> > > > DDoS mit 1,35 Terabit pro Sekunde: Github registriert schwersten Angriff

DDoS mit 1,35 Terabit pro Sekunde: Github registriert schwersten Angriff

Veröffentlicht am: von

logitech logoIm Oktober 2016 waren zahlreiche Internet-Dienste wie Spotify, Netlix, Amazon, PayPal oder das PlayStation Network eine Zeitlang nicht erreichbar. Die Ursache war damals eine massive DDoS-Attacke auf den DNS-Anbieter Dyn bzw. auf dessen Server. Mit einer Bandbreite von satten 1,2 Terabit pro Sekunde war es der bislang stärkste Angriff dieser Art, den man im Internet verzeichnen konnte. Vor wenigen Tagen wurde dieser Negativ-Rekord noch einmal geknackt.

Wie die Programmier-Plattform GitHub am Donnerstag in einem „Incident Report“ bekannt gab, habe man am vergangenen Dienstag die bislang stärkste DDoS-Attacke registriert. Unbekannte Angreifer hatten die Server acht Minuten lang mit Anfragen bombardiert und damit eine durchaus beeindruckende Bandbreite von satten 1,35 Terabit pro Sekunde erzeugt. Es ist die bislang größte sogenannte Distributed-Denial-of-Service-Attacke, die registriert wurde. 

Bei einer solchen DDoS-Attacke zwingen Angreifer die Server mit massenhaften Anfragen von gekaperten Servern, Computern und sogar Smart-Home-Geräten in die Knie, um einen Dienst lahmzulegen. Daten werden dabei nicht abgegriffen, was GitHub in seinem Bericht bestätigt. Nutzerdaten seien zu keinem Zeitpunkt in Gefahr gewesen, heißt es. Der Dienst war am Dienstag im Zeitraum von 17:21 bis 17:26 Uhr (UTC) überhaupt nicht zu erreichen, noch bis 17:30 Uhr (UTC) kam es zu Einschränkungen. Wenige Minuten später ging ein zweiter, schwächerer Angriff mit immerhin noch rund 400 Gbit/s ein.

Um den "bösen" Traffic herauszufiltern, schaltete GitHub Akamai ein, mit dessen Hilfe man den Angriff nach gerade einmal acht Minuten in den Griff bekommen konnte. Laut Akamai und GitHub kam dabei eine noch relativ junge Angriffs-Technik zum Einsatz. Bei einer „Memcached Amplification Attack“ werden Memcached-Server zweckentfremdet, die schlecht abgesichert über UDP auf Port 11211 öffentlich erreichbar sind und auf Anfrage die im Speicher-Cache liegenden Daten übermitteln. Damit die zehntausenden Antworten der Memcached-Server nicht beim Angreifer eingehen, werden diese auf die IP-Adresse des Opfers umgeleitet. Laut der Analyse von GitHub habe sich die DDoS-Attacke so um den Faktor 51.000 verstärkt, da für jedes Byte, das die Angreifer von ihren System an die Memcached-Server geschickt hatten, beim Angriffsziel 51 KB ankamen. 

Auch wenn die Attacke den Dienst nur wenige Minuten lang lahmlegte, will GitHub seine Abwehrmaßnahmen in Zukunft verbessern und diese automatisiert anspringen lassen. Für GitHub war es nicht der erste Angriff dieser Art.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (8)

#1
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12423
Beeindruckend dass man sowas inzwischen handeln kann.
Dienste wie CloudFlare und wohl auch dieses Akamai leisten einen sehr wichtigen Service und haben schon einige, auch viel kleinere Seiten erfolgreich geschützt.

Am schönsten wärs natürlich wenn man den Machern dieses miesen Geschäfts das Handwerk mit DDoS legen könnte, weil mal wieder unnötig ressourcen drauf gehen, aber solang es noch failed states oder gar unterstützende Regierungen gibt, siehts wohl schlecht aus...
#2
customavatars/avatar283_1.gif
Registriert seit: 03.07.2001
127.0.0.1
Admiral
Altweintrinker
Beiträge: 25441
Zitat
Am schönsten wärs natürlich wenn man den Machern dieses miesen Geschäfts das Handwerk mit DDoS legen könnte....

Ja, wäre schön, wenn man sie mit eigenen Waffen schlagen könnte. :vrizz:
#3
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12423
Zitat Mr.Mito;26189371
Ja, wäre schön, wenn man sie mit eigenen Waffen schlagen könnte. :vrizz:

Ja darüber hat man einige male Diskutiert - also dass Behörden, selbst solche Angriffe oder gar Hacks durchführen dürfen. Glaub das ist selbst in den USA nicht offiziell erlaubt ohne die Identität des Angreifers zu kennen (was man für einen Gerichtsbeschluss logischerweise braucht).
Wäre aber natürlich ein zweischneidiges Schwert. Am Ende wird man noch ausgetrickst und die Verteidigungsaktion wird selbst zu einem DDoS auf unschuldige Dritte.

Rein online wird man dem ganzen wohl nicht bei kommen können. Dafür ist das Internet viel zu offen konzipiert.
Man muss "physisch" an die zwischenserver (Proxys, etc.) und dann an die Leute ran. Das scheitert jedoch an oben genannten Gründen.
#4
Registriert seit: 13.09.2014

Gefreiter
Beiträge: 56
Also wenn ich den Artikel richtig gelesen habe, nutzten die Angreifer gekaperte Hardware aus allen möglichen Bereichen. "Servern, Computern und sogar Smart-Home-Geräten."
Ein Gegenangriff würde demnach - nach meinem Verständnis - die gekaperten Geräte lahmlegen. Wäre also kontraproduktiv weil damit Personen geschädigt werden die nichts (oder unwissentlich) mit dem DDoS Angriff zu tun haben.
Das einzig Richtige was für mich in Frage käme, wäre die Angreifer aufzuspüren und zu bestrafen.
#5
customavatars/avatar108915_1.gif
Registriert seit: 20.02.2009
Bremen
Flottillenadmiral
Beiträge: 4909
sourceforge ist auch seit Tagen down :(
#6
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12423
Zitat Brassel;26190235
Also wenn ich den Artikel richtig gelesen habe, nutzten die Angreifer gekaperte Hardware aus allen möglichen Bereichen. "Servern, Computern und sogar Smart-Home-Geräten."
Ein Gegenangriff würde demnach - nach meinem Verständnis - die gekaperten Geräte lahmlegen. Wäre also kontraproduktiv weil damit Personen geschädigt werden die nichts (oder unwissentlich) mit dem DDoS Angriff zu tun haben.
Das einzig Richtige was für mich in Frage käme, wäre die Angreifer aufzuspüren und zu bestrafen.

Richtig, aber grade wenn der Angriff weit gefächert ist, ist die wahrscheinlichkeit groß dass man über einen dieser Zwischenopfer, doch die Ursprungsanddresse rausfinden kann. Man könnte zumindest den Angriffer zwingen über mehr Ecken, seinen Angriff zu verschleiern was somit dessen kosten in die Höhe treibt.
Aber ja, binnen 8 Minuten, wie es gedauert hat, den Angriff anderweitig abzuwehren hätte das sowieso eher kaum geklappt (höchstens mit einer Form von Automatisierung).

Die Idee ist aber auch z.B. die Steuerknoten von Botnetzen zu bombardieren um sie damit unbrauchbar zu machen. Oder die Zieladdressen von diversen Datensammlern (Keylogger u.ä.). Oder gleich allgemein untrackable domains, denn das ist ein weiteres, meises Geschäftsfeld das mit denen getrieben wird (damit meine ich nicht, whois-anonymisierte Domains. Die Lassen sich per Gerichtsbeschluss natürlich nachverfolgen, wenn bei einem Anbieter in einem "normalen" Land).
#7
customavatars/avatar135109_1.gif
Registriert seit: 24.05.2010

Kapitänleutnant
Beiträge: 1769
Ja ich weiss das nicht jeder sich mit der Materie auskennt, aber die Kommentare hier tun echt weh. DragonTear scheint das Thema nur aus Filmen zu kennen.
Brassel nein dieser hier nicht, da hat einer einfach ausprobiert wie viel Kapazität das neue Angriffsszenario bietet, Github war nur das Ziel, weil man dann dem eigentlichen Ziel einfach die News Meldung schicken kann und die wissen dann was denen Blüht falls sie nicht Zahlen.
#8
customavatars/avatar283_1.gif
Registriert seit: 03.07.2001
127.0.0.1
Admiral
Altweintrinker
Beiträge: 25441
@Dragon:

Du hast nicht so ganz verstanden, was ich meinte. Sollte ein Scherz sein, aufgrund deiner etwas unglücklichen Formulierung. :wink:
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Deutschen Bahn trainiert Mitarbeiter in der virtuellen Realität

Logo von IMAGES/STORIES/2017/DEUTSCHE_BAHN

Nicht nur das autonome Fahren auf der Straße spielt auf der GPU Technology Conference in München eine Rolle, auch die Deutsche Bahn hielt einen Vortrag, der sich mit dem Training von Mitarbeitern in einer virtuellen Umgebung befasste. Autonome Züge spielten jedenfalls keine Rolle, auch wenn in... [mehr]

TomsHardware.de muss seine Pforten schließen (Update)

Logo von IMAGES/STORIES/2017/THG

Eine der bekanntesten deutschen IT-Seiten TomsHardware.de wird abgeschaltet. Damit geht eine Ära zu Ende, denn die 1996 noch unter einem anderen Namen gestartete Webseite gehört sicherlich zu den Größen in diesem Bereich. Der genaue Termin für die Abschaltung der Server steht noch nicht... [mehr]

Interstellar: Hunderte CPUs berechnen schwarzes Loch

Logo von IMAGES/STORIES/2017/SCHWARZES-LOCH

Der Film Interstellar aus dem Jahre 2014 zeichnete sich vor allem durch eine möglichst realistische Darstellung und Simulation eines schwarzen Loches aus. Christopher und Jonathan Nolan schrieben das Drehbuch und zeichneten sich auch für die filmische Umsetzung verantwortlich. Der... [mehr]

Ende des Mining-Booms: Absätze bei den Grafikkarten brechen um bis zu 80 % ein...

Logo von IMAGES/STORIES/2017/BITCOIN

Investoren und Analysten mahnen seit Monaten vor einem Einbruch am Grafikkarten-Markt, doch bisher hat sich dies in den Absatz- und Umsatzzahlen der Hersteller noch nicht wirklich gezeigt. Nun mehren sich aber die Zeichen aus Asien, dass es ab März/April einen erheblich Einbruch bei den... [mehr]

NVIDIA intern: Begehrtestes Produkt ist ein Lineal

Logo von IMAGES/STORIES/2017/NVIDIA

Zwischen den Jahren einmal etwas Kurioses: Größere Unternehmen bieten ihren Mitarbeitern oftmals in internen Shops bestimmte Produkte an. T-Shirt und Kaffeetasse sind hier nur die einfachsten Beispiele. NVIDIA verkauft alle eigenen Produkte natürlich auch an die eigenen Mitarbeiter. Dazu... [mehr]

Ermittler nehmen großes, illegales Usenet-Portal vom Netz

Logo von RECHTSSTREIT

Wie die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) in Zusammenarbeit mit mehreren Ermittlungsstellen per Pressemitteilung bekannt gab, hat es am Mittwoch und Donnerstag eine bundesweite Groß-Razzia gegen das Portal „usnetrevoloution.info“ gegeben – wegen des Verdachts... [mehr]