Rekord-Angriff mit DDoS auf Layer 7 scheitert an Google

46 Millionen https-Anfragen in einer Sekunde – damit versuchte ein Botnetz eine Serveranwendung in die Knie zu zwingen. Für DDoS auf Layer 7 ist das Rekord. ​

In Pocket speichern vorlesen Druckansicht 200 Kommentare lesen
Mehrere eingesteckte Ethernekabel

(Bild: momente/Shutterstock.com)

Lesezeit: 4 Min.

DDoS-Attacken werden rasch häufiger und immer größer. Das Wettrüsten zwischen Angreifern und Verteidigern geht weiter. Google meldet einen neuen Rekord für DDoS auf Layer 7: Das Mēris-Botnetz dürfte aus 132 Ländern insgesamt bis zu 46 Millionen Anfragen für HTTPS-Verbindungen pro Sekunde an die Google Cloud geschickt haben. Das Unternehmen vergleicht die Datenpaketflut mit allen Wikipedia-Aufrufen eines gesamten Tages, konzentriert auf zehn Sekunden. Laut eigener Angaben konnte Google den Angriff abwehren.

Am 1. Juni hat Google einen DDoS-Angriff von nicht weniger als 5.256 IP-Adressen beobachtet. Von zunächst gut 10.000 https-Anfragen pro Sekunde an einen https-Load-Balancer schwoll die Datenflut auf bald 100.000. Googles werblicher Bericht erzählt, dass die Systeme dem nicht namentlich genannten Google-Cloud-Kunden eine Abwehrmaßnahme empfohlen hätten, die dieser nach einer kurzen Prüfphase auch umgesetzt habe.

Das ärgerte offenbar die Täter. In den zwei Minuten nach dem Einsetzen der wirksamen Abwehr schickten die Angreifer mehrere Millionen Anfragen pro Sekunde mit einem Spitzenwert von 46 Millionen in einer Sekunde zur Google Cloud. Das übertraf den bisher bekannten Höchstwert einer Layer-7-DDoS-Attacke um gleich drei Viertel: Im Juni konnte Cloudflare ein Manöver mit bis zu 26 Millionen Anfragen pro Sekunde abwehren. Nennenswerten Erfolg sollen die Täter auch diesmal nicht gehabt haben. Nach insgesamt 69 Minuten war der Spuk vorbei.

So ein enormer Angriff mit verschlüsselten Verbindungen ist nicht nur eine Belastung für die Zielsysteme und vorgeschaltete Netze, sondern erfordert auch erhebliche Rechenressourcen auf Angreiferseite. Botnetzbetreiber, die "ihre" Systeme für solche Straftaten zur Verfügung stellen, lassen sich das gut bezahlen. Daher, vermutet Google, hat der Angreifer bald aufgegeben. Der Angriff war demnach teuer, aber wirkungslos.

Knapp ein Drittel des Angriffs führt Google auf IP-Adressen in nur vier der insgesamt 132 Länder zurück: Indonesien, Brasilien, Russland und Indien. 22 Prozent aller Quell-Adressen hat Google als Tor-Exit-Nodes erkannt. Allerdings waren sie für nur drei Prozent des Angriffsvolumens verantwortlich, also von vergleichsweise bescheidenem Beitrag. Bei 46 Millionen Anfragen pro Sekunden sind drei Prozent jedoch immer noch mehr als 1,3 Millionen pro Sekunde.

Das Akronym DDoS steht für Distributed Denial of Service. Bei Denial-of-Service-Angriffen werden Router, Server oder darauf laufende Software mutwillig mit Datenpaketen geflutet, um diese Systeme zu überlasten. Legitime Nutzer können die betroffenen Systeme dann nur noch erschwert oder gar nicht nutzen. Motivation der Angreifer sind meist Erpressung (zum Beispiel: "Solange Du nicht zahlst, mache ich weiter, und solange können Deine Kunden bei Dir nichts kaufen"), politische Gründe (Proteste, Sabotage), IT-Krieg, oder der Versuch, durch die Überlastung spezifische Fehlfunktionen auszuüben. Solche Fehlfunktionen können in einem zweiten Schritt das Eindringen in ein System erlauben, oder Manipulationen erlauben, beispielsweise von Preisen.

Einfache Denial-of-Service-Angriffe sind sehr selten. Das Zielsystem lässt sich leicht verteidigen, indem alle Datenpakete, die vom Angreifer kommen, verworfen werden. Außerdem wäre die Angriffswucht auf die maximale Leistung des Ausgangssystems begrenzt. Heute wird praktisch immer verteilt (distributed) attackiert: Die Datenpakete kommen nicht von einer einzelnen Quelle, sondern von vielen verschiedenen Ausgangspunkten gleichzeitig. Das erschwert die Unterscheidung zwischen Verbindungsanfragen legitimer Nutzer und jener der Angreifer, und ermöglicht deutlich größere Datenfluten am Zielsystem.

Für die Attacken missbraucht werden etwa Botnetze, vernetzte Geräte (Internet of Things, IoT), unsichere Proxys, oder fehlerbehaftete Server, die sich dazu verleiten lassen, auf kleine Anfragen mit großen Datenpaketen an falsche Adressen zu antworten. DoS-Angriffe sind auf allen sieben Ebenen des OSI-Modells möglich; üblich sind Layer 3 (beispielsweise über das Internet Control Message Procotol ICMP), Level 4 (SYN-Pakete), und 7 (http(s)-Verbindungsaufbauten).

(ds)