DDoS – Heftige Angriffe auf Github

DDoS – Heftige Angriffe auf Github

Github war am 28. Februar heftigsten DDoS-Angriffen ausgesetzt. Es war der stärkste DDoS-Angriff der Internet-Geschichte. Nie zuvor wurde ein so massiver Angriff registriert. Dennoch überstand Github die Attacke, nach einigen Minuten war alles vorbei.

Für die Einen ist es ein Versionskontrolldienst, für die Anderen das geilste Sourcecode-Lager der Welt. Github war am Mittwoch der vergangenen Woche heftigsten DDoS-Angriffen ausgesetzt.  Seit Jahren nutzen Kriminelle DDoS-Angriffe, um Unternehmen gezielt zu schädigen. Ihre immense Schlagkraft macht sie zu einer unkalkulierbaren, ernst zu nehmenden Gefahr.

Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) ist ein verteilter Denial-of-Service (DoS), der wiederum eine Dienstblockade darstellt. Diese liegt vor,  wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auslöser ist in den meisten Fällen eine Überlastung der IT-Infrastruktur. Angreifer nutzen diese Art der Cyber-Kriminalität, um von ungeschützten Unternehmen Lösegelder zu erpressen.

Während des Angriffes wurden innerhalb weniger Minuten um die 1,3 Terabit Daten pro Sekunde in Richtung Github-Server geschleudert. Doch der Angriff auf Github war anders gelagert als zum Beispiel der Grosse Mirai-Botnet-Schlag von 2016, der etwa die Hälfte der Datenmenge auf die Server eines Sicherheitsdienstes warf. Es handelte sich diesmal nicht um den Angriff eines Zombie-Bot-Netzwerks, das tausende übernommene Einheiten in den Krieg führt. Stattdessen handelte es sich um einen Response-Angriff, bei dem unzählige kleinster Anfragen mit verfälschter Absender-IP (in unserem Falle die von Github-Servern) an tausende Server bestimmter Datendienstanbieter, wie Memcached, gesendet wurden. Die Antworten der angefragten Server sind viel datenintensiver als die Mikroanfragen der eigentlichen Täter und legen so das angestrebte Angriffsziel lahm. Es ist also möglich von einer kleinen Einheit, zum Beispiel einem kleinen PC oder einem mobilen Raspberry Pi mit Tor-Anbindung, über ein beliebiges W-Lan unzählige kleinster Anfragen an Memcached-Server zu senden, die dann zur Beantwortung ungleich größere Datenmengen auf die Reise schicken und zwar an das eigentliche Ziel, in unserem Falle Github. Jetzt werden Netzwerk ebenso wie auch Server belastet. Sowohl im Ziel, als auch auf den Weg dorthin, kann nur noch ein Bruchteil des Datenverkehrs abgewickelt werden. So kommen eigentlich legitime Anfragen nicht mehr durch oder können nur noch eingeschränkt bearbeitet werden.

Github selbst spricht von einer Verstärkung von 1 zu 51.000. Das bedeutet, dass für jedes Angriffs-Byte in Richtung Memcached gleich 51 Kilobyte von Memcached auf Github geflogen sind. Die Turmuhr der Saints Peter and Paul Kirche schlug exakt 8.21 Uhr als der Angriff begann. Unmittelbar nach Angriffsbeginn hörte Github auf, im Internet zu existieren. Es dauerte fünf bis 10 Minuten, dann schaltete Github den Sicherheitsanbieter Akamai ein, der auf solche Angriffe spezialisiert ist. Mit Glockenschlag 17.30 war Github wieder vollständig verfügbar.

Github gab an, nun noch mehr auf derartige Angriffsscenarien eingehen zu wollen, um die eigene Infrastruktur besser schützen zu können. Offenbar will man auch auf den Einsatz von KI setzen, denn so Github: Der neue Schutz gegen derartige Angriffe soll auch unabhängiger von menschlichen Eingriffen machen. Der Sicherheits-Anbieter Akamai geht davon aus, dass es nur eine Frage der Zeit ist, bis es zu noch stärkeren Memcached-Angriffen kommt. Bitte beteiligt Euch nicht an derartigem Blödsinn.

Herzlichst Euer @AndreasKoeppen

Bildquelle: kalhh, thx! (CC0 Public Domain)

Was dich noch interessieren könnte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.