Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Security ConceptAm 14. Juni gelang es Imperva Incapsula, eine Distributed Denial of Service (DDoS) Attacke mit 470 Gigabits pro Sekunde (Gbps) abzuwehren - der größte Angriff, der bis heute aufgezeichnet wurde.

Während es diesem Angriff an der Raffinesse von DDoS-Bedrohungen fehlte, die das Unternehmen sonst in seinem Blog beschreibt, setzte dieser ein neues Zeichen im ewigen Tauziehen zwischen Unternehmen für Schadensminderung und Cyberkriminellen.

Beschreibung des Angriffs

Das Ziel war ein chinesisches Glückspielunternehmen. Die Attacke fand am 14. Juni statt und dauerte über vier Stunden. Das Unternehmen war auch von anderen großangelegten Angriffen betroffen, die täglich innerhalb einer Woche stattfanden und schließlich zum besagten Ereignis führten.

Imperva - einwöchiger DDoS-Angriff

Bild 1: Ein einwöchiger DDoS Angriff...

Vom ersten Moment an erreichte der Ausbruch dieser Attacke über 250 Gbps. Anschließend baute er sich über die folgenden Stunden langsam weiter auf und erreichte um 19:32 Uhr mit 470 Gbps den Höchstwert. Nachdem er diesen erreicht hatte, war der Angriffsverkehr rückl.ufig und trat innerhalb von 30 Minuten vollständig zurück.

Imperva - Höchstwert

Bild 2: …mit einem Höchstwert von 470 Gbps

Der Angriff war deutlich komplexer durch Netzwerkschicht-Vorgaben, gestützt durch eine Mischung aus neun verschiedenen Typen von Nutzdaten (Datenpaketen). Der Großteil des Verkehrs wurde zuerst von SYN-Nutzdaten erzeugt, dann durch typische UDP- und TCPNutzdaten. Derartige Neun-Vektor-Angriffe wurden sehr selten registriert. Relativiert man diese Ansicht, machte dies im 1. Quartal nicht mehr als 0,2% aller Netzwerkschicht-DDoS-Attacken gegen die Kunden von Imperva aus.

Für gewöhnlich haben Täter mit der Verwendung von Multi-Vektor-Angriffen das Ziel, zwischen verschiedenen Nutzdaten-Typen zu wechseln, um Schutzmechanismen zu umgehen. So war es auch in diesem Fall: Auf halbem Wege änderten die Täter ihre Vorgehensweise und erhöhten ihre Angriffs-Pakete pro Sekunde (pps)-Rate mithilfe kleinerer Nutzdaten. Als Ergebnis dieser Verlagerung stieg die Paketrate um 17:57 Uhr plötzlich an und erreichte bei ungefähr 110 Millionen Paketen pro Sekunde (Mpps) seinen Höchstwert, kurz bevor der Angriff ausklang.

Imperva - Packet per second Rate

Bild 3: Packet per second Rate steigt auf 80Mpps, bevor sie ihren Höhepunkt bei ~110 Mpps erreicht

Die Verwendung kleinerer Nutzdaten, um extrem hohe Paketübermittlungsraten zu erreichen, war eine beliebte Taktik bei vielen großen Angriffen, die der Sicherheitsexperte dieses Jahr abwehren konnte. Diese Vorgehensweise hilft den Tätern die Rechenleistung modernster Abwehrmechanismen zu reduzieren - eine ihrer größten Schwachstellen. Im 1. Quartal 2016 hat Imperva jeden vierten Tag einen 50+ Mpps-Angriff und jeden achten Tag einen 80+Mpps Angriff abgewehrt. Mehrere davon überstiegen 100 Mpps.

Angriffe abwehren

Mit über zwei Tbps Netzwerkkapazität und über 100 Gbps in vielen der 30 Datenzentren von Imperva sind die Fähigkeiten von Imperva Incapsula einen Angriff solch großen Ausmaßes abzuwehren zweifellos vorhanden. Die Herausforderung war es, einen Angriff dieser Größenordnung abzuwehren, ohne dass es Auswirkungen auf die Millionen von rechtmäßigen Besuchern hatte, die sich zu jener Zeit in dem Netzwerk des Unternehmens befanden. Um genau zu sein, war das Netops-Team in der Lage, diesen Angriffsverkehr zwischen 21 Datenzentren mit Anycast zu adressieren, indem sich alle Datenzentren an der Abwehr beteiligten, während gleichzeitig die hohen Kapazitätsspannen aufrecht erhalten wurden.

An diesen Orten wurde der Angriffsverkehr durch die Scrubbing Servers BH (Codename Behemoth) geleitet - jeder mit der Fähigkeit, bis zu 170 Gbps und 100 Mpps zu verarbeiten (und das ohne Verzögerungen). Durch Deep Packet Inspection (DPI) wurde der schädliche Datenverkehr von Impervas Scrubbing Algorithmus identifiziert, basierend auf Faktoren wie Protokolltyp, Länge des Inhalts und Quellen-IP. Untersuchungen dieses Datenverkehrs und einige andere Faktoren generierten ein Profil für bösartige Netzwerk-Pakete. Danach wurden alle Pakete, die in dieses Profil passten, automatisch herausgefiltert, bevor sie das Zielnetzwerk erreichen konnten. Wann immer die Angreifer ihre Muster änderten, justierte sich der Algorithmus neu, um neue gemeinsame Kriterien für die Filterung zu erkennen.

Die Kombination aus flexiblem Netzwerk-Management, leistungsfähiger Hardware und anpassungsfähiger Sicherheitssoftware blockierte den Angriff ohne Probleme. Der regelmäßige Datenfluss im Netzwerk hat weder größere Wellen geschlagen, noch wurde die tägliche Routine davon beeinflusst.

Unternehmen müssen Ruhe bewahren und sich um ausgeklügelte Abwehrmechanismen kümmern

Imperva hat mehrere DDoS-Gruppen gesehen, die um den Titel „größter DDoS Angriff aller Zeiten” wetteiferten. Die New World Hackers Gruppe, die BBC.com mit einem 600 Gbps Angriff attackierten, ist das bemerkenswerteste Beispiel. Wie sich später zeigte, waren diese übertriebenen Zahlen ein weiterer Versuch des FUD Marketings. Um zu verhindern, dass das Gleiche getan wird, möchte Imperva aus einem technischen Blickwinkel zeigen, dass es keine großen Unterschiede in der Abwehr von 300, 400 oder 500 Netzwerkschichten-Angriffen gibt. Es handelt sich um ähnliche Bedrohungen, und mit jeder von ihnen wird ähnlich verfahren. Große Angriffswellen sind nicht gefährlicher als kleinere. Alles was Unternehmen brauchen, ist ein effizienter Schutz gegen potenzielle Angreifer.

www.imperva.de

 
GRID LIST
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Jürgen Jakob

Anti-Malware & E-Mail Security nach wie vor unverzichtbar | Statement

Im digitalen Zeitalter sind die Sicherheitsbedrohungen für IT-Systeme zahlreich und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet