Amazon Web Services konnte im Februar dieses Jahres einen DDoS-Angriff abwehren, welcher in der Spitze 2,3 Terabit pro Sekunde erreichte. Das geht aus dem Threat Landscape Report von Amazon Shield hervor. Dies wäre der mit Abstand massivste DDoS-Angriff aller Zeiten.

Das Amazon Web Services Shield ist ein Bedrohungsschutzdienst, der Anwendungen, die auf Amazon Web Services laufen, schützt. Vor allem gegen die Ausnutzung von Anwendungsschwachstellen, Bad Bots und DDoS-Angriffe.

In dem Threat Landscape Report von Amazon Shield für das erste Quartal 2020 beschreibt die Bedrohungslage in Statistiken. 2020 wurden demnach bereits 310.954 Vorfälle registriert. Der massivste Vorfall dauerte drei Tage und hatte eine Spitze von 2,3 Terabit/Sekunde. In zehn Sekunden sind das die Menge an Daten einer vollen modernen Festplatte, die an Netzwerkverkehr zusätzlich erzeugt wird.

Erläutert wird im Bericht auch, dass die Anzahl der Angriffe von der steigenden Anzahl von Anwendungen auf Amazon Web Services beeinflusst wird. Der Bericht gibt keinerlei Auskunft, welcher Kunde angegriffen wurde. Allerdings teilt das Unternehmen mit, dass CLDAP-Server für die Attacke missbraucht wurden. Bei dieser DDoS-Angriffsart sendet ein Angreifer CLDAP-Anfragen an einen LDAP-Server und tarnt dabei die Sender-IP als die des Ziels. Dann überflutet der Server sein Angriffsziel mit Traffic.

CLDAP wurde mit einem noch nie da gewesenen Volumen von 2,3 Tbps beobachtet. Laut dem Quartalsbericht sei dies etwa 44 % mehr als jedes bisherige volumetrische Netzwerkereignis. Dieser CLDAP-Reflexionsangriff hatten im Februar 2020 innerhalb einer Woche drei Tage lang eine stark erhöhte Bedrohung. Dann klangen sie wieder ab. In der Regel kämen derartige kleinere volumetrische Netzwerkereignisse weitaus häufiger vor. 99 % aller ähnlichen Angriffe im 1. Quartal 2020 lagen im Bereich von 43 Gigabit/Sekunde. Zwei Jahre zuvor, im März 2018, wurde der bis dahin größte bekannte DDoS-Angriff registriert. Damals lag die Spitze bei 1,7 Terabit/Sekunde. Im gleichen Jahre fand der zweitgrößte Angriff statt mit 1,35 Terabit/Sekunde.

CLDAP steht für Connection-less Lightweight Directory Access Protocol. Daneben gibt es noch das ältere LDAP-Protokoll. CLDAO wird zum Verbinden, Durchsuchen und Ändern von im Internet freigegebenen Verzeichnissen eingesetzt.

Protokolle dieser Art sind unter DDoS-Angreifern beliebt seit Ende 2016. Diese Server sind dafür bekannt, dass sie für jedes eingehende Byte einen ausgehende Datenverkehr erzeugen können, der um das 56- bis 70-fache seiner ursprünglichen Größe ist. Daher sind sie sehr populär unter DDoS-Mietdiensten. Wird dann die Absenderadresse gefälscht und die Opfer-IP eingetragen, erhält das Opfer die immense Datenmenge und ertrinkt förmlich in der Datenmenge.

Ssolche massiven DDoS-Angriffe sind heutzutage eher eine Seltenheit. Dies ist darauf zurückzuführen, dass Internet-Service-Provider, Content-Delivery-Netzwerke und andere wichtige Internetdienstleister zusammenarbeiten, um anfällige Systeme zu sichern. Amazon Web Services Shield, Cloudflare und Akamai zählen zu den größten Online-Diensten dieser Art.

Die Cloud-Sicherheitsfirma Akamai meldete ebenfalls einen massiven DDoS-Angriff. Dieser erreichte in der Spitze 1,44 Terabit/Sekunde und fand im Juni 2020 statt. Der Angriff sei überraschenderweise recht kompliziert aufgebaut gewesen. Mehrere in aller Welt verstreute Botnetze wurden dabei eingesetzt. Weiter Informationen seitens Akamai liegen bisher nicht vor. Der Branchenriese Cloudflare meldete im ersten Quartal 2020 einen Angriff, der nur auf 550 Gigabit/Sekunde kam.

Obwohl diese Vorfälle alle als Ausreißer angesehen werden, befürchten Experten für die Zukunft, dass diese zur Regel werden könnten.

Artikel von amazonaws.com, AWS Shield Threat Landscape Report – Q1 2020
Artikel von zdnet.com, 17.06.2020: AWS said it mitigated a 2.3 Tbps DDoS attack, the largest ever
Artikel von bbc.com, 18.06.2020: Amazon ‚thwarts largest ever DDoS cyber-attack‘

Beitragsbild: Public Domain, Creative Commons CC0, GEORGE DESIPRIS über pexels.com.