DDoS-Angriff Poking - der will (nicht) nur spielen

In der Serie The Art of Defense geben wir Einblick in unsere tägliche Arbeit bei der Abwehr von Angriffen auf Server, Applikationen und Netze.

In diesem Artikel beschreiben wir einen DDoS-Angriff, der meist nur lästig ist und die Abwehrmöglichkeiten immer mal wieder überprüfen soll: das sog "Poking", auf deutsch "Stochern", eher zu übersetzen mit "an der Tür rütteln".

Diese Attacken sehen wir sehr häufig und regelmäßig und zeichnen sich durch folgende Faktoren aus:

Poking hat verschiedene Zwecke:

Ein Poking-Angriff soll also nicht primär erfolgreich sein sondern dient der Aufklärung und Tests der Abwehr. Man sollte diese Angriffe als Ernst nehmen, zumindest aber beobachten.

In Bildern gesprochen:

(Bilder anklicken zum Vergrößern)

Der Screenshot zeigt zwei kurze aber heftige Attacken auf ein Ecommerce-System (Layer 7); die erste um 14.10 mit knapp 100.000 rpm und einer zweiten, kurz darauf um 14.13 mit 214.00 rpm / 3700 rps.

Dieser Angriff wurde von einigen wenige Servern aus durchgeführt

Poking kurz und schmerzlos


So stellt sich Poking im Vergleich zum normalen Traffic dar:

Poking vs normalem Traffic


Poking mit einigen wenigern Servern: Angriff kommta us dem nichts, keine Einschwingphase; Auflösung: 1 Sekunde

Poking ON-BZZZZT-OFF


regelmäßiges Poking & testen der Abwehrfähigkeit

Poking Summary, regelmäßiges Testen


date: 2016.05
tags: botnet ddos security taod taod_docs website

You code … we platform.