AWS wehrt Rekordattacke ab

Amazon hat in der AWS Shield Threat Landscape berichtet, dass bei einem ungenannten AWS-Kunden ein Distributed Denial of Service (DDoS)-Angriff mit entführten CLDAP-Webservern durchgeführt wurde mit einem rekordverdächtigen Datendurchsatz von 2,3 Terabyte pro Sekunde (Tbps) und das über drei Tage lang. Insgesamt hat AWS im ersten Quartal 2020 310.954 Attacken registriert, das sind 23 Prozent mehr als im Vorjahr.

CLDAP (Connection-less Lightweight Directory Access Protocol) ist eine Alternative zum älteren LDAP-Protokoll und wird zum Verbinden, Durchsuchen und Ändern von im Internet freigegebenen Verzeichnissen verwendet. Das Protokoll wird seit Ende 2016 für DDoS-Angriffe missbraucht, und CLDAP-Server sind dafür bekannt, den DDoS-Verkehr um das 56- bis 70-fache seiner ursprünglichen Größe zu steigern, was es zu einem sehr gefragten Protokoll und zu einer gängigen Option macht, die von DDoS-Mietdiensten angeboten wird.

Die am häufigsten beobachteten Netzwerk-Volumetrische DDoS-Vektoren sind UDP-Reflexionsangriffe. Dazu gehören Angriffe wie DNS-Reflektion, NTP Reflexion, SSDP-Reflexion und viele andere. Alle diese Vektoren ähneln sich insofern, als dass ein Angreifer die Quell-IP einer Anwendung imitiert und dann legitime UDP-Dienste im Internet überflutet. Viele von diesen Die Dienste werden unwissentlich mit einem oder mehreren größeren Paketen antworten, was zu einer größeren Verkehrsflut führt. Die größten bekannten DDoS-Angriffe sind UDP-Reflexionsangriffe. Es ist üblich, dass die größten UDP-Reflexionsangriffe stattfinden, kurz nachdem ein neuer Vektor entdeckt wurde.

Der bisherige Rekord für den größten jemals aufgezeichneten DDoS-Angriff lag bei 1,7 Tbps, der durch NETSCOUT Arbor im März 2018 verhindert wurde. Einen Monat vorher wurde Github mit 1,3 Tbps attackiert. Die DDoS-Angriffe von Netscout und GitHub missbrauchten Internet-exponierte Memcached-Server, um massive Bandbreiten zu erreichen.

Zum Zeitpunkt der Angriffe im Jahr 2018 war Memcached ein neuer DDoS-Angriffsvektor, und viele Hackergruppen und DDoS-Mietdienste beeilten sich, mehr als 100.000 Memcached-Server zu missbrauchen, um im Internet Verwüstungen anzurichten.

In der Zwischenzeit sind massive DDoS-Angriffe jedoch zu einer Seltenheit geworden, was in erster Linie darauf zurückzuführen ist, dass Internet-Service-Provider (ISPs), Content-Delivery-Netzwerke (CDNs) und andere wichtige Internetakteure zusammenarbeiten, um anfällige Memcached-Systeme zu sichern.

Heutzutage erreichen die meisten DDoS-Angriffe in der Regel ihren Höhepunkt im Bereich von 500 Gbps. Deshalb stellt die Nachricht über den AWS 2,3 Tbps-Angriff für die Akteure der Branche eine Überraschung dar. Akamai berichtete aktuell in ähnlicher Weise über die Verhinderung eines DDoS-Angriffs von 1,44 Tbps in der ersten Juniwoche 2020.

Diese Zahlen sind jedoch Raritäten und die Ausreißer in jedem DDoS-Quartalsbericht. Die meisten DDoS-Angriffe sind von geringem Umfang. Link11 berichtet, dass die durchschnittliche Größe eines DDoS-Angriffs im Q1 2020 nur 5 Gbps betrug.

Laut Cloudflare lagen 92% der DDoS-Angriffe, die er im 1. Quartal 2020 festgestellt wurden, unter 10 Gbps und 47% unter 500 Mbps.

Zur Abwehr von DDoS-Attacken rät AWS seinen Kunden zu folgenden Best Practices:

– Schützen Sie Internet-facing Ressourcen mit AWS Shield Advanced.

– Verwenden Sie AWS Firewall Manager zur zentralen Verwaltung von Schutzrichtlinien über mehrere Konten hinweg.

– Nutzen Sie Amazon CloudFront und Amazon Route 53

– Verwenden Sie AWS Web Application Firewall (WAF) und Rate-Based Rules, um Angriffe auf der Anwendungsebene abzuschwächen.