AWS von größtem gemeldeten DDoS-Angriff mit 2,3 Tbps betroffen
Der Angriff zeigt, dass ein DDoS-Zero-Trust-Ansatz und kontinuierliche Sorgfalt unerlässlich sind
Wir haben einen weiteren Meilenstein erreicht: Amazon Web Services (AWS) meldet den größten DDoS-Angriff (Distributed Denial of Service) aller Zeiten mit 2,3 Tbps im ersten Quartal 2020. Dies übertrifft den letzten Rekordangriff um satte 70 Prozent. Der bisherige Rekordhalter war der Memcached-basierte GitHub-DDoS-Angriff, der am28. Februar 2018 1,35 Tbps gemessen hat.
Diese für Schlagzeilen sorgenden "Leistungssteigerungen" bei DDoS-Angriffen haben in den letzten vier Jahren stetig zugenommen, wobei alle zwei Jahre ein größerer Angriff auf sich aufmerksam machte. Zu diesem Trend gehören auch die Mirai-Botnet-Angriffe, die 2016 einen Wendepunkt darstellten.
Mirai war wohl die bekannteste DDoS-Attacke mit dem "innovativen" Multi-Vektor-Botnet-Angriff auf den Sicherheitsblogger Brian Krebs mit 620 Mbit/s. Einen Monat später meldete das französische Hosting-Unternehmen OVH 1,2 Tbps.
Dieser DDoS-Angriff mit einer Geschwindigkeit von über einem Terabit pro Sekunde war der erste, der jemals beobachtet wurde. Der Angriffscode des Mirai-Botnetzes wurde öffentlich zugänglich gemacht, und um die Urheber erfolglos zu verbergen, wurden zahlreiche Varianten erstellt. Diese plagen uns noch heute. Jeder dieser rekordverdächtigen DDoS-Angriffe war anders, aber jeder kann uns helfen, bessere Abwehrmaßnahmen zu entwickeln.
Ist dies wirklich der größte DDoS-Angriff?
Ist dies also der größte Angriff? Nein, wir bei A10 haben aus erster Hand Berichte von Kunden über DDoS-Angriffe erhalten, die noch größer waren als diese im letzten Jahr. Es handelt sich jedoch um den bisher größten öffentlich bekannt gewordenen Angriff, der einen wichtigen Meilenstein darstellt. Viele Unternehmen geben das Ausmaß bzw. den Umfang der Angriffe, denen sie ausgesetzt sind, nicht öffentlich bekannt. Beispielsweise haben wir einem Hosting-Kunden Statistiken über DDoS-Erkennungen und -Abwehrmaßnahmen vorgelegt, die sich innerhalb eines Zeitraums von 90 Tagen auf insgesamt über 25.000 beliefen.
Dies wird in der Regel nicht bekannt gegeben, und die Angriffe werden nach und nach in eine gut geplante DDoS-Abwehrinfrastruktur integriert. Mit dem verstärkten Fokus auf DDoS-Abwehr seit dem Mirai-Botnet-Angriff haben viele Organisationen Lösungen zum Schutz ihrer Benutzer und Netzwerke implementiert, wobei die meisten Angriffe abgeschwächt und nicht gemeldet wurden. Vorbereitung ist der Schlüssel, um die normalen und saisonalen Angriffstypen zu antizipieren, die Ihre Lösung bewältigen kann, insbesondere komplexe Multi-Vektor-Angriffe, und um sicherzustellen, dass Sie über die neuesten Informationen über die DDoS-Waffen verfügen, die die Benutzererfahrung und Ihre Marke bedrohen könnten. Laufende Bedrohungsstudien wie der DDoS Weapons Report von A10, der AWS Shield Threat Landscape Report und andere sollten von DDoS-Verteidigern regelmäßig gelesen werden.
Erkenntnisse aus CLDAP und mPPS
Der gemeldete AWS-Angriff basierte auf einem CLDAP-DDoS-Reflection-Angriff (Connection-less Lightweight Directory Access Protocol), der in Kombination mit Amplifikationsangriffen die erwarteten Techniken für einen groß angelegten Angriff darstellt. Wir sehen Reflexions- und Verstärkungsangriffe weiterhin als die Waffe der Wahl, zusammen mit CLDAP und anderen gängigen Verstärkungsangriffen wie exponierte UDP-Portmap-, DNS-, NTP-, SSDP- und SNMP-UDP-basierte Dienste. Diese Angriffe haben zwei Hauptvorteile: Erstens kann die Verstärkung der Nutzlast des Angreifers den 5-, 10- oder 100-fachen Datenverkehr seiner Anfragen erzeugen, und zweitens können sie die Spuren des Angreifers verwischen, während sie die Nutzlast auf ein bestimmtes Ziel seiner Wahl richten.
CLDAP ist ein bekanntes Amplification Tool, und obwohl AWS in seinem Bericht nur wenige Details erwähnt, wissen wir, dass CLDAP nicht zu den besten der gegenwärtig verfügbaren DDos-Werkzeugen gehört. Das Threat-Research-Team von A10 hat Informationen über die Bedrohung durch CLDAP im Vergleich zu anderen DDoS-Werkzeugen analysiert, und dabei zeichnet sich ein interessantes Bild ab.
In den neuesten Informationen des DDoS Weapons Report von A10 taucht CLDAP nicht in den Top-Five der DDoS-Waffen auf. Es ist eine weit weniger verbreitete Waffe, die ausgenutzt werden kann. Die Anzahl der offenen CLDAP-Server ist im Vergleich zu den Top-Fünf nur ein Bruchteil. Für jede CLDAP-Waffe gibt es 116 Portmap-Waffen. Obwohl die Angriffsfläche also kleiner ist, kann sie immer noch in hohem Maße ausgenutzt werden, wie der AWS-DDoS-Angriff gezeigt hat.
| DDoS-Werkzeug | Anzahl der Angriffswerkzeuge | Andere Angriffswerkzeuge häufiger als CLDAP |
|---|---|---|
| Portmap | 1,818,848 | 116x |
| SNMP | 1,673,070 | 107x |
| SSDP | 1,671,128 | 107x |
| DNS-Resolver | 1,331,160 | 85x |
| TFTP | 1,054,330 | 67x |
| CLDAP | 15,651 | 0x |
Wenn wir uns die fünf Länder mit den meisten DDoS-Werkzeugen ansehen, gibt es mehr als 2 Millionen Angriffswerkzeuge in den Vereinigten Staaten, im Vergleich dazu jedoch nur 1294 CLDAP-Werkzeuge. Dementsprechend also lediglich 0,13 Prozent der Werkzeuge. Diese niedrigen Zahlen sind jedoch nicht besonders überraschend.Einige große Cloud-Hosting-Organisationen, darunter Amazon, weisen eine größere Anzahl an Angriffswerkzeugen auf als die typischen hochrangigen Netzwerke (nach ASN-Bezeichnung), was darauf hindeuten könnte, dass diese Server versehentlich von IT-Teams bestimmter Unternehmen, die Anwendungs-Workloads in die Cloud portiert haben, diese beworben und möglicherweise nicht richtig gesichert werden.
Unternehmen sollten Anwendungen in Multi-Cloud-Umgebungen strengstens absichern, indem sie beispielsweise ein Zero-Trust-Modell einsetzen, um zu entscheiden, was offengelegt werden soll und was nicht. DDoS-Schutz ist eine zusätzliche Ebene in einem Zero-Trust-Modell, die Netzwerkanomalien melden, unerwünschten Datenverkehr stoppen und Angriffe abwehren kann. In Cloud-Umgebungen sollte das Modell der übergreifenden Verantwortlichkeit angewandt werden, da die Sicherheit nicht nur in der Verantwortung des Anbieters liegen kann. Dies verdeutlicht erneut die Notwendigkeit eines Zero-Trust-Sicherheitskonzepts sowie einer entsprechenden Denkweise.
| Die Top-10-Länder für CLDAP-Werkzeuge | Die Top-5-Länder für DDoS-Werkzeuge | ||
|---|---|---|---|
| Land | Eindeutige Quellen | Land | Eindeutige Quellen |
| Polen | 2,122 | Vereinigte Staaten | 1,591,719 |
| Ukraine | 1,768 | China | 1,388,531 |
| Vereinigte Staaten | 1,294 | Korea | 776,327 |
| Brasilien | 1,230 | Russland | 696,186 |
| Niederlande | 1,097 | Indien | 283,960 |
| Rumänien | 761 | ||
| Tschechische Republik | 644 | ||
| Russland | 544 | ||
| Bulgarien | 535 | ||
| Mexiko | 437 | ||
Zwar steht der Datendurchsatz des Angriffs oft im Mittelpunkt, da es sich um eine große Zahl handelt, die Schlagzeilen macht. Doch warnen uns die zusätzlichen Zahlen von AWS Shield auch vor anderen Trends, mit denen DDoS-Verteidiger rechnen müssen. Wir haben schon oft von mPPS-Zahlen (Millionen Pakete pro Sekunde) als einer wichtigen Kennzahl gesprochen, die bei einer DDoS-Lösung berücksichtigt werden sollte. Der Verizon Threat Report aus dem Jahr 2014 zeigte einen alarmierenden Anstieg, doch natürlich wurden diese Zahlen mittlerweile in den Schatten gestellt. Dennoch ist es interessant, den stetigen Anstieg zu beobachten. Wir haben gesehen, dass der CLDAP-Angriff im Vorjahres- und Vorquartalsvergleich einen dramatischen Anstieg der „größten Bitrate (Tbps)“ um 188 bzw. 283 Prozent zur Folge hatte, doch auch die „größte Paketrate (Mpps)“ ist beachtlich.
Die Millionen Pakete pro Sekunde (Mpps) stiegen im Jahresvergleich bzw. im Quartalsvergleich kontinuierlich um 13 % bzw. 4 %. Die tatsächlichen Zahlen für die Zeiträume Q1 2019, Q4 2019 und Q1 2020 lauten 260,1 Millionen, 282,2 Millionen und 293,1 Millionen. Das sind eine ganze Menge Pakete und es wird nicht weniger. Dies war zwar nicht unbedingt auf den CLDAP-Angriff zurückzuführen, doch der letzte dieser Angriffe fand im selben Quartal statt, was die Notwendigkeit einer umfassenden DDoS-Schutzstrategie verdeutlichte. Es liegt auf der Hand, dass es mehrere Gipfel zu überwinden gilt, nicht nur den, der für Schlagzeilen sorgt.
Was ist ein CLDAP-Angriff und wie können Sie sich davor schützen?
CLDAP (Connection-less Lightweight Directory Access Protocol) ist ein UDP-basiertes Verzeichnisabrufprotokoll, das das TCP-basierte LDAP-Protokoll ergänzt. CLDAP wurde entwickelt, um den Verbindungsaufwand beim Abrufen von Informationen über Organisationsressourcen aus einer Verzeichnisdienstdatenbank bei Verwendung von LDAP zu verringern. Wie im CLDAP RFC 3352 erwähnt, ist das CLDAP-Protokoll jedoch von Natur aus mit Sicherheitslücken behaftet, wie z. B. anonymer Zugriff, kein Integritätsschutz und fehlender Vertraulichkeitsschutz.
Wenn der CLDAP-Server nicht richtig konfiguriert und schutzlos dem Internet ausgesetzt ist, wird er auf alle Anfragen antworten, selbst wenn der CLDAP-Client gefälscht ist. Die CLDAP-Antworten können das 56- bis 70-fache der ursprünglichen CLDAP-Anfrage betragen. Dies wird als hoher Verstärkungsfaktor bezeichnet. Aufgrund ihres hohen Verstärkungsfaktors werden CLDAP-Server häufig von DDoS-Angreifern für UDP-reflektierte Verstärkungsangriffe ausgenutzt. Während wir diesen Blogeintrag posten, ist die Threat Intelligence von A10 dabei, 15.651 CLDAP-Server aufzuspüren, die dem Internet schutzlos ausgesetzt sind und für Amplifikationsangriffe im Gigabit-, wenn nicht Terabit-Bereich genutzt werden könnten.
Wie man sich vor einem CLDAP-DDoS-Angriff schützt
Da die reflektierten CLDAP-Pakete alle den UDP-Port 389 als UDP-Quellport haben, ist die Blockierung oder Ratenbegrenzung des Port 389-Verkehrs aus dem Internet eine wirksame DDoS-Schutzmethode, um den CLDAP-Reflexions- und -Verstärkungsangriff abzuschwächen, insbesondere wenn keine CLDAP-Antworten aus dem Internet zu erwarten sind. Alternativ können auch TCP- oder verschlüsselte LDAP-Konfigurationen verwendet werden.
Zwar zählt CLDAP zu den aktuellen Angriffstechniken, doch bediente sich die Gesamtheit der größten Angriffe verschiedener Angriffsvektoren, sodass der nächste DDoS-Rekordangriff wahrscheinlich nicht auf CLDAP basieren, sondern ein DDoS-Verstärkungs- und Reflexionsangriff sein wird, der auf den wichtigsten DDoS-Werkzeugen basiert, die Quartal für Quartal zu beobachten sind. Daher ist es wichtig, sicherzustellen, dass Sie über Grundlagen für Ihren Datenverkehr verfügen, bewährte Methoden zur Zero-Trust-DDoS-Abwehr anwenden und über die neuesten DDoS-Angriffstrends auf dem Laufenden bleiben. Schützen Sie Ihr Netzwerk proaktiv, damit Sie nicht zur nächsten DDoS-Schlagzeile werden.
Wie A10 helfen kann
A10 Defend bietet skalierbaren und automatisierten DDoS-Schutz auf der Grundlage von KI und fortschrittlichem maschinellem Lernen, um Sie bei der Bekämpfung des wachsenden Problems der Multi-Vektor- und IoT-DDoS-Angriffe zu unterstützen und so Geschäftsausfälle, Umsatzeinbußen und Rufschädigung zu vermeiden.