Angriff auf Verbraucherschutz-Sites abgewehrt [Update]

Mit eigenentwickelten Tools haben die Betreiber der angegriffenen Seiten die DDoS-Attacke unter Kontrolle bekommen.

In Pocket speichern vorlesen Druckansicht 147 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die zwischen Weihnachten und Neujahr stattfindende DDoS-Attacke auf die Verbraucherschutz-Sites Antispam.de, Computerbetrug.de und Dialerschutz sowie das Portal Gulli.com war zwar nicht die erste, ungewohnt war aber die lange Dauer und die Hartnäckigkeit. Der ersten Angriffswelle mittels Webzugriffen mehrerer tausend Bots folgte kurze Zeit später ein UDP-Flood-Angriff.

So griffen die Gegenmaßnahmen der Betreiber der Seiten erst kurz vor Ende des Jahres. Insbesondere Gulli.com hatte mit dem Angriff zu kämpfen, da der Betreiber des Servers keinen Zugriff auf die vorgelagerten Router des Hosters hat, um bereits dort die erste Welle brechen zu lassen. Deshalb entwickelte man unter anderem zusammen mit den Administratoren der anderen Boards in konzertierter Aktion einen Wrapper für das Apache-Modul mod_security, um die Firewall-Regeln der Server dynamisch anzupassen und die Attacke zumindest zu entschärfen.

ModSecurity ist ein Open-Source-Intrusion-Detection und -Prevention-System für Webanwendungen, das URLs auf bestimmte Zeichenketten und Merkmale untersuchen und Zugriffe blocken kann. Da die Webzugriffe der Bots eindeutige Merkmale aufweisen, lassen sich so die IP-Adressen der Angriffs-PCs ausfiltern und damit mittels eines Wrappers dynamisch neue Regeln in der Firewall definieren. Alle späteren Pakete von diesen nun als Angreifer gelisteten PCs werden einfach verworfen und gelangen so gar nicht erst bis zum Apache oder einem anderen Netzwerkdienst. In der Folge bricht der Webserver nicht mehr unter der Last zusammmen.

Bis auf Antispam.de sind alle genannten Seiten wieder zu erreichen. Nach Angaben der Betreiber haben die entwickelten Tools gute Dienste geleistet. Der Wrapper steht unter GPL-Lizenz für andere Anwender zum Download bereit.

Update
Nach Angaben von Cemil Degirmenci von Wavecon, der Firma, die Gulli.com administriert, laufen die Angriffe zwar immer noch weiter, sind aber derzeit unter Kontrolle gebracht. Anders als zunächst im 22C3-Wiki beschrieben, hatten die Administratoren von Gulli.com doch indirekten Zugriff auf die Router ihres Hosters und konnten dort schon die UDP-Floods blocken.

Siehe dazu auch: (dab)