Abo
  • Services:
Anzeige
Das Mirai-Botnetz - von Cloudflare analysiert
Das Mirai-Botnetz - von Cloudflare analysiert (Bild: Jack Guez/Getty Images)

DDOS: Was Cloudflare vom Mirai-Botnetz sieht

Das Mirai-Botnetz - von Cloudflare analysiert
Das Mirai-Botnetz - von Cloudflare analysiert (Bild: Jack Guez/Getty Images)

Cloudflare hat sich die aktuellen DDoS-Angriffe genauer angeschaut - und berichtet, dass einige Angriffe 1,75 Millionen HTTP-Anfragen pro Sekunde erzeugen.

Der Anbieter von Anti-DDoS-Lösungen Cloudflare hat eine Analyse des IoT-Botnetzes Mirai veröffentlicht. Demnach produzieren die Angriffe bis zu 1,75 Millionen HTTP-Aufrufe pro Sekunde, um Webseiten und Server lahmzulegen.

Anzeige

Der Quellcode des IoT-Botnetzes, das unter anderem das Blog des Journalisten Brian Krebs angegriffen hatte, wurde vor einer Woche veröffentlicht, was genauere Rückschlüsse auf die Zusammensetzung der genutzten Geräte zulässt. Offenbar handelt es sich bei einem großen Teil um Kameras, die unsichere Standardlogins verwenden.

Nach Angaben von Cloudflare kommen die Angriffe aus den Netzen zahlreicher Internet Service Provider, insgesamt sollen mehr als 300 autonome Systeme beteiligt gewesen sein. Die größten unter ihnen stammen demnach aus Vietnam, China und der Ukraine.

Auch Angriffe mit wenig Bandbreite sollen effektiv sein

Ungewöhnlich sei, dass die Angriffe durch das Mirai-Botnetz nicht wie klassische, volumetrische Angriffe auf Osi-Layer 3/4 setzen, sondern auf Layer 7, also die Anwendungsschicht. Dadurch seien auch Angriffe mit einer theoretisch kleineren Bandbreite effektiv, schreibt Cloudflare.

Während der Angriffe würden HTTP-Pakete gesendet, die einen besonders langen Payload mitbrächten, der dann vom Server erst einmal verarbeitet werden müsse. Als Beispiel nennt Cloudflare "a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=&a[]=&b[]=... ". Diese Anfragen kämen sowohl als Get als auch als Post-Request. Während einer konkreten Attacke, die rund eine Stunde lang angedauert habe, seien insgesamt etwa 128.000 IP-Adressen verwendet worden. Auch in diesem Fall waren die autonomen Systeme vor allem in Vietnam und in der Ukraine beheimatet.

Auch anhand der eigenen Daten geht Cloudflare davon aus, dass es sich bei den gehackten Geräten um unsichere IoT-Devices handelt. Die meisten der Geräte hätten entweder einen offenen Port 23 (Telnet) gehabt, der die Verbindung sofort wieder schließt, oder aber einen deaktivierten Port 23, der Traffic sei jedoch nie gefiltert. Dies sei vermutlich durch die Malware geschehen.

Außerdem hätten zahlreiche Geräte Statusseiten, die auf IP-Kameras hindeuteten - etwa die Login-Seite für "NetSurveillance Web".


eye home zur Startseite
ObjectID 12. Okt 2016

Ja, aber ich habe fail2ban im Einsatz damit begrenzen sich die Anfragen auf 18 Versuche...

My1 12. Okt 2016

komisch dass der editbutton net geht, es sollte "gesichert" sein.

ObjectID 12. Okt 2016

Naja, die TCP Verbindung wird vom Betriebssystem ausgehandelt, wenn diese offen ist wird...

ObjectID 12. Okt 2016

Tolle Idee... Man könnte auch einfach verbieten das Geräte mit Standard Login und ohne...



Anzeige

Stellenmarkt
  1. ifb KG, Seehausen am Staffelsee
  2. Daimler AG, Sindelfingen
  3. Dataport, Hamburg
  4. über Hays AG, Hannover


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. 179,00€ + 1,99€ Versand
  3. 81,50€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Beta 1

    MacOS Sierra 10.12.4 mit Blaulichtfilter als Nachtmodus

  2. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  3. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  4. DirectX 12

    Microsoft legt Shader-Compiler offen

  5. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  6. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  7. Innogy

    Telekom will auch FTTH anmieten

  8. Tissue Engineering

    3D-Drucker produziert Haut

  9. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  10. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Prozessoren Termin für Kaby Lake-X und Details zu den Kaby-Lake-Xeons
  2. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  3. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation

  1. Re: Ehrlich gesagt...

    divStar | 22:24

  2. Re: Chinesische Raumfahrt

    mnementh | 22:23

  3. Re: Ihr macht mir echt Angst. Ich bin empört.

    FreiGeistler | 22:22

  4. Re: "Ich würde es zudem begrüßen, wenn vor allem...

    DerDy | 22:21

  5. Re: Voice-over-LTE - wie soll das gehen?

    Jakelandiar | 22:20


  1. 22:16

  2. 18:21

  3. 18:16

  4. 17:44

  5. 17:29

  6. 16:57

  7. 16:53

  8. 16:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel