Abo
  • Services:

Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.

Artikel veröffentlicht am ,
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern.
Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe)

Der Sicherheitsforscher Moshe Ziono hat auf dem Hackerkongress 32C3 gezeigt, wie man einen DDoS-Angriff (Distributed Denial of Service) nicht verhindert. Ziono berichtete in einem Vortrag von zahlreichen Beispielen aus der Praxis, bei denen Kunden sich auf teils obskure Sicherungsmechanismen verließen, die ihnen in einem Test zum Verhängnis wurden.

Inhalt:
  1. Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert
  2. Inkompetenz führt zu DDoS

Ziono arbeitet für eine Firma, die die DDoS-Resilizenz von Systemen testet. Viele der Kunden stammen aus dem Finanzumfeld, sind also in der Regel recht große Unternehmen. Alle genannten Beispiele stammen Zionos Angaben zufolge aus der Praxis, die Namen der Kunden wurden selbstverständlich nicht genannt. Zu Testzwecken benutzt das Unternehmen ein eigenes Botnetz, das Ziono als "so legitim wie möglich" beschrieb.

Webseite unbemerkt offline

In einem Fall attackierten die Sicherheitsforscher das System der Kunden - und legten die Seite innerhalb kurzer Zeit lahm. Doch die Monitoring-Systeme zeigten nach mehreren Traffic-Peaks keine ungewöhnlichen Meldungen an - und keiner schlug Alarm, obwohl die Seite weiterhin nicht erreichbar war. Der Grund dafür war trivial: Alle Systeme des Unternehmens liefen auf einem Server - der DDoS-Angriff hatte nicht nur die Webseite lahmgelegt, sondern auch das interne Voice-over-IP-Netz. Die Möglichkeit, im Web zu surfen, und die E-Mail-Kommunikation waren komplett lahmgelegt - deswegen kontaktierte niemand das IT-Team der Firma. Offenbar war unbemerkt geblieben, dass die eigene Seite nicht mehr online ist.

Eine andere weit verbreitete falsche Annahme sei, dass Backend-Systeme nicht von DDoS-Attacken betroffen seien, sagte Ziono. Diese würden meist als nicht wichtig erachtet. "Wenn du einen deiner Server als unwichtig ansiehst, dann nutze ihn nicht - er ist nur Backup", sagte er in dem Vortrag. Denn oftmals sei es möglich, eine Webseite anzugreifen, indem die dahinterliegende Datenbank mit Anfragen überfordert werde - und so Funktionen wie Logins nicht mehr funktionierten. "Wenn dein Server viel rechnen muss, ist es meistens das Backend" - dies könne man ausnutzen, um die Rechenkapazität des Systems zu erschöpfen.

Inkompetenz führt zu DDoS 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 229,90€ + 5,99€ Versand
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


PC Building Simulator - Test

Der PC Building Simulator stellt sich im Test als langweiliges Spiel, aber gutes Product Placement heraus - inklusive falscher Informationen und Grafikfehlern.

PC Building Simulator - Test Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

    •  /