Umgang mit DDoS-Angriffen
Umgang mit DDoS-Angriffen: Am 31. Januar wurde die von uns betreute Website der Gerolzhofener Geomed-Klinik durch einen DDoS-Angriff lahmgelegt. Dahinter steckte mutmaßlich die russische Hackergruppe “Killnet”, die zuvor auf dem Messengerdienst Telegram mit Angriffen auf die deutsche Infrastruktur als Vergeltung für Panzerlieferungen drohte.
Wie genau läuft so ein DDoS-Angriff ab? Was steht auf dem Spiel? Und am wichtigsten: Was kann man dagegen tun?
Ins Visier geraten
Schon am Vorabend des Angriffs erreichte uns eine beunruhigende Nachricht. So sei eine von uns betreute Website, nämlich die der Geomed-Klinik in Gerolzhofen, in das Visier einer russischen Hackergruppe namens “Killnet” geraten. Die Hacker hatten zuvor auf Telegram eine Liste an mehreren hundert Zielen designiert. Gezielt sollten Webseiten wichtiger medizinischer Infrastruktur, etwa die Uniklinik Würzburg oder die Bezirkskliniken Mainfranken, attackiert werden.
Tags darauf wurde die Webseite dann auch tatsächlich attackiert; eine DDoS-Attacke überlastete die Server und legte die Page über mehrere Stunden lahm. Aufgrund des Aufbaus eines DDoS-Angriffs ist nicht mehr festzustellen, wer hinter dem Angriff steckte. Eine Verbindung zu “Killnet” liegt aber nahe, da das Angriffsziel in deren Telegram-Kanal genannt wird.
Ebenso berichtet das BSI (Bundesamt für Sicherheit in der Informationstechnik) im Update vom 27.01.2023 über die DDoS-Kampagne gegen Ziele in Deutschland:
Bei einem DDoS-Angriff werden Server ausgelastet - das sieht für uns etwa so aus.
An die Belastungsgrenze
DDoS steht für “Distributed Denial of Service”. Ein ganz schöner Zungenbrecher, in dem aber schon Ziel und Methode des Angriffs versteckt sind. Ein DDoS-Angriff möchte einen Webservice lahmlegen - also einen “Denial of Service” (dts. “Dienstverweigerung”) auslösen. Diese Dienstverweigerung wird mithilfe eines großen Netzwerks an Rechnern erreicht - der Ursprung des Angriffs ist “Distributed” (dts. “verteilt”).
Dabei nutzen DDoS-Angriffe eine natürliche Schwäche von Servern aus. Diese Rechner, die für die Anzeige von Webseiten verantwortlich sind, haben nur eine begrenzte Rechenkapazität. Wird diese erreicht, streikt der Dienst für alle anderen. Die Seite kann nicht mehr aufgerufen werden.
Was ist ein DDoS-Angriff
In der IT unterscheiden wir mehrere Arten, diese Belastungsgrenze zu erreichen. Für den Angriff auf Geomed sind vor allem zwei Stück interessant. Da ist zum einen die http-Flood, mit der eine Webseite durch Myriaden sinnloser Anfragen überfordert wird. Obwohl diese Anfragen von einem zentralen Computer gesteuert werden, kommen sie in der Regel von einem Botnet. Ein Botnet ist ein Netzwerk aus PCs, die mit Schadsoftware infiziert wurden. Diese Software erlaubt es Hackern, sie auf Kommando http-Anfragen auf eine Webseite abfeuern zu lassen. Die Benutzer bekommen davon oft nichts mit.
Zum anderen gibt es die SYN-Flood, die ganz gezielt die Durchgänge zu einer Webseite - die sogenannten Ports - angreift und verstopft. Ein Computer schickt dabei eine Anfrage an den Server. Der beantwortet die Anfrage und bittet den Angreifer um eine Empfangsbestätigung. Damit die auch ankommt, reserviert er einen Port, der dann für alle anderen User gesperrt ist. Der Trick: Die Bestätigung wird einfach nie gesendet. Der Port ist aber bereits reserviert und damit für alle anderen gesperrt. Wiederholt man dieses Spiel für alle Ports eines Servers, kommt ein legitimer Benutzer einfach nicht mehr durch, weil es keine freien Zugänge mehr gibt.
Im Fall des Geomed-Angriffs wurden beide Methoden kombiniert und in Wellen abgefeuert. Für eine Website, die normalerweise rund dreißig Benutzer hat, hat unser Systemhaus über drei Millionen Aufrufe verzeichnet.
Die Hackergruppe "Killnet" hat sich scheinbar zu dem Angriff bekannt.
Ein primitiver Angriff
Eine Überlastung von öffentlich zugänglichen Servern durch eine Flut an sinnlosen Anfangen: Wenn Sie sich nun denken, dass das keine besonders subtile Art von Cyberangriff ist, haben Sie damit völlig recht. Für die Durchführung eines DDoS-Angriffs benötigt es kein tieferes IT-Wissen. Entsprechende Programme finden sich problemlos online, und auch die Zugänge zu Botnets werden in einschlägigen Communities einfach geteilt.
Dem Aufwand entsprechend ist auch der mögliche Schaden relativ gering. Da nur öffentliche Server mit Anfragen attackiert werden, findet kein Eindringen in das interne System statt; interne Mails, Kunden- und Kontodaten oder vergleichbare sensible Informationen sind also zu keiner Zeit in Gefahr. Primär wird der öffentliche Betrieb gestört. Ein DDoS-Angriff ist ein bisschen wie die Blockade einer Eingangstür.
DDoS-Angriffe gehören trotzdem - wohl auch wegen ihrer leichten Durchführung und schweren Verfolgbarkeit - zu den häufigsten Cyberattacken. Der Webdienstleister Cloudflare, der sich auf die Abwehr solcher und ähnlicher Bedrohungen spezialisiert hat, hat einen Anstieg auf mehr als Dreifache im Jahr 2022 verzeichnet. Zum einen mit Bezug auf den Ukraine-Krieg, zum anderen als Erpressungsmethode. Gerade bei Onlineshops sind alle Einnahmen von der Erreichbarkeit der Website abhängig - das Erpressungspotential ist also hoch.
Gefahrenabwehr dank Cloudflare
Die Webseite von Geomed wird von uns mit den Lösungen von Cloudflare geschützt.
Cloudflare ist einer der vom BSI empfohlenen Anbieter zur Abwehr von DDoS-Attacken:
Cloudflare bietet uns alle Instrumente, um DDoS-Angriffe zu erkennen und zu beenden. Unser IT-Experte Thomas Leiber hat mir den Vorgang detailliert erklärt. So war es erstmal notwendig, herauszufinden, welcher Teil des Servers angegriffen wurde. Dabei haben Logs - also automatisch erstellte Protokolle - geholfen. Auf einen bestimmten Teil der Website wurde über eintausend Mal häufiger zugegriffen.
Zugriffe auf diese Domain haben wir dann auf das Cloudflare-Proxy-Netwerk umgeleitet. Das heißt, dass jeder Zugriff erstmal über Cloudflares Serverpark geleitet wird. Auf diese Art war der Sym-Angriff abgewehrt. Wir erinnern uns: da ging es um das Verstopfen limitierter Zugänge. Dank der virtuellen Umleitung blieben die jetzt frei.
Bleiben nur noch die Millionen http-Anfragen. Hier haben die Angreifer zum Glück ihre Identiät allzu leichtfertig preisgegeben. Die Zugriffe hatten gemeinsam, dass sie versucht haben, den Server mithilfe zufällig erstellter Queries - also in der Webseiten-URL angehängten Befehlen - lahmzulegen. Nur benutzt unsere Website gar keine Queries. Außerdem waren in allen Befehlen die Zeichen “??” zu finden. Die kommen in der Natur gar nicht vor. Unser Konter lag also auf der Hand: Wir blockten kurzerhand alle Zugriffe, die einen Query mit den Zeichen “??” angehängt hatten.
Der Angriff erzeugte auch ein größeres Medieninteresse an K&K Software.
Dem nächsten Angriff vorbeugen
Die Abwehr eines Angriffs ist die eine Sache. Die Vorbeugung des nächsten Angriffes allerdings mindestens genauso wichtig. Für die Domain der Geomed-Klinik haben wir daher eine Art digitalen Türsteher installiert. Um den zu trainieren, nutzen wir die Daten aus dem letzten Angriff. So werden beispielsweise Zugriffe mit einem “??”-Query automatisch blockiert. Das mutmaßlich von “Killnet” verwendete Botnet ist also erstmal außer Gefecht. Cloudflare selbst sammelt außerdem bei jedem Angriff mehr Informationen über Botnets und die Eigenschaften möglicher Angreifer. Auf diese Art können sie immer besser DDoS-Zugriffe erkennen und automatisch abwehren.
In einem zweiten Schritt haben wir einen sogenannten JavaScript-Check vorgeschaltet. Vor dem Aufbau einer Webseite wird dem Computer eine kleine Aufgabe gestellt, die von einer normalen Maschine ohne menschliches Zutun gelöst werden kann, aber für einfache Bots zu schwer ist. So ein Check verzögert den Aufbau der Webseite um etwa zwei Sekunden, ist aber sehr effektiv in der Vorbeugung von DDoS-Angriffen.
Professioneller Systemschutz
Mit solchen Maßnahmen versucht die IT, möglichen Angreifern immer eine Spur voraus zu sein. Die Website von Geomed ist jetzt auf jeden Fall besser geschützt. Bei einem DDoS-Angriff ist aber auch eine schnelle und zielsichere Reaktion gefordert. Wir empfehlen daher das Hosting bei einem professionellen Systemhaus, die im Falle eines Notfalls sofort wissen, was zu tun ist.
Übrigens gab es ein gewisses Medieninteresse an dem Zwischenfall. So haben uns der Bayerische Rundfunk besucht (hier geht's zum Video) und die Mainpost hat einen Artikel zum Angriff veröffentlicht, den Sie mit einem Digitalabo hier lesen können.
Beitrag vom 03.02.2023