• IT-Karriere:
  • Services:

Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.

Artikel veröffentlicht am ,
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern.
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe)

Der Sicherheitsforscher Moshe Ziono hat auf dem Hackerkongress 32C3 gezeigt, wie man einen DDoS-Angriff (Distributed Denial of Service) nicht verhindert. Ziono berichtete in einem Vortrag von zahlreichen Beispielen aus der Praxis, bei denen Kunden sich auf teils obskure Sicherungsmechanismen verließen, die ihnen in einem Test zum Verhängnis wurden.

Inhalt:
  1. Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert
  2. Inkompetenz führt zu DDoS

Ziono arbeitet für eine Firma, die die DDoS-Resilizenz von Systemen testet. Viele der Kunden stammen aus dem Finanzumfeld, sind also in der Regel recht große Unternehmen. Alle genannten Beispiele stammen Zionos Angaben zufolge aus der Praxis, die Namen der Kunden wurden selbstverständlich nicht genannt. Zu Testzwecken benutzt das Unternehmen ein eigenes Botnetz, das Ziono als "so legitim wie möglich" beschrieb.

Webseite unbemerkt offline

In einem Fall attackierten die Sicherheitsforscher das System der Kunden - und legten die Seite innerhalb kurzer Zeit lahm. Doch die Monitoring-Systeme zeigten nach mehreren Traffic-Peaks keine ungewöhnlichen Meldungen an - und keiner schlug Alarm, obwohl die Seite weiterhin nicht erreichbar war. Der Grund dafür war trivial: Alle Systeme des Unternehmens liefen auf einem Server - der DDoS-Angriff hatte nicht nur die Webseite lahmgelegt, sondern auch das interne Voice-over-IP-Netz. Die Möglichkeit, im Web zu surfen, und die E-Mail-Kommunikation waren komplett lahmgelegt - deswegen kontaktierte niemand das IT-Team der Firma. Offenbar war unbemerkt geblieben, dass die eigene Seite nicht mehr online ist.

Eine andere weit verbreitete falsche Annahme sei, dass Backend-Systeme nicht von DDoS-Attacken betroffen seien, sagte Ziono. Diese würden meist als nicht wichtig erachtet. "Wenn du einen deiner Server als unwichtig ansiehst, dann nutze ihn nicht - er ist nur Backup", sagte er in dem Vortrag. Denn oftmals sei es möglich, eine Webseite anzugreifen, indem die dahinterliegende Datenbank mit Anfragen überfordert werde - und so Funktionen wie Logins nicht mehr funktionierten. "Wenn dein Server viel rechnen muss, ist es meistens das Backend" - dies könne man ausnutzen, um die Rechenkapazität des Systems zu erschöpfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Inkompetenz führt zu DDoS 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 1.555,00€ (Bestpreis!)
  2. 49,90€ (Bestpreis!)
  3. (u. a. Galaxy Tab S6 Lite für 299,99€, Nintendo Ring Fit Adventure für 79,99€, Samsung Galaxy...
  4. (u. a. 24-Stunden-Deals, Sandisk Ultra 3D 2 TB SATA-SSD für 159,00€, LG OLED TV für 1.839...

Folgen Sie uns
       


Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /