DDoS-Angriffe auf ukrainische und russische Rechenzentren

Updates


Die 8ack GmbH betreibt in Kooperation mit dem deutschen DDoS-Schutz Anbieter Link 11 ein Honeypot-Netzwerk zur Erprobung eines DDoS-Frühwarnsystems.

In den letzten Tagen kam es vermehrt zu DDoS - Angriffen gegen ukrainische und russische Rechenzentren. Unsere Honeypots haben 5 Wellen registriert, die zwischen dem 19.04. und 29.04. 4 verschiedene Rechenzentren getroffen haben. Die kompletten Rechenzentren mit mehreren tausend IPs und Servern waren jeweils mehrere Stunden offline. Hauptziel der Angriffe war ein Rechenzentrum Kiew, dass bei allen Wellen angegriffen wurde und jeweils für Stunden komplett unerreichbar war.

Disclaimer: die von uns bei den Angriffen eingesetzten HoneyBots haben die Angriffe jeweils nur simuliert, aber nicht real durchgeführt; eine Gefahr für Rechenzentren und Internet-Infrastruktur geht von unseren HoneyBots also nicht aus.

Zusammenfassung


Angriffe auf Rechenzentren in der Ukraine und Russland  - global

Server Down - Dashboard

In der erste Welle vom 19.04.-21.04. waren 2 Kiewer Rechenzentren betroffen: HighLoadSystems, wahrscheinlich ein Anti-DDOS-Dienst, der seine Angebote im Stillen anbietet, und 0x2A Datacenter, ein klassisches Online-Rechenzentrum. Ab der zweiten Welle dann konzentrierten sich die Angriffe auf 0x2A Datacenter.

Wir haben Kontakt mit 0x2A aufgenommen und folgende Info zu dem Vorfall bekommen:

Hello, today was our Addiction attack power of 100GB / s network 
**. ***. 117.0 / 24 for each of the
addresses including 117.0 and 117.255.

It was _very hard_ because the scale of the attack is almost 
impossible to fight off a few hours, 
our company was simply helplessness.

Eine Einschätzung zur Dimension des Angriffs durch unseren Partner Link 11:

was bedeutet ein 100GBit/s - DDoS-Angriff für einen Hoster/Provider?

wie kann man solch einen Angriff überleben?

warum denken Sie wurden alle IPs der RZs angegriffen und nicht einzelne?

Angriffe in Wellen

Die erste Welle richtete sich gegen "0x2A" und "HighLoadSystems" und dauerte insgesamt 30 Stunden. In der ersten Phase dieser Welle testeten die Angreifer die Angriffswege, in der 2. Phase, die insgesamt 16h dauerte, waren die beiden Rechenzentren komplett unerreichbar. Das ungewöhnlich an den Attacken: die Angreifer hatten es nicht auf einzelne Server / Webseite abgesehen sondern mit ihrem Angriff dafür gesorgt, dass alle Server und Dienste in diesen Rechenzentren nicht mehr verfügbar sind. DDoS-Attacken gegen mehrere Server/IPs eines ISPs oder Hosters sehen wir recht häufig; dass aber alle IPs attackiert werden, selbst solche, die nicht Online sind, ist bisher in dieser Art bei unseren Honeypots nicht aufgefallen. Die Angreifer wollten auf jeden Fall sicherstellen, dass das komplette Rechenzentrum down ist; welches Ziel hinter dieser Methode steht bleibt unklar; ob das eigentlich Ziel des Angriffs verschleiert werden sollte oder ob die Angreifer es tatsächlich auf die Betreiber des Rechenzentrums abgesehen haben, können wir anhand der vorliegenden Daten nicht sagen; gegen letztere Sichtweise spricht eventuell, dass verschiedene Rechenzentren sowohl in der Ukraine als auch in Russland angegriffen wurden.

Beginnend mit der 1. und zum Ende der 2. Welle wurde auch ein Rechenzentrum in Russland angegriffen THEServer.ru / ISPSystem.net, und es gelang den Angreifern auch hier, das jeweiligen RZ komplett zu überfluten und unerreichbar zu machen. Die Angriffsmethode war die gleiche, nur die Zeiträume waren jeweils kürzer.

Angriffe auf Rechenzentren in Russland

Die 2. Welle konzentrierte sich auf ukranischer Seite komplett auf den bereits getroffenen Hoster "0x2A", der diesmal für 14h angegriffen wurde und in diesem Zeitrum nicht erreichbar war. Auch bei diesem Angriff waren alle Server und IPs von der Attacke betroffen. Im Vergleich zur 1. Welle war dieser Angriff zeitlich kürzer, dafür doppelt so stark; nach Angabe von 0x2A wurde das Rechenzentrum mit 100 GB/s geflutet und war damit hoffnungslos überlastet.

Auffällig bei der 2. Welle ist ein kurzer aber heftiger Angriff am Anfang der gegen ein weiteres russisches RZ, infobox/datapoint.ru, der dieses Rechenzentrum für 2-3h traf und komplett unerreichbar machte.

Angriffe - 2. Welle

In der 3. und letzten Welle war nur noch "0x2A" betroffen, diese Phase dauerte 45 Minuten, traf den Hoster aber nicht weniger schlimm als die vorhergehenden Angriffe

In allen Phasen konnten auch Angriffe gegen einzelne IPs bei DIAWEST, einem weiteren Kiewer ISP, beobachtet werden. Diese Angriffe waren kurz und heftig, aber nicht gegen das gesamte Rechenzentrum gerichtet, und damit vom Provider auch einfacher zu bekämpfen.

Analyse der Angriffe

Alle Angriffe wurden via DNS Amplification Attack ausgeführt, das Volumen betrug nach Aussage eines von uns angeschriebenen Hosters 100 GB/s.

Wenn das Ziel der Angreifer war, die Rechenzentren jeweils komplett unerreichbar zu machen, wurde dieses Ziel erreicht. Dazu wurde ein massiver Angriff gegen alle IPs des betroffenen Rechenzentrum geführt, sodass dem Betreiber keine Chance blieb, den Angriff durch Nullrouting/Blackholing abzuwehren. Diese Taktik kann aus unterschiedlicher Motivation seitens der Angreifer gewählt worden sein: entweder man will einen größtmöglichen Schaden beim betroffenen Rechenzentrum anrichten oder das eigentliche Ziel des Angriffs verschleiern.

Ein weiteres Merkmal, vor allem der beiden längeren Wellen, ist eine Testphase am Anfang, bei der die Angreifer womöglich getestet haben, welche und wieviele Server (Bots) für den DDoS-Angriff zur Verfügung stehen, um dann auf einen Schlag das komplette Rechenzentrum anzugreifen. Der Hauptangriff gegen alle IPs geschah innerhalb von 2 Minuten, um dann für mehrere Stunden bei gleicher Intensität weiterzugehen. Genauso schlagartig, wie der Angriff begann, endete er auch wieder: innerhalb einer Minute stoppte die Attacke und kam komplett zum Stillstand.

Angriffe - 2. Welle

Die Grafik oben zeigt die Analyse für 2 an den Angriffen simuliert teilnehmenden HoneyBots und es ist zu sehen, dass beide HoneyBots während er Hauptphase des Angriffs die gleiche Auslastung zeigen (100.000 Angriffe/h -> knapp 30 Angriffe/Sekunde). Verglichen mit anderen Angriffen, bei denen wir teilweise bis zu 2 Mio Angriffe/Minute gesehen haben, wurde der Angriff je HoneyBot bei allen 3 Phasen immer nur im unteren Lastbereich gefahren; umgerechnet bedeuten die simulierten 30 Angriffe/Sekunde ca 1 MBit/s. Warum die Angreifer unsere HoneyBots nur mit 1 Mbit/s genutzt haben, auch wenn diese mit 1Gbit/s angebunden sind ist unklar; möglich ist, dass sie einer Entdeckung durch die Betreiber der missbrauchten Systeme entgehen wollten, oder aber so viele Systeme zur Verfügung hatten, dass jeder angreifende Server mit geringen Kapazitäten am Angriff teilnehmen konnten; hochgerechnet hiesse dies: die Angreifer hatten ca 100.000 Systeme zum Angriff unter ihrer Kontrolle.

Kontakt

date: 2015.04
tags: analyse attack ddos security server taod

You code … we platform.