Kurze, gezielte DDoS-Angriffe als Tarnung für die wahre Attacke


Die auf die Abwehr von DDoS-Attacken spezialisierte Firma Corero Network Security weist in ihrem Trend Report auf eine neue Angriffstechnik hin. Demnach arbeiten die kriminellen Hacker zunehmend mit DDoS-Angriffen mit einer Dauer von maximal zehn Minuten und einem Volumen von weniger als einem Gigabit pro Sekunde. Zum Vergleich: Große DDoS-Attacken dauern für gewöhnlich mehrere Stunden und schicken Datenvolumen von mehreren Hundert Gigabit gegen ihre Angriffsziele ins Feld. Beim bislang umfangreichsten beobachteten DDoS-Angriff gegen die Rechenzentren der Firma Dyn im vergangenen Oktober sollen zeitweise bis zu 1,2 Terabit pro Sekunde geflossen sein.

Doch die kleinen Attacken, die Corero nun beschreibt, sind keinesfalls harmlos. Oft sind sie bereits ausreichend, um eine Firewall oder ein Intrusion Detection System lahmzulegen und auf diese Weise einen größeren Angriff vorzubereiten. Teilweise dienen die Aktionen auch dazu, das Netzwerk eines Unternehmens auf Sicherheitslücken abzuklopfen. Beides bleibt in vielen Fällen unbemerkt.

Blinder Fleck: Kurze Angriffe werden ignoriert

Denn die Sicherheitssysteme in den Unternehmen sind oft so konfiguriert, dass sie erst ab einer Attacke von mindestens zehn Minuten Dauer Alarm schlagen. Auf diese Weise soll verhindert werden, dass harmlose, kurzfristige Störungen der Internet-Verbindung als gefährliche Sabotage-Akte gewertet werden. Und selbst wenn sie als aggressive Angriffe erkannt werden, haben die Verantwortlichen in den Rechenzentren oft nicht die Zeit, Art und Ziel der Attacke zu analysieren.

In den beiden Quartalen, über die der Trend Report berichtet, hatten rund 80 Prozent der DDoS-Angriffe gegen Kunden von Corero ein Volumen von weniger als einem Gigabit pro Sekunde, etwa 70 Prozent dauerten maximal zehn Minuten. Auch wenn viele dieser Vorfälle tatsächlich harmloser Natur sein dürften, sollten Administratoren ihnen ihre Aufmerksamkeit schenken und damit rechnen, dass einige davon nur als Tarnung für umfangreichere Aktionen dienen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content