Werbung
Im Oktober 2016 waren zahlreiche Internet-Dienste wie Spotify, Netlix, Amazon, PayPal oder das PlayStation Network eine Zeitlang nicht erreichbar. Die Ursache war damals eine massive DDoS-Attacke auf den DNS-Anbieter Dyn bzw. auf dessen Server. Mit einer Bandbreite von satten 1,2 Terabit pro Sekunde war es der bislang stärkste Angriff dieser Art, den man im Internet verzeichnen konnte. Vor wenigen Tagen wurde dieser Negativ-Rekord noch einmal geknackt.
Wie die Programmier-Plattform GitHub am Donnerstag in einem „Incident Report“ bekannt gab, habe man am vergangenen Dienstag die bislang stärkste DDoS-Attacke registriert. Unbekannte Angreifer hatten die Server acht Minuten lang mit Anfragen bombardiert und damit eine durchaus beeindruckende Bandbreite von satten 1,35 Terabit pro Sekunde erzeugt. Es ist die bislang größte sogenannte Distributed-Denial-of-Service-Attacke, die registriert wurde.
Bei einer solchen DDoS-Attacke zwingen Angreifer die Server mit massenhaften Anfragen von gekaperten Servern, Computern und sogar Smart-Home-Geräten in die Knie, um einen Dienst lahmzulegen. Daten werden dabei nicht abgegriffen, was GitHub in seinem Bericht bestätigt. Nutzerdaten seien zu keinem Zeitpunkt in Gefahr gewesen, heißt es. Der Dienst war am Dienstag im Zeitraum von 17:21 bis 17:26 Uhr (UTC) überhaupt nicht zu erreichen, noch bis 17:30 Uhr (UTC) kam es zu Einschränkungen. Wenige Minuten später ging ein zweiter, schwächerer Angriff mit immerhin noch rund 400 Gbit/s ein.
Um den "bösen" Traffic herauszufiltern, schaltete GitHub Akamai ein, mit dessen Hilfe man den Angriff nach gerade einmal acht Minuten in den Griff bekommen konnte. Laut Akamai und GitHub kam dabei eine noch relativ junge Angriffs-Technik zum Einsatz. Bei einer „Memcached Amplification Attack“ werden Memcached-Server zweckentfremdet, die schlecht abgesichert über UDP auf Port 11211 öffentlich erreichbar sind und auf Anfrage die im Speicher-Cache liegenden Daten übermitteln. Damit die zehntausenden Antworten der Memcached-Server nicht beim Angreifer eingehen, werden diese auf die IP-Adresse des Opfers umgeleitet. Laut der Analyse von GitHub habe sich die DDoS-Attacke so um den Faktor 51.000 verstärkt, da für jedes Byte, das die Angreifer von ihren System an die Memcached-Server geschickt hatten, beim Angriffsziel 51 KB ankamen.
Auch wenn die Attacke den Dienst nur wenige Minuten lang lahmlegte, will GitHub seine Abwehrmaßnahmen in Zukunft verbessern und diese automatisiert anspringen lassen. Für GitHub war es nicht der erste Angriff dieser Art.