Deutschland immer stärker im Fadenkreuz von DDoS-Angriffen

Bei der Leistungsstärke von DDoS-Angriffen hat es in den ersten drei Monaten des Jahres möglicherweise einen neuen Rekord gegeben. Außerdem bedienen sich Cyberkriminelle offenbar wieder vermehrt der in den letzten Jahren weniger genutzten HTTP-DDoS-Angriffsmethode. Zudem zielen die Kriminellen nun stärker auf Europa ab, auch Deutschland gerät zunehmend ins Visier. Das geht aus dem aktuellen Bericht von Kaspersky Lab zum ersten Quartal 2016 im Bereich DDoS-Attacken hervor.

Kaspersky Lab zufolge sind DDoS-Attacken, die sich Methoden wie der Verstärkung (Amplifikation) solcher Angriffe bedienen, nach wie vor aktuell und ermöglichen es Angreifern, immer neue Rekorde in puncto maximale Durchschlagskraft aufzustellen. So fänden die Cyberkriminellen immer wieder neue Möglichkeiten und Ressourcen, um die Leistungsstärke ihrer Botnetze auszubauen. Das Sicherheitsunternehmen bezieht sich dabei auf einen kürzlich veröffentlichten Expertenbericht, laut dem 2015 mit 450 bis 500 GBit/s Bandbreite ein neuer Rekord hinsichtlich der Leistungsstärke von DDoS-Attacken erreicht wurde.

Verteilung der DDoS-Attacken nach Ländern, erstes Quartal 2016 und viertes Quartal 2015 (Grafik: Kaspersky Lab)

Kaspersky Lab schätzt jedoch, dass dieser Rekord womöglich schon wieder überboten wurde. Gleich zu Beginn diesen Jahres waren die offiziellen Ressourcen der BBC sowie die offizielle Webseite der Vorwahlkampagne des US-Präsidentschaftskandidaten Donald Trump einer DDoS-Attacke ausgesetzt, die nicht bestätigten Quellen zufolge mit 602 GBit/s vorgetragen wurde. Die Hackergruppe “New World Hacking” bekannte sich zu diesem Angriff.

Zur Umsetzung von DDoS-Attacken sollen die Kriminellen immer häufiger das DNSSEC-Protokoll nutzen. Laut Kaspersky Lab besteht dessen eigentliche Aufgabe darin, die Angriffe zu minimieren, die auf den Austausch der DNS-Adresse ausgerichtet sind. Eine Standardantwort über das DNSSEC-Protokoll enthalte neben Daten über die Domain zusätzliche Authentifizierungsinformationen. Daher sei eine DNSSEC-Antwort – im Gegensatz zu einer Standard-DNS-Antwort mit einem Umfang von 512 Byte – um die 4096 Byte groß. Cyberkriminelle nutzten diese Besonderheit zur Umsetzung von DDoS-Verstärkungsangriffen aus. Hauptsächlich verwendeten sie dazu Regierungsdomains (.gov), da diese in den USA per Gesetz DNSSEC unterstützen müssen.

DDoS-Angriffsarten

Im Allgemeinen sei die Zahl der Verstärkungsattacken gegenüber dem Vorjahr etwas zurückgegangen, dafür habe sich ihre Durchschlagskraft vervierfacht. Die Verbrecher sind nach Angaben von Kaspersky Lab offenbar gezwungen, an Leistungsstärke zuzulegen, um die Schutzmaßnahmen seitens der Internet-Provider und IT-Sicherheitsfirmen zu überwinden.

Verteilung der DDoS-Attacken nach Typen (Grafik: Kaspersky Lab)

Anders als bei den Amplifikationsattacken konnten die Kaspersky-Sicherheitsforscher im ersten Quartal 2016 einen Anstieg an Angriffsmethoden beobachten, die in den vergangenen Jahren etwas an Popularität eingebüßt hatten, darunter vor allem Angriffe auf Anwendungsebene. Allein im ersten Quartal dieses Jahres hat der Sicherheitsanbieter ein Vielfaches mehr an HTTP(s)-Attacken notiert als im gesamten Jahr 2015.

Zudem sei eine klug organisierte Attacke auf Anwendungsebene nur schwer abzuwehren, ohne gleichzeitig auch rechtmäßigen Nutzern den Zugriff zu sperren. Die schädlichen Bot-Anfragen sollen vertrauenswürdig aussehen, einzig die hohe Belastung des Dienstes ist demnach ungewöhnlich. Kaspersky Lab zufolge zeugt das davon, dass sich der DDoS-Markt so weit entwickelt hat, dass sich in der Durchführung komplizierte und kostspielige Angriffe inzwischen wirtschaftlich lohnend sind.

Demgegenüber geht Kaspersky Lab davon aus, dass die seit Jahren in der Szene populären UDP-Verstärkungsangriffe bald der Vergangenheit angehören werden. Denn obwohl deren Sicherheitslösung Kaspersky DDoS Prevention auch im ersten Quartal 2016 wie gehabt UDP-Verstärkungsangriffe abgewehrt habe, sei die “scheinbar unlösbare Aufgabe”, Internetprovider und Sicherheitsspezialisten zu koordinieren, um den von UDP-Attacken verursachten Junk-Traffic zu filtern, nun praktisch gelöst.

Die Provider hätten sich mittlerweile mit der notwendigen Ausrüstung und den erforderlichen Kompetenzen ausgestattet, um der Verstopfung ihrer Datenkanäle durch einen massiven Strom von großen UDP-Paketen zu begegnen. Angesichts dessen werde eine Verstärkungsattacke auf diese Kanäle immer weniger effektiv. Dies macht sich den Sicherheitsforschern zufolge schon daran bemerkbar, dass der Anteil der UDP-DDoS-Angriffe seit einem Jahr zurückgeht. Seit dem zweiten Quartal 2015 sei ihr Anteil auf ein Zehntel gefallen – von 11,1 auf 1,5 Prozent.

Zu den derzeit verbreitetsten DDoS-Angriffsarten zählen neben HTTPS-DDoS mit einem Anteil von 13,6 Prozent vor allem SYN-DDoS und TCP-DDoS. Ersteres wird, trotz eines leichten Rückgangs im ersten Quartal 2016 von 57 auf 54,9 Prozent, nach wie vor am häufigsten eingesetzt. TCP-DDoS folgt mit einem Anteil von 21,1 Prozent.

Verteilung der DDoS-Angriffe

Verteilung der DDoS-Attacken nach Dauer (Stunden)

Aus dem Quartalsbericht von Kaspersky Lab geht weiterhin hervor, dass sich Botnetz-basierende DDoS-Attacken im ersten Quartal 2016 gegen Ziele in 74 Ländern richteten, während es im letzten Quartal 2015 noch 69 waren. An der Spitze der DDoS-Angriffsstatistik finden sich sowohl was die Zahl der registrierten Attacken als auch die Anzahl der von DDoS-Attacken betroffenen Opfer angeht, wie schon im Vorquartal China (55,4 Prozent), Südkorea (20,4 Prozent) sowie die USA (9 Prozent). In diesem Quartal sind allerdings auch europäische Länder unter den ersten Zehn vertreten, darunter Frankreich und Deutschland (jeweils 0,8 Prozent).

Einen deutlichen Zuwachs verzeichnete Europa im ersten Quartal auch bei der Zahl der dort befindlichen Befehlsserver zur Steuerung der Botnetze. Ein Anstieg ist demnach insbesondere in Großbritannien (1,4 Prozent) und Frankreich (1,2 Prozent) zu beobachten. Letzteres ist damit zum ersten Mal überhaupt in der Kaspersky-Lab-Statistik vertreten.

Weltweit standen allerdings auch im ersten Quartal 2016 die meisten Botnetz-Steuerungsserver wieder in Südkorea. Der Anteil des Landes stieg erneut, von 59 Prozent im vorangegangenen Berichtszeitraum auf 67,6 Prozent im ersten Vierteljahr 2016. Den zweiten Platz belegte China, dessen Anteil von 8,3 Prozent auf 9,5 Prozent anstieg. Es überholte damit die USA (6,8 Prozent im ersten Quartal 2016 nach 11,5 Prozent im vierten Quartal 2015).

Grundsätzlich bleibt die Verteilung von DDoS-Angriffen hinsichtlich ihrer Dauer gegenüber dem vorangegangenen Berichtszeitraum unverändert. So sollen Kaspersky Lab zufolge rund 70 Prozent der Attacken auf kurze Aktionen mit einer Dauer von vier Stunden und weniger entfallen. Die maximale Angriffsdauer ging deutlich zurück. Während im letzten Quartal des Vorjahres noch eine Attacke registriert wurde, die 333 Stunden andauerte, so endete die längste von Kaspersky Lab im ersten Quartal 2016 identifizierte Attacke nach 197 Stunden.

Auffällig war im ersten Quartal 2016 auch die Tatsache, dass die Zahl der DDoS-Attacken, die von Windows-Botnetzen ausgehen, die der Linux-basierenden Botnetze überflügelt hat. So liegt der Anteil Letzterer inzwischen bei lediglich 44,5 Prozent gegenüber 54,8 Prozent im Vorquartal. Auf Windows-basierende Botnetze entfällt jetzt dagegen ein Anteil von 55,5 Prozent (viertes Quartal 2015: 45,2 Prozent).

Loading ...
Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

23 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago