Das Cybersecurity-Unternehmen Imperva hat bekannt gegeben, dass es am 27. Juni 2022 einen Distributed-Denial-of-Service-Angriff (DDoS) mit insgesamt über 25,3 Milliarden Anfragen abgewehrt hat.
Der „starke Angriff“, der auf ein ungenanntes chinesisches Telekommunikationsunternehmen abzielte, soll vier Stunden gedauert haben und erreichte einen Spitzenwert von 3,9 Millionen Anfragen pro Sekunde (RPS).
„Die Angreifer nutzten HTTP/2-Multiplexing, also das Zusammenfassen mehrerer Pakete zu einem, um mehrere Anfragen auf einmal über einzelne Verbindungen zu senden“, so Imperva in einem am 19. September veröffentlichten Bericht.
Der Angriff wurde von einem Botnetz aus gestartet, das fast 170.000 verschiedene IP-Adressen umfasste, die Router, Sicherheitskameras und kompromittierte Server in mehr als 180 Ländern umfassten, vor allem in den USA, Indonesien und Brasilien.
Der Webinfrastrukturanbieter Akamai meldete am 12. September einen neuen DDoS-Angriff auf einen Kunden in Osteuropa, bei dem der Datenverkehr auf 704,8 Millionen Pakete pro Sekunde (pps) anstieg.
Dasselbe Opfer wurde bereits am 21. Juli 2022 in ähnlicher Weise angegriffen, wobei das Angriffsvolumen über einen Zeitraum von 14 Stunden auf 853,7 Gigabit pro Sekunde (Gbps) und 659,6 Millionen pps anstieg.
Craig Sparling von Akamai sagte, dass das Unternehmen „unablässig mit ausgeklügelten DDoS-Angriffen (Distributed Denial of Service) bombardiert wurde“, was darauf hindeutet, dass die Angriffe angesichts des laufenden Krieges Russlands gegen die Ukraine politisch motiviert sein könnten.
Bei den beiden Störversuchen handelte es sich um UDP-Flood-Angriffe, bei denen der Angreifer beliebige Ports auf dem Zielhost mit UDP-Paketen (User Datagram Protocol) angreift und überlastet.
Da UDP sowohl verbindungs- als auch sitzungslos ist, ist es ein ideales Netzwerkprotokoll für die Abwicklung von VoIP-Verkehr. Aber genau diese Eigenschaften können es auch anfälliger für Angriffe machen.
„Ohne einen anfänglichen Handshake, der eine legitime Verbindung sicherstellt, können UDP-Kanäle genutzt werden, um eine große Menge an Datenverkehr an jeden beliebigen Host zu senden“, sagt NETSCOUT.
„Es gibt keine internen Schutzmechanismen, die die Geschwindigkeit einer UDP-Flut begrenzen können. Daher sind UDP-Flood-DoS-Angriffe besonders gefährlich, weil sie mit einer begrenzten Menge an Ressourcen ausgeführt werden können.“