Die Größe einer DDoS-Gruppe spielt keine Hauptrolle

Die Zahl der Personen und Computer, die benötigt werden um einen erfolgreichen Denial-of-Service-Angriff durchzuführen wurde durch die Presse ständig überschätzt. Dies gab der Sprecher der Enisa – European Network and Information Security Agency – Ulf Bergstrom bekannt. Angriffe, wie sie durch mit Wikileaks sympathisierenden Gruppen in letzter Zeit durchgeführt wurden, benötigen weit weniger Mitwirkende. Visa-Webseiten für Kunden wurden durch einen Distributed Denial-of-Service-Angriff mit gerade einmal 500 Maschinen in die Knie gezwungen.

Dass dieser Typ Angriff mit viel weniger Computern erfolgreich durchgeführt werden kann, macht Experten skeptisch und wirft ein völlig neues Bild auf die Risiken durch DDoS-Angriffe.

DDoS-Angriffe gegen Wikileaks, Visa, Paypal und verschiedene Regierungs-Webseiten haben gezeigt, dass die Menge der Computer keine Rolle spielt. Die dazu verwendeten Computer orietierten sich bei den angeführten Angriffen um die Zahl Einhundert. Viele Pressemitteilungen berichteten über eine sechsfache Anzahl der tatsächlich verwendeten Computer. Dies sei ein Indiz für die bisherige völlige Fehleinschätzung der Risiken durch Botnets, schrieb die Enisa in einem Artikel.

Die Enisa wird im Januar 2011 einen Bericht herausgeben, der sich Botnet-Messungen, -Erkennung, -Bereinigung und -Abwehr befassen wird.

Die Behörde hat betont, dass Cloud-Infrastrukturen resistenter gegen DDoS-Angriffe  sind. So haben Pro-Wikileaks-Unterstützer am 9. Dezember versucht eine DDoS gegen Amazon durchzuführen, aber waren nicht in der Lage die Webseite zu stören. Amazon verwendet die Infrastruktur seiner Cloud Computing Tochter Amazon Web Services. Enisa teile weiterhin mit, dass die Low Orbit Ionen-Kanone namens Loic ein großes Sicherheitsrisiko darstellt, wenn sie im Hivemind-Mode verwendet wird. Dieser Modus der Kanone erlaubt die remote Kommandoausführung auf einem Computer eines Benutzers, auf dem Loic installiert sei.

Zwei Typen von Denial-of-Service-Angriffe wurden durch Wikileaks Unterstützer und Gegner eingesetzt. Applicationlayer-Angriffe (gegen Wikileaks) gerichtet gegen Teile einer Webseite, um den Service zu unterbrechen, die aller Wahrscheinlichkeit nur einen Angreifer benötigten, und zielgerichtete Flood-Angriffe gegen  die IP-Adresse einer Webseite um sie lahm zu legen, die durch Wikileaks-Unterstützer durchgeführt wurden. DDoS-Angriffe werden meist in zwei Charakteristika beurteilt. Einmal ist es die Größe des Angriffs und einmal die Raffinesse. Aber bei den durchgeführten Angriffen war weder das Eine noch das Andere präsent.

Alexander Tsolkas