Seit 2016 beobachtet NETSCOUT ASERT, dass Angreifer DDoS-Angriffe auf ganze CIDR-Blöcke und nicht auf einzelne IP-Adressen starten. Dieses Phänomen ist als Carpet-Bombing (Spread Spectrum, Subnet DDoS) DDoS-Angriff bekannt. Mit dieser zielgerichteten Methode sollte es für Verteidiger schwieriger werden, eingehende DDoS-Angriffe zu erkennen und zu klassifizieren, da sich einige DDoS-Abwehrsysteme ausschließlich auf die für bestimmte Hosts festgelegten Schwellenwerte für Pakete pro Sekunde (pps) und/oder Bits pro Sekunde (bps) stützten, um eingehenden DDoS-Angriffsverkehr zu erkennen.
Indem sie den Angriffsverkehr über ein oder mehrere größere Subnetze oder Supernetze verteilen, hoffen die Angreifer, DDoS-Attack Alarmierungen zu vermeiden, das beabsichtige Ziel dieser Angriffe zu verschleiern und die Erkennung und Abwehr dieser Carpet-Bombing-Angriffe zu erschweren. Fast alle bisher beobachteten Carpet-Bombing-DDoS-Angriffe nutzen bekannte Reflection/Amplification-DDoS-Angriffsvektoren wie DNS, NTP und TCP Reflection/Amplification.
Analyse
Das ASERT-Team von NETSCOUT analysiert nicht nur DDoS-Angriffswarnungen aus seinem ATLAS Visibility-Programm, um Carpet-Bombing-DDoS-Angriffe zu identifizieren, sondern auch speziell konfigurierte DDoS-Reflection/Honeypots, die NETSCOUT einen detaillierten Einblick in die Angriffsdynamik geben. Dieser Einblick in die weltweiten Carpet-Bombing-Angriffe ermöglicht es NETSCOUT, fundierte Entscheidungen über Produktfunktionen und -verbesserungen zur Bekämpfung dieser Angriffstechnik zu treffen.
Carpet-Bombing Attack-Size und Dauer
Das Ziel eines DDoS-Angreifers ist es in der Regel Dienste und Verfügbarkeit auszuschalten und startet somit große Angriffe gegen einen einzelnen Host. Diese lange vorherrschende Angriffsmethode wehrten die meisten DDoS-Lösungen mit hostbasierter Überwachung ab. Aus heutiger Sicht reicht dies aber nicht mehr aus.
Wenn ein Angreifer beschließt Carpet-Bombing zu nutzen, könnte er einen Angriff mit 100 Gbit/s-Angriff starten, aber 1.000 Hosts gleichzeitig angreifen. Dies würde dazu führen, dass jeder Host 12,5 Mbit/s an Datenverkehr erhält, wodurch fast alle Bandbreitenschwellen von DDoS-Erkennungssystemen umgangen werden, aber die gleiche Menge an Datenverkehr im Netzwerk entsteht. Auch wenn der spezielle Host, den der Angreifer ausschalten wollte, möglicherweise nicht von der gesamten Datenverkehrsflut betroffen ist, ist es möglich, ja sogar wahrscheinlich, dass der gesamte Netzblock durch die Überlastung ganzer CIDR-Blöcke mit DDoS-Angriffsdatenverkehr beeinträchtigt wird oder ausfällt.
Die meisten dieser Angriffe sind relativ kurzlebig. 90 % von ihnen dauern nur eine Minute. Betrachtet man dies aus der Sicht eines potenziellen Angreifers, liegt die Ursache für die kurze Dauer wahrscheinlich in den Ressourcen, die für die Durchführung dieser Angriffe zur Verfügung stehen. Die meisten Booter/Stresser-Dienste ermöglichen Angriffe auf einen einzelnen Host zu günstigen Preisen, manchmal sogar kostenlos. Es gibt jedoch nicht viele, die gleichzeitige Ziel-IPs zulassen, ohne eine Art Premium-Tarif zu verlangen. Daher werden viele der länger andauernden Angriffe wahrscheinlich von professionellen Angreifern verübt und nicht von opportunistischen Spielern, die versuchen, ihre Gegner offline zu schalten. Andererseits gibt es auch Angriffe, die bis zu 24 Stunden dauerten.
Häufigkeit und Ziele von Carpet-Bombing-Angriffen
NETSCOUTs Honeypots verzeichnen im Durchschnitt 6.000 DDoS-Angriffe pro Tag. Dies entspricht, konservativ geschätzt, mehr als 400.000 Angriffe seit Juli 2023, da nur Nicht-TCP Reflection/Amplification-Carpet-Bombing-Angriffe für diese Analyse berücksichtigt wurden. Darüber hinaus kategorisiert NETSCOUTs ATLAS-System durchschnittlich 740 Carpet-Bombing-Angriffe mit hoher Bandbreite/Durchsatz pro Tag. Diese Zahl mag im Vergleich zu den Honeypot-Beobachtungen zunächst gering erscheinen, doch ATLAS gewährt Einblicke in Netzwerke von Dienstanbietern, in denen ein Bandbreitenschwellenwert erst dann ausgelöst wird, wenn ein einzelner Host 10 Gbit/s oder mehr an DDoS-Angriffsverkehr erhält.
Im Durchschnitt sind 100 Hosts das Ziel eines Carpet-Bombing-Angriffs, aber es wurden bis zu 8.000 IPv4-Adressen zur gleichen Zeit angegriffen. Betrachten wir nun ein Netzwerk eines Dienstanbieters mit einem 10 Gbit/s Schwellenwert für Host-Warnungen und multiplizieren Sie dies mit durchschnittlich 100 angegriffenen Hosts. Dies würde einem 1-TBit/s-Carpet-Bombing-Angriff entsprechen, einem Phänomen, das weltweit immer wieder beobachtet wird. Carpet-Bombing-Angriffe haben im Jahr 2023 mit Steigerungsraten zwischen 30 % und 50 % im Vergleich zum Vorjahr deutlich zugenommen.
Fazit
Carpet-Bombing-DDoS-Angriffe haben zu einem Paradigmenwechsel bei der Erkennung und Abwehr von DDoS-Angriffen geführt. Diese Angriffsmethodik umspannt den gesamten Globus und nutzt verschiedene Vektoren, was sie zu einer sehr heimtückischen Bedrohung macht, die besondere Sorgfalt erfordert, um sie zu abzuwehren.
Carpet-Bombing wird nicht verschwinden. Es muss daher sichergestellt werden, dass ein angemessener Schutz vorhanden ist, um auf diese Angriffe vorbereitet zu sein. NETSCOUTs Sightline/TMS DDoS-Abwehrlösungen ermöglichen es Service Providern neue Erkennungsmechanismen anzuwenden, um die zunehmende Geschwindigkeit von Carpet-Bombing-Angriffen zu erkennen, gleichermaßen bieten Always-in-line-Lösungen wie die Arbor Edge Defense „AED“ Echtzeitschutz auf Paketebene vor diesen Angriffen.
Ein Kommentar von Karl Heuser, Business Manager Security – Enterprise (DACH & EEUR) bei NETSCOUT.
Quelle: NETSCOUTKarl Heuser, Business Manager Security – Enterprise (DACH & EEUR) bei NETSCOUT
