Der Internet-Dienstleister Dyn hat Details zu dem großen DDoS-Angriff (Distributed-Denial-of-Service-Angriff) vom Wochenende verraten, der zahlreiche große US-Webseiten wie Twitter, Amazon, Netflix, Reddit, Spotify oder AirBNB zeitweise nicht mehr erreichbar machte.
Die DDoS-Angriffe gegen die DNS-Server von Dyn begannen am Freitag, den 21. Oktober. Um 7 Uhr Ortszeit US-Ostküste (ET; 13 Uhr in Deutschland). Als Folge des Angriffs konnten Internetnutzer, die mit Dyn-Servern verbunden wurden, die an der US-Ostküste standen, einige der attackierten Webseiten nicht mehr erreichen. Auch wir hatten beispielsweise Probleme mit der Nutzung von Twitter.
Nach rund zwei Stunden soll Dyn das Problem gelöst haben. Die betroffenen Seiten waren wieder erreichbar. Doch dann startete die zweite Angriffswelle kurz vor 12 Uhr ET (19.00 Uhr in Deutschland). Diese Attacke beschränkte sich nicht auf die Dyn-Server der Ostküste, sondern war globaler angelegt.
Nach rund einer Stunde war diese Angriffswelle abgewehrt, so Dyn. Während dieser Zeit konnten etliche Internetnutzer diverse große Webseiten nicht erreichen.
Die Angreifer versuchten dann noch eine dritte Welle zu starten. Davon sollen die Internetnutzer jedoch nichts gemerkt haben, weil Dyn diesen Angriff abwehren konnte.
Angriff der IoT-Geräte
Was diesen Angriff gegen die DNS-Server so bemerkenswert macht, sind nicht Ausmaß und Wirkung. Sondern die von den Angreifern verwendeten Geräte. Es waren nämlich vor allem Webcams, IP-Überwachungskameras und Router, Drucker und Festplattenrekorder sowie wohl auch Babyfons, die die sinnlosen Anfragen abschickten. Deren Besitzer merkten nichts vom Missbrauch der Internet-fähigen Geräte. In der Vergangenheit waren DDoS-Attacken meist von gekaperten PCs ausgegangen, doch dieses Mal war es sozusagen der Angriff der Killer-Haushaltsgeräte.
Flashpoint is now reporting that the attack on Dyn today is in fact being launched by a Mirai-based IoT botnet
— briankrebs (@briankrebs) 21. Oktober 2016
Die Angreifer haben mehrere zehn Millionen IP-Adressen unter ihrer Kontrolle, von denen aus sie die Anfragen an die DNS-Server schickten. Etliche dieser gekaperten Internet-fähigen Geräte befinden sich unter der Kontrolle des Mirai-Botnets. Mirai scannt das Internet nach IP-fähigen Geräten, die kein Passwort oder nur ein bekanntes Standard-Passwort haben und übernimmt dann dessen Kontrolle. Von diesen eroberten und ferngesteuerten Geräten können die Hacker dann jederzeit DDoS-Attacken gegen andere Webseiten steuern.
Tipp : Ändern Sie unbedingt bei Ihren Internet-fähigen Geräten das voreingestellte Standardpasswort immer in ein sicheres Passwort um.
So schützen Sie sich gegen Botnetze
Dyn ist ein Service Provider, bei dem Unternehmen ihre Domain-Namen registrieren lassen können. Die DNS-Server von Dyn wandeln Eingaben wie amazon.com in die entsprechende IP-Adresse des Amazon-Servers um. Wenn diese Umwandlung nicht klappt, kann ein Internetnutzer eine bekannte Webseite nicht mehr aufrufen – außer er gibt die konkrete IP-Adresse ein.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.