Distributed dos Attack

Verteilte Dosierung Angriff

In einem typischen DDoS-Angriff nutzt ein Hacker (oder besser gesagt Cracker) die Schwachstelle eines Computersystems und macht es zum DDoS-Master. Das Kürzel DoS steht für "Denial of Service". DDoS-Angriffe im zweiten Teil 2017 Wir haben im zweiten Kalenderquartal 2017 beobachtet, dass DDoS-Angriffe zunehmend als Mittel im Rahmen des strategischen Kampfes genutzt werden. Mit der Katar-Krise ging ein Angriff auf die Websites der grössten Nachrichtenagentur Al Jazeera einher, in der Zeit der französischen Präsidentenwahlen wurden die Websites der Tageszeitungen Le Monde und Figaro angegriffen, und in Grossbritannien erinnerten man sich an die einjährige Entstehungsgeschichte der Webseite, die die Beteiligung an der Brexit-Abstimmung registrierte - weitere Anschläge auf diese Webseite brachten einige BÃ?

Die Kommentarfunktion auf der Webseite der Kommmission hat etwa 24 Std. lang nicht funktioniert und wurde aufgrund eines Massenangriffs letztendlich abgeschaltet. Was war der Crashgrund für den Absturz - war es ein Angriff von Opponenten des Prinzip der Neutralität, die eine große Anzahl gleicher Stellungnahmen schickten, oder war es dagegen ein Angriff von Anhängern der Nettoneutralität, die versucht haben, Opponenten davon abzuhalten, die FCC-Website mit falschen Stellungnahmen zu überfluten?

Aber das Hauptanliegen für die Ausführung von DDoS-Angriffen ist und bleibt weiterhin das Thema Zeit. Die Hektik um die Krypto-Währungen hat im zweiten Vierteljahr zu einem starken Preisanstieg geführt, der auch Cyberkriminelle in den Bann zog. Bitfinex, der grösste Börsenhändler der Welt, wurde parallel zur Markteinführung der neuen Internet-Währung IOTA an der Weltbörse angegriffen.

So wurde Ende Juli ein umfangreicher Erpressungsversuch mit der Gefahr von DDoS-Angriffen verzeichnet. Angesichts der zunehmenden Verluste durch DDoS-Angriffe ergreifen die Polizeibehörden nun entschlossenere Maßnahmen gegen die Angriffsveranstalter. Ein britisches Gerichtsurteil verhängte im März 2017 eine Freiheitsstrafe von zwei Jahren für eine Serie von Anschlägen, die dieser junge Mann fünf Jahre zuvor bereits während seiner Studienzeit verübt hatte.

Technisch gesehen gab es im zweiten Quartier nicht viele Innovationen im DDoS-Bereich. Corero Network Security Researcher gaben an, dass sie bereits über 400 Angriffe mit falsch eingestellten LDAP-Servern aufwiesen. Der Angriff, der im zweiten Vierteljahr für die größten Aufregung sorgte, war der DDoS-Angriff auf Skalas.

Auch im zweiten Kalenderquartal zeichnete sich der beobachtete Rückgang der Cyberkriminellen ab, die unter der Bedrohung durch DDoS-Angriffe versuchten, Gelder zu drosseln. Solche Botschaften werden oft von kurzzeitigen Angriffen begleitet, die als Demonstrationen von Macht zu deuten sind. Wenn sich ein Konzern entscheidet, das Loesegeld zu bezahlen, könnte dies Auswirkungen auf seinen guten Namen haben und andere Personengruppen von Cyberkriminellen zur Begehung von Angriffen anregen.

Letztere sind zunehmend keine gut organisierten Gruppen von professionellen Hackern, sondern Neueinsteiger, die nicht über die notwendigen fachlichen Kenntnisse zum Organisieren von DDoS-Angriffen und nur über die Mittel zum Nachweis ihrer vermeintlichen "Fähigkeiten" verfügt. Die Anzahl der Endgeräte, auf denen die anfällige Computersoftware eingesetzt wird, liegt nach vorlÃ??ufigen SchÃ?tzungen bei mehr als 500.000, was fÃ?r Cyber-Gangster die Möglichkeit bietet, daraus ein Botnetz aufzubauen, mit dem sie dann umfangreiche DDoS-Angriffe organisieren können.

Das Unternehmen hat jahrelange Erfahrungen bei der Verteidigung gegen Cyber-Bedrohungen, einschließlich DDoS-Angriffe verschiedener Arten und Größen. Mit dem DDoS Intelligence-System überwachen die Fachleute des Konzerns die Aktivitäten von BOTNets. Die DDoS Intelligence-Lösung (Teil der DDoS Prevention-Lösung von Kaspersky) beruht auf einer Auswertung von Kommandos, die von den Kontroll-Servern der Cyberkriminelle an das Netzwerk der Roboter geschickt werden.

In diesem Report wird ein DDoS-Angriff immer als Einzelangriff betrachtet, wenn die Unterbrechungen zwischen den Aktivitätszeiträumen des Botnets 24 Std. nicht überschreit. Wird z. B. die gleiche Ressourcen nach einer 24-Stunden-Pause vom gleichen Botnetz wieder attackiert, so werden Kaspersky-Experten dies als zwei Angriffe betrachten.

Einzelangriffe sind auch solche Anforderungen an eine Ressourcen, die von Bots aus verschiedenen botnets ausgingen. Die geographische Lage der Geschädigten der DDoS-Angriffe und der die Kommandos sendenden Datenserver wird durch ihre IP-Adressen bestimmt. In diesem Report ermittelt Caspersky Lab die Gesamtzahl der einzelnen DDoS-Angriffsziele basierend auf der Gesamtzahl der einzelnen IP-Adressen in den Quartalsstatistiken.

Es sei darauf hingewiesen, dass sich die DDoS Intelligence-Statistiken nur auf die Botnets beschränken, die Caspersky Lab entdeckte und analysierte. Zu beachten ist auch, dass Botnets nur eines von vielen Tools zur Implementierung von DDoS-Angriffen sind und dass die hier aufgelisteten Datensätze nicht immer alle DDoS-Angriffe enthalten, die im jeweiligen Zeitabschnitt ausgeführt wurden.

Im zweiten Jahresquartal 2017 wurden DDoS-Angriffe mit Botnets gegen Zielobjekte in 86 Staaten gerichtet, 14 mehr als im Vorquartal. Ähnlich wie im Vorquartal war in China nahezu die Hälfe aller Anschläge (47,42%) gegen Zielvorgaben. China, Südkorea und die USA bleiben sowohl bei der Anzahl der Anschläge als auch bei der Anzahl der Zielpersonen das führende Trio.

Die seit langem laufenden DDoS-Angriffe haben im zweiten Quartier eine Wiedergeburt erlebt. Der Rekord zeitraum lag bei 277 Std., 131% mehr als im ersten Vierteljahr. Der Prozentsatz der Angriffe, die weniger als 50 Std. dauern, ist praktisch konstant geblieben (99,7% im Vergleich zu 99,8% im Vorquartal). Andererseits hat der Prozentsatz von SYN-DDoS und Angriffen vom Typ UDP und HTTP zugelegt.

In den vergangenen Quartalen ging der Marktanteil von Linux-Botnetzen zurück. Sie waren auch im zweiten Vierteljahr für 51,23% der Angriffe zuständig (gegenüber 43,40% im ersten Quartal). In 86 Staaten der Erde wurden im zweiten Kalenderquartal 2017 DDoS-Angriffe verzeichnet, die sich überwiegend gegen Angriffsziele in China richten (58,07% aller Angriffe), 3 %-Punkte mehr als im Vorquartal.

Obwohl der südkoreanische Marktanteil zurückging (von 22,41% auf 14,17%), konnte das Zielland seinen zweiten Rang beibehalten. Italien (0,94%) und die Niederlande (0,84%), Vietnam und Dänemark gehören nun zu den zehn führenden Staaten, die im zweiten Vierteljahr 94,60% aller Angriffe verzeichneten.

Russlands Marktanteil (1,23%) sank um 0,37 PP und das Unternehmen fiel von Rang vier auf Rang sechs. China konnte den ersten Rang im Länderrating nach Zielanzahl halten - hier sind 47,42 Prozentpunkte aller Zielvorgaben, also zusammen 0,36 PP weniger als im Vorquartal.

Im zweiten Vierteljahr 2017 bewegte sich die Anzahl der DDoS-Angriffe pro Tag zwischen 131 (17. April) und 904 (13. April). Höchstwerte wurden auch am Tag des Beginns des 24. Aprils ( "581"), am Tag des Scheiterns des 7. Aprils ( "609"), am Tag des Beginns des 10. Aprils ( "614") und am Tag des Beginns des 16. Aprils ( "621") festgestellt. DDoS-Angriffe können mehrere Tage ohne Unterbrechung dauern. Ein einziger Angriff auf die Timeline könnte daher mehrmals gezählt werden, ein Angriff pro Tag.

Im zweiten Vierteljahr 2017 bleibt Montagmorgen (11,74% der Angriffe) der geruhsamste Tag der Woche in Sachen DDoS-Angriffe, während Sonntagmorgen (15,57%) der gespannteste Tag ist. Im Gegensatz dazu sank der Prozentsatz der Samstagsaktivitäten von 16,05% im ersten auf 14,39% im zweiten Vierteljahr. Der zweite Platz in der Rangliste der Aktivitäten nach Werktagen wurde vom Dienstag eingenommen, der nur einen etwas geringeren Prozentsatz (15,39%) hatte als die Sonntage.

In der zweiten Jahreshälfte 2017 haben SYN-DDoS-Angriffe die im Vorquartal verlorene Stellung wiedererlangt, so dass der Prozentsatz dieser Art von Angriffen von 48,07 auf 53,26 zulegte. Der Prozentsatz der Angriffstypen TCP-DDoS ist deutlich gesunken (von 26,62% auf 18,18%). Auch die Beliebtheit von IBMP ist leicht gesunken (von 8,17% auf 7,27% aller angemeldeten Angriffe).

Auch im zweiten Vierteljahr 2017 nehmen die sehr lang anhaltenden Anschläge wieder einen festen Raum in der Gesamtzahl ein - 0,07% der Anschläge währenddessen währten mehr als 100 Std., während der geringste Anschlag 277 Std. dauerte - 157 Std. höher als der Höchstwert des Vorquartals. Zugleich erhöhte sich der Prozentsatz der 4-stündigen oder weniger dauernden Anschläge von 82,21 Prozentpunkten im vergangenen Vierteljahr auf 85,93 Prozentpunkte.

Entsprechend nahm der Prozentsatz der Angriffe mit einer Zeitdauer von 5 bis 49 Stun. ab. Die Spitzengruppe bei der Zahl der erfassten Command and Control Server hat sich im zweiten Quartier etwas verändert: Die Niederlande haben mit einem Marktanteil von 7,74% die Niederlande vom dritten Rang abgelöst, die - obwohl ihr Marktanteil von 3,51% auf 4,76% angestiegen ist - auf den vierten Rang gefallen sind.

Südkorea, dessen Marktanteil von 66,49% auf 49,11% zurückgegangen ist, liegt nach wie vor an der Spitze dieses Rankings. In Summe befinden sich 72,92 Prozentpunkte der Control-Server in den Top 3 der Treffsicherheit. Neu unter den TOP 10 in diesem Segment sind Kanada und Dänemark (je 0,89%), die damit Rumänien und Großbritannien aus dem Ranking gedrängt haben.

Gegenüber dem ersten Vierteljahr 2017 sind die Aktien von Hongkong und Russland signifikant gesunken (von 1,89% auf 1,19% bzw. von 3,24% auf 2,68%). Im zweiten Vierteljahr ist die Aufteilung nach Betriebssystem nahezu ausgeglichen: Die Linux-Botnets hatten einen Marktanteil von 51,23%, die Windows-Botnets von 48,77%. Im zweiten Vierteljahr 2017 gab es keine wesentlichen Änderungen in der statistischen Darstellung im gegenüber dem Vorquartal:

Rund die Hälfe der DDoS-Angriffe stammt nach wie vor aus China, wo sich die Hälfe der ermittelten Ziele wiederfinden. In der zweiten Jahreshälfte wurde deutlich, dass die Gefahr von DDoS-Angriffen nun so ernstgenommen wurde, dass einige Firmen gewillt sind, das Loesegeld nach der ersten Androhung zu bezahlen, ohne gar auf den Anschlag zu warten.

Mehr zum Thema