Wie man einen 470 Gbps DDoS-Angriff abwehrt und dabei die Ruhe bewahrt

Autor/Redakteur: Florian Riener/gg

Am 14. Juni gelang es Imperva Incapsula, eine Distributed Denial of Service (DDoS) Attacke mit 470 Gigabits pro Sekunde (Gbps) abzuwehren – der größte Angriff, der bis heute aufgezeichnet wurde. Während es diesem Angriff an der Raffinesse von DDoS-Bedrohungen fehlte, die das Unternehmen sonst in seinem Blog beschreibt, setzte dieser ein neues Zeichen im ewigen Tauziehen zwischen Unternehmen für Schadensminderung und Cyberkriminellen.

Beschreibung des Angriffs

Das Ziel war ein chinesisches Glückspielunternehmen. Die Attacke fand am 14. Juni statt und dauerte über vier Stunden. Das Unternehmen war auch von anderen großangelegten Angriffen betroffen, die täglich innerhalb einer Woche stattfanden und schließlich zum besagten Ereignis führten.

Vom ersten Moment an erreichte der Ausbruch dieser Attacke über 250 GBit pro Sekunde. Anschließend baute er sich über die folgenden Stunden langsam weiter auf und erreichte um 19:32 Uhr mit 470 GBit pro Sekunde den Höchstwert. Nachdem er diesen erreicht hatte, war der Angriffsverkehr rückläufig und trat innerhalb von 30 Minuten vollständig zurück.

Der Angriff war deutlich komplexer durch Netzwerkschicht-Vorgaben, gestützt durch eine Mischung aus neun verschiedenen Typen von Nutzdaten (Datenpaketen). Der Großteil des Verkehrs wurde zuerst von SYN-Nutzdaten erzeugt, dann durch typische UDP- und TCP-Nutzdaten.

Derartige Neun-Vektor-Angriffe wurden sehr selten registriert. Relativiert man diese Ansicht, machte dies im 1. Quartal nicht mehr als 0,2 Prozent aller Netzwerkschicht-DDoS-Attacken gegen die Kunden von Imperva aus.