CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/maechtiger-https-ddos-angriff-auf-cloudflare-kunden,3673903

15,3 Millionen Anfragen pro Sekunde

Mächtiger HTTPS-DDoS-Angriff auf Cloudflare-Kunden

Datum:29.04.2022
Autor(en):Melanie Staudacher
Cloudflare hat eine breit angelegte DDoS-Attacke gegen einen ihrer Kunden entschärft. Der Angriff war von Botnets aus verschiedenen Ländern parallel gestartet worden.

Der DDoS-Angriff war heftig – er bestand aus 6.000 Bots aus 112 Ländern.
Foto: Gorodenkoff - shutterstock.com

Anfang des Monats entschärfte der Softwareanbieter Cloudflare den größten DDoS-Angriff über HTTPS1, den das Unternehmen je erlebt hat. 15,3 Millionen Anfragen pro Sekunde (requests per second, rps) sollten die IT-Systeme eines Cloudflare-Kunden in die Knie zwingen.

Bereits in der Vergangenheit hatte Cloudflare sehr große Angriffe über HTTP beobachtet. Dagegen sind DDoS-Angriffe über HTTPS2 dem Anbieter zufolge seltener. Denn aufgrund des hohen Aufwands für den Aufbau einer sicheren, über TLS3 verschlüsselten Verbindung kosten sie den Angreifer viele Rechenressourcen. Dafür sind solche Attacken für die Opfer schwerer abzuwehren.

[Hinweis auf Bildergalerie: DDoS-Attacke auf Cloudflare] gal1

DDoS-Angriff auf Cloudflare-Kunden

Weniger als 15 Sekunden dauerte der Angriff. Er zielte auf einen Cloudflare-Kunden, der ein Crypto Launchpad betreibt, um Kryptowährungen4 und Token anzubieten. Cloudflare beobachtete, dass die Attacke von einem Botnet5 gestartet wurde. Ähnliche Angriffe hatte das Unternehmen bereits mit bis zu 10 Millionen rps gesehen. Der Anbieter weist darauf hin, dass seine Kunden gegen dieses Botnet geschützt sind und keine Maßnahmen ergreifen müssen.

Das Bot-Netz bestand aus etwa 6.000 einzelnen Bots. Die Angreifer kamen aus 112 Ländern, verteilt über die ganze Welt. Fast 15 Prozent des Angriffsverkehrs stammte aus Indonesien, gefolgt von Russland, Brasilien, Indien, Kolumbien und den USA.

Innerhalb dieser Länder ließ sich die Attacke über 1.300 verschiedenen Netzwerken zuordnen. Zu den relevantesten Netzwerken gehörten die des deutschen Anbieters Hetzner Online, Azteca Communication Colombia und OVH in Frankreich.

Wie Cloudflare den DDoS-Angriff erkannt und abgewehrt hat

Um Unternehmen vor DDoS-Angriffen6 zu schützen gibt es eine Reihe von Anbietern mit automatisierten Lösungen. Auch die Software von Cloudflare erkannte und entschärfte die Attacke automatisch. Und zwar indem Stichproben des Datenverkehrs analysiert wurden und bei Anomalien sofort entsprechende Sicherheitsmaßnahmen ergriffen wurden.

Dafür wurde der Datenverkehr zunächst über BGP Anycast7 durch das Internet zu den nächstgelegenen Cloudflare-Rechenzentren geleitet. Dort wurden die Datenströme von den DDoS-Systemen asynchron untersucht. Die Analyse erfolgte mithilfe von Datenstreaming-Algorithmen, die daraus mehrere Echtzeit-Signaturen erstellten. Jedes Mal, wenn eine Anfrage mit einer dieser Signaturen übereinstimmte, wurde um einen Zähler erhöht. Als der Schwellenwert für eine bestimmte Signatur erreicht war, triggerte dies den DDoS-Abwehrprozess an.

Trotz der Wucht dieses Angriffs, war er nicht der größte, dem Cloudflare jemals ausgesetzt war. Im August vergangenen Jahres attackierte ein Botnet mit einem DDoS-Angriff einen Kunden des Anbieters aus der Finanzbranche mit 17,2 Millionen rps8. Allerdings wurde diese Attacke über HTTP und nicht über HTTPS durchgeführt.

Links im Artikel:

1 https://blog.cloudflare.com/15m-rps-ddos-attack/
2 https://www.cloudflare.com/de-de/learning/ddos/http-flood-ddos-attack/
3 https://www.computerwoche.de/a/was-ist-ssl-tls,3553233
4 https://www.computerwoche.de/a/bitcoin-ist-und-bleibt-betrug,3552613
5 https://www.csoonline.com/de/a/was-ist-ein-botnet,3673859
6 https://www.computerwoche.de/a/was-ist-ein-ddos-angriff,3552606
7 https://www.ionos.de/digitalguide/server/knowhow/anycast/
8 https://blog.cloudflare.com/cloudflare-thwarts-17-2m-rps-ddos-attack-the-largest-ever-reported/

Bildergalerien im Artikel:

gal1 DDoS-Attacke auf Cloudflare
Dauer des DDoS-Angriffs
Der Angriff, der sich gegen einen Cloudflare-Kunden richtete, dauerte weniger als 15 Sekunden.
Foto: Cloudflare
Verteilung des Angriffsverkehrs nach Kundenstandort
Der meiste Angriffsverkehr kam aus Indonesien.
Foto: Cloudflare
Verteilung des Angriffsverkehrs nach Netzwerk
Aus diesen Netzwerken stammten die Attacken.
Foto: Cloudflare

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.