Anzeige
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern.
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe)

Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern.
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe)

Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.

Der Sicherheitsforscher Moshe Ziono hat auf dem Hackerkongress 32C3 gezeigt, wie man einen DDoS-Angriff (Distributed Denial of Service) nicht verhindert. Ziono berichtete in einem Vortrag von zahlreichen Beispielen aus der Praxis, bei denen Kunden sich auf teils obskure Sicherungsmechanismen verließen, die ihnen in einem Test zum Verhängnis wurden.

Anzeige

Ziono arbeitet für eine Firma, die die DDoS-Resilizenz von Systemen testet. Viele der Kunden stammen aus dem Finanzumfeld, sind also in der Regel recht große Unternehmen. Alle genannten Beispiele stammen Zionos Angaben zufolge aus der Praxis, die Namen der Kunden wurden selbstverständlich nicht genannt. Zu Testzwecken benutzt das Unternehmen ein eigenes Botnetz, das Ziono als "so legitim wie möglich" beschrieb.

Webseite unbemerkt offline

In einem Fall attackierten die Sicherheitsforscher das System der Kunden - und legten die Seite innerhalb kurzer Zeit lahm. Doch die Monitoring-Systeme zeigten nach mehreren Traffic-Peaks keine ungewöhnlichen Meldungen an - und keiner schlug Alarm, obwohl die Seite weiterhin nicht erreichbar war. Der Grund dafür war trivial: Alle Systeme des Unternehmens liefen auf einem Server - der DDoS-Angriff hatte nicht nur die Webseite lahmgelegt, sondern auch das interne Voice-over-IP-Netz. Die Möglichkeit, im Web zu surfen, und die E-Mail-Kommunikation waren komplett lahmgelegt - deswegen kontaktierte niemand das IT-Team der Firma. Offenbar war unbemerkt geblieben, dass die eigene Seite nicht mehr online ist.

Eine andere weit verbreitete falsche Annahme sei, dass Backend-Systeme nicht von DDoS-Attacken betroffen seien, sagte Ziono. Diese würden meist als nicht wichtig erachtet. "Wenn du einen deiner Server als unwichtig ansiehst, dann nutze ihn nicht - er ist nur Backup", sagte er in dem Vortrag. Denn oftmals sei es möglich, eine Webseite anzugreifen, indem die dahinterliegende Datenbank mit Anfragen überfordert werde - und so Funktionen wie Logins nicht mehr funktionierten. "Wenn dein Server viel rechnen muss, ist es meistens das Backend" - dies könne man ausnutzen, um die Rechenkapazität des Systems zu erschöpfen.

Inkompetenz führt zu DDoS 

eye home zur Startseite

Kommentieren



Anzeige

  1. Entwicklungsingenieur / Domain Product Owner / Planning & Realization / Software-Koordination GUI (m/w)
    Daimler AG, Sindelfingen
  2. Funktions- und SW-Entwickler/-in für Value Added Functions
    Robert Bosch GmbH, Abstatt
  3. Junior Softwareentwickler C# / Java (m/w)
    Mönkemöller IT GmbH, Stuttgart
  4. IT-Consultant (m/w) Neue Technologien
    Robert Bosch GmbH, Stuttgart-Feuerbach

Detailsuche



Anzeige
Spiele-Angebote
  1. Gran Turismo Sport - Collector's Edition - [PlayStation 4]
    169,99€
  2. VORBESTELLBAR: Landwirtschafts-Simulator 17 - Collector's Edition [PC]
    49,99€
  3. VORBESTELLBAR: Battlefield 1 [PC]
    49,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  2. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  3. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  4. Google

    Livestreaming direkt aus der Youtube-App

  5. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  6. Boston Dynamics

    Spot Mini, die Roboraffe

  7. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  8. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme

  9. Patent

    Die springenden Icons von Apple

  10. Counter-Strike

    Klage gegen Wetten mit Waffen-Skins



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

Moto GP 2016 im Test: Motorradrennen mit Valentino Rossi
Moto GP 2016 im Test
Motorradrennen mit Valentino Rossi
  1. GTA 5 Online Sechs Spezialfähigkeiten und ein Supersportwagen
  2. Gran Turismo Sport Ein Bündnis mit der Realität
  3. Playsports Games Motorsport Manager rast auf PC-Plattformen

  1. Re: Rot - Rot - Rot - Rote Politik wirkt

    DrWatson | 01:36

  2. Kompletter Schwachsinn

    miauwww | 01:23

  3. Re: Bei Vodafone günstiger

    bithunter_99 | 01:23

  4. Re: Was geht in den Köpfen der Briten vor?

    Corian | 01:00

  5. Warum...?

    Clown | 00:46


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel