Abo
  • Services:
Anzeige
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern.
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe)

Inkompetenz führt zu DDoS

Auch Inkompetenz im Einsatz von Anti-DDoS-Equipment spiele häufig eine Rolle. So habe ein Kunde nach Angaben von Ziono eine "glänzende, teure Box", die vor DDoS-Angriffen schützen sollte, in sein Netzwerk integriert. Anschließend habe er alle Geräte damit verbunden, auch das interne VoIP-Netz. Ein Angriff auf das zu Schutzzwecken eingesetzte Geräte führte dann zum Totalausfall aller Systeme. Nach Angaben von Ziono dauerte es mehr als sieben Stunden, bis das gesamte Equipment der Firma wieder einsatzbereit war. In dieser Zeit wären zahlreiche Transaktionen ausgefallen - der falsch eingesetzte DDoS-Schutz führte also nicht nur ins Leere, sondern verursachte sogar wirtschaftlichen Schaden.

Anzeige

In einem weiteren Fall arbeitete ein Unternehmen offenbar mit einer Sicherheitsfirma zusammen, der es nicht vertraute. Das Unternehmen sollte die ein- und ausgehenden Datenströme auf Anomalien untersuchen - bekam aber kein Zertifikat zur Entschlüsselung des Datenverkehrs. HTTPS-Verkehre konnten daher nicht untersucht werden und waren für Angriffe anfällig.

Auch der Einsatz von Content-Delivery-Netzwerken (CDN) wie Cloudflare ist offenbar beliebt, um DDoS-Angriffe abzuwehren. Es gibt statische und dynamische CDNs. Statische CDNs halten den gesamten Content eines Frontends vor und liefern diesen bei Bedarf aus. Ist die Kapazität eines Angriffes groß genug, können auch diese Netzwerke erfolgreich lahmgelegt werden. In der Regel hat die DDoS-Versicherung von Akamai und Co. eine Obergrenze an Traffic, bevor die Seite nicht mehr erreichbar ist. Bei dynamischen CDNs werden Daten, die nicht im CDN vorliegen, von der Quelle (Origin) angefordert. Gegen DDoS-Angriffe schützen sie nur bedingt - denn wenn ein Angreifer eine Seite anfordert, aber bestimmte Parameter verändert, wird die Quelle immer wieder erneut angefragt und kann daher unter Umständen lahmgelegt werden. Sind die Systeme nicht sauber konfiguriert, kann ein dynamisches CDN auch die Quelle verraten, selbst wenn diese unter einer zufällig erstellten Subdomain liegt. Denn wenn ein Angreifer nach anderen bekannten Subdomains für eine Seite sucht und die /24 bzw. /16-Netzwerke scannt, kann er die Quelle unter Umständen finden. Alternativ kann er in der Whois-Historie fündig werden.

Netzwerk blockiert sich selbst

Der größte von Ziono beschriebene Fehler führte bei einem Test zu einem selbst verschuldeten DDoS. Ein Kunde, der seinen Schilderungen nach im staatlichen Sektor Israels zu vermuten ist, blockte einfach alle verdächtigen IP-Adressen. Dabei blockte er nicht nur die individuelle, verdächtige IP, sondern ganze Blöcke. Das nutzten die Sicherheitsforscher aus und sendeten dem Kunden eine große Menge gut erkennbarer TCP-Syn-Anfragen unter gespooften IP-Adressen - die vorgaben, aus dem Netz des Kundens selbst zu kommen. Innerhalb von 15 Minuten legte sich das Netz des Kunden somit selbst lahm.

 Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

eye home zur Startseite



Anzeige

Stellenmarkt
  1. Syna GmbH, Frankfurt am Main
  2. T-Systems International GmbH, verschiedene Standorte
  3. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg
  4. Allianz Deutschland AG, München-Unterföhring


Anzeige
Spiele-Angebote
  1. 6,49€
  2. 69,99€ (Release 31.03.)
  3. (-90%) 1,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  2. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  3. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  4. Funkchips

    Apple klagt gegen Qualcomm

  5. Die Woche im Video

    B/ow the Wh:st/e!

  6. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  7. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  8. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  9. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  10. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

  1. Re: und nun?

    GenXRoad | 00:25

  2. Re: Nur zu 50% versichert

    My1 | 00:22

  3. Re: Die man sich nicht leisten kann...

    GenXRoad | 00:20

  4. Re: Wer mietet denn eine PS4?

    GenXRoad | 00:18

  5. Soo viele Firmen..

    Vielfalt | 00:00


  1. 16:49

  2. 14:09

  3. 12:44

  4. 11:21

  5. 09:02

  6. 19:03

  7. 18:45

  8. 18:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel