17.07.2013 17:00
Special Report: Der Spamhaus/CloudFlare/Stophaus Denial of Service Angriff
8. April 2013
Über den Denial-of-Service Angriff auf Spamhaus war in den Medien
in den letzten Wochen viel zu lesen. Auch für CERT.at als nationales CERT
von Österreich war das eine interessante Zeit.
Wir wollen in dem jetzt vorliegenden
Bericht
die Fakten zusammenfassen und vor allem darstellen, welche Lehren Österreich aus
diesem Vorfall ziehen sollte.
Der österreichische Kaiser soll, nachdem er von den Vorgängen
im Paris der französischen Revolution erfahren hat, angeordnet haben
in der Wiener Innenstadt die Kopfsteinpflaster durch größere Steinplatten
zu ersetzen. Er wollte nicht, dass das Material für Angriffe sprichwörtlich auf
Strasse liegt. Die gleiche Situation haben wir auch hier: Aktuell haben uns
die Angriffe nicht getroffen, aber wir haben gelernt, wie viele Plastersteine
(hier jetzt "offene rekursive Nameserver") in unseren Netzen herumliegen.
Wir sollten diese dringend wegräumen.
Informationsquelle(n):
Report
http://www.cert.at/static/downloads/specials/20130408-cert.at-report-ddos.pdf
Zusammenfassung
In der zweiten Märzhälfte 2013 kam es zu einer Serie von heftigen Denial-of-Service Angriffen auf "Spamhaus", einem Anbieter von Anti-Spam Blocklisten. In manchen Medien wurde dieser als Gefahr für die Stabilität des Internets beschrieben. Das war weit übertrieben: weder war die Angriffsmethode neu, noch war die Angriffsstärke um Größenordnungen höher als das bisher gesehene. Die Kollateralschäden für unbeteiligte Dritte blieben auf wenige Punkte im Netz beschränkt: die überwiegende Mehrheit der Internet-Nutzer blieb von dem Ereignis völlig unberührt. Sowohl die Angreifer als auch die Verteidiger haben während des Angriffs ihre Strategien flexibel an die Reaktion des Gegners angepasst, letztlich war aber die gut eingespielte Kooperation der Betriebsführungsteams der Netzbetreiber erfolgreich und diese konnten die Attacken gemeinsam abwehren. CERT.at als das österreichische nationale CERT ist in diese globale Zusammenarbeit eingebunden. Dennoch hat der Angriff einige Probleme aufgedeckt, die behoben werden sollten:- Fehler in der Absicherung der Internet-Basisinfrastruktur (Filter in Routing-Protokollen, Control-Plane Protection, …)
- Mangelnder Schutz gegen das Einspeisen von gefälschten IP-Paketen
- Fehlkonfiguration bei Nameservern, die sich dadurch als Angriffs-Verstärker ausnutzen lassen
Informationsquelle(n):
Report
http://www.cert.at/static/downloads/specials/20130408-cert.at-report-ddos.pdf