Abo
  • Services:
Anzeige
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern.
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe)

Inkompetenz führt zu DDoS

Auch Inkompetenz im Einsatz von Anti-DDoS-Equipment spiele häufig eine Rolle. So habe ein Kunde nach Angaben von Ziono eine "glänzende, teure Box", die vor DDoS-Angriffen schützen sollte, in sein Netzwerk integriert. Anschließend habe er alle Geräte damit verbunden, auch das interne VoIP-Netz. Ein Angriff auf das zu Schutzzwecken eingesetzte Geräte führte dann zum Totalausfall aller Systeme. Nach Angaben von Ziono dauerte es mehr als sieben Stunden, bis das gesamte Equipment der Firma wieder einsatzbereit war. In dieser Zeit wären zahlreiche Transaktionen ausgefallen - der falsch eingesetzte DDoS-Schutz führte also nicht nur ins Leere, sondern verursachte sogar wirtschaftlichen Schaden.

Anzeige

In einem weiteren Fall arbeitete ein Unternehmen offenbar mit einer Sicherheitsfirma zusammen, der es nicht vertraute. Das Unternehmen sollte die ein- und ausgehenden Datenströme auf Anomalien untersuchen - bekam aber kein Zertifikat zur Entschlüsselung des Datenverkehrs. HTTPS-Verkehre konnten daher nicht untersucht werden und waren für Angriffe anfällig.

Auch der Einsatz von Content-Delivery-Netzwerken (CDN) wie Cloudflare ist offenbar beliebt, um DDoS-Angriffe abzuwehren. Es gibt statische und dynamische CDNs. Statische CDNs halten den gesamten Content eines Frontends vor und liefern diesen bei Bedarf aus. Ist die Kapazität eines Angriffes groß genug, können auch diese Netzwerke erfolgreich lahmgelegt werden. In der Regel hat die DDoS-Versicherung von Akamai und Co. eine Obergrenze an Traffic, bevor die Seite nicht mehr erreichbar ist. Bei dynamischen CDNs werden Daten, die nicht im CDN vorliegen, von der Quelle (Origin) angefordert. Gegen DDoS-Angriffe schützen sie nur bedingt - denn wenn ein Angreifer eine Seite anfordert, aber bestimmte Parameter verändert, wird die Quelle immer wieder erneut angefragt und kann daher unter Umständen lahmgelegt werden. Sind die Systeme nicht sauber konfiguriert, kann ein dynamisches CDN auch die Quelle verraten, selbst wenn diese unter einer zufällig erstellten Subdomain liegt. Denn wenn ein Angreifer nach anderen bekannten Subdomains für eine Seite sucht und die /24 bzw. /16-Netzwerke scannt, kann er die Quelle unter Umständen finden. Alternativ kann er in der Whois-Historie fündig werden.

Netzwerk blockiert sich selbst

Der größte von Ziono beschriebene Fehler führte bei einem Test zu einem selbst verschuldeten DDoS. Ein Kunde, der seinen Schilderungen nach im staatlichen Sektor Israels zu vermuten ist, blockte einfach alle verdächtigen IP-Adressen. Dabei blockte er nicht nur die individuelle, verdächtige IP, sondern ganze Blöcke. Das nutzten die Sicherheitsforscher aus und sendeten dem Kunden eine große Menge gut erkennbarer TCP-Syn-Anfragen unter gespooften IP-Adressen - die vorgaben, aus dem Netz des Kundens selbst zu kommen. Innerhalb von 15 Minuten legte sich das Netz des Kunden somit selbst lahm.

 Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

eye home zur Startseite



Anzeige

Stellenmarkt
  1. LEONEX Internet GmbH, Paderborn
  2. Läpple Dienstleistungsgesellschaft mbH, Heilbronn, Teublitz
  3. Dataport, Altenholz bei Kiel
  4. Eifrisch - Vermarktung GmbH & Co. KG, Lohne


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. 59,90€

Folgen Sie uns
       


  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Thinkpad X1 Yoga v2 im Test: LCD gegen OLED
Thinkpad X1 Yoga v2 im Test
LCD gegen OLED

Samsung Gear Sport im Test: Die schlaue Sportuhr
Samsung Gear Sport im Test
Die schlaue Sportuhr
  1. Wearable Fitbit macht die Ionic etwas smarter
  2. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  3. Fitbit Ionic im Test Die (noch) nicht ganz so smarte Sportuhr

Minecraft Education Edition: Wenn Schüler richtig ranklotzen
Minecraft Education Edition
Wenn Schüler richtig ranklotzen

  1. Re: Im Prinzip wie der 27UD88-W nur eben größer...

    TeK | 22:53

  2. Re: Eher das Gegenteil ist der Fall

    d0351t | 22:52

  3. Re: hab vor 2 wochen...

    Rulf | 22:49

  4. Re: völlig Banane

    Phantom | 22:45

  5. Re: Das Trumpbashing VS Obama Vergötterung

    daarkside | 22:44


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel