15,3 Millionen Anfragen pro Sekunde
Mächtiger HTTPS-DDoS-Angriff auf Cloudflare-Kunden
Foto: Gorodenkoff - shutterstock.com
Anfang des Monats entschärfte der Softwareanbieter Cloudflare den größten DDoS-Angriff über HTTPS, den das Unternehmen je erlebt hat. 15,3 Millionen Anfragen pro Sekunde (requests per second, rps) sollten die IT-Systeme eines Cloudflare-Kunden in die Knie zwingen.
Bereits in der Vergangenheit hatte Cloudflare sehr große Angriffe über HTTP beobachtet. Dagegen sind DDoS-Angriffe über HTTPS dem Anbieter zufolge seltener. Denn aufgrund des hohen Aufwands für den Aufbau einer sicheren, über TLS verschlüsselten Verbindung kosten sie den Angreifer viele Rechenressourcen. Dafür sind solche Attacken für die Opfer schwerer abzuwehren.
- Dauer des DDoS-Angriffs
Der Angriff, der sich gegen einen Cloudflare-Kunden richtete, dauerte weniger als 15 Sekunden. - Verteilung des Angriffsverkehrs nach Kundenstandort
Der meiste Angriffsverkehr kam aus Indonesien. - Verteilung des Angriffsverkehrs nach Netzwerk
Aus diesen Netzwerken stammten die Attacken.
DDoS-Angriff auf Cloudflare-Kunden
Weniger als 15 Sekunden dauerte der Angriff. Er zielte auf einen Cloudflare-Kunden, der ein Crypto Launchpad betreibt, um Kryptowährungen und Token anzubieten. Cloudflare beobachtete, dass die Attacke von einem Botnet gestartet wurde. Ähnliche Angriffe hatte das Unternehmen bereits mit bis zu 10 Millionen rps gesehen. Der Anbieter weist darauf hin, dass seine Kunden gegen dieses Botnet geschützt sind und keine Maßnahmen ergreifen müssen.
Das Bot-Netz bestand aus etwa 6.000 einzelnen Bots. Die Angreifer kamen aus 112 Ländern, verteilt über die ganze Welt. Fast 15 Prozent des Angriffsverkehrs stammte aus Indonesien, gefolgt von Russland, Brasilien, Indien, Kolumbien und den USA.
Innerhalb dieser Länder ließ sich die Attacke über 1.300 verschiedenen Netzwerken zuordnen. Zu den relevantesten Netzwerken gehörten die des deutschen Anbieters Hetzner Online, Azteca Communication Colombia und OVH in Frankreich.
Wie Cloudflare den DDoS-Angriff erkannt und abgewehrt hat
Um Unternehmen vor DDoS-Angriffen zu schützen gibt es eine Reihe von Anbietern mit automatisierten Lösungen. Auch die Software von Cloudflare erkannte und entschärfte die Attacke automatisch. Und zwar indem Stichproben des Datenverkehrs analysiert wurden und bei Anomalien sofort entsprechende Sicherheitsmaßnahmen ergriffen wurden.
Dafür wurde der Datenverkehr zunächst über BGP Anycast durch das Internet zu den nächstgelegenen Cloudflare-Rechenzentren geleitet. Dort wurden die Datenströme von den DDoS-Systemen asynchron untersucht. Die Analyse erfolgte mithilfe von Datenstreaming-Algorithmen, die daraus mehrere Echtzeit-Signaturen erstellten. Jedes Mal, wenn eine Anfrage mit einer dieser Signaturen übereinstimmte, wurde um einen Zähler erhöht. Als der Schwellenwert für eine bestimmte Signatur erreicht war, triggerte dies den DDoS-Abwehrprozess an.
Trotz der Wucht dieses Angriffs, war er nicht der größte, dem Cloudflare jemals ausgesetzt war. Im August vergangenen Jahres attackierte ein Botnet mit einem DDoS-Angriff einen Kunden des Anbieters aus der Finanzbranche mit 17,2 Millionen rps. Allerdings wurde diese Attacke über HTTP und nicht über HTTPS durchgeführt.