Computer Emergency Readiness Team) vor der neuen Angriffsmethode der “NTP Amplification Attacks”, nachdem sie erfolgreich gegen Gaming-Netzwerke verwendet wurde.

Für die DDoS-Angriff kam das NTP-Protokoll zum Einsatz. Es dient dem Zeitabgleich im Internet. Mit gefälschter Absenderadresse fragen die Angreifer dabei NTP-Server nach Daten ab – und umfangreiche Antworten gehen an die tatsächlichen Angriffsziele, von denen berechtigte Abfragen zu kommen schienen. “Da die Antwort typischerweise viel größer ausfällt als die Abfrage, kann der Angreifer das Volumen des Traffics verstärken, der auf das Opfer zielt”, heißt es in der Warnung von CERT. “Weil die Antworten legitime Daten sind, die von zulässigen Servern kommen, ist es besonders schwierig, diese Art von Angriffen abzublocken.”

Solche NTP-Angriffe sind dem Sicherheitsforscher Johannes Ullrich vom Sans Institute zufolge weit effektiver als DNS-Amplification-Attacken, die bereits 20- bis 50-fach verstärken. Ein NTP-Amplification-Angriff wie der von CloudFlare gemeldete könne sogar eine Verstärkung um den Faktor 500 bewirken.

Nach Aussagen von Matthew Prince machte sich der Angriff zwar weltweit bemerkbar, führte aber nur zu einer Verlangsamung im europäischen Netzwerk von CloudFlare. Den Namen des betroffenen Kunden nannte er nicht. Über die Angreifer ist ihm nichts bekannt. “Wir haben keine Informationen darüber, von wem der Angriff ausging und was seine Motivation dafür war.”

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de