Auf dieser Webseite finden Sie Informationen zu den von CERT-Bund an deutsche Netzbetreiber gesendeten Benachrichtigungen zu offenen Server-Diensten, welche für DDoS-Reflection-Angriffe gegen Systeme Dritter missbraucht werden können bzw. bereits aktiv missbraucht wurden. Hinweise zur Überprüfung gemeldeter offener Dienste und zu deren Absicherung finden Sie in unseren HOWTOs.

DDoS-Reflection-Angriffe

UDP-basierte Netzwerkdienste wie DNS, NTP, SSDP, SNMP oder Portmap, welche offen aus dem Internet erreichbar sind, werden regelmäßig zur Durchführung so genannter DDoS-Reflection-Angriffe gegen Systeme Dritter missbraucht. Angreifer senden dabei ein kleines Anfragepaket mit gefälschter Quelladresse an einen offenen Server-Dienst im Internet. Dieser antwortet mit einem wesentlich größeren Antwortpaket, welches er an die gefälschte Quelladresse (das System des Opfers) sendet. Abhängig vom missbrauchten Server-Dienst sind dabei Verstärkungen (Verhältnis der Größe des Antwortpakets im Vergleich zur Anfrage) bis zum Faktor 550 möglich. Angreifer können durch den parallelen Missbrauch zahlreicher offener Server-Dienste auf diese Weise schädlichen Datenverkehr mit Bandbreiten von mehreren Gigabit pro Sekunde erzeugen und das System des Opfers dadurch lahm legen (Denial-of-Service). Weitere Informationen zur Funktionsweise von DDoS-Angriffen finden Sie in den unten aufgeführten Referenzen.

Angriffe dieser Art werden regelmäßig von Cyber-Kriminellen zum Beispiel im Rahmen von Erpressungen von Betreibern von Online-Shops durchgeführt. Durch die Absicherung bzw. Abschaltung problematischer offener Server-Dienste werden den Cyber-Kriminellen die Tatwerkzeuge zur Durchführung dieser Angriffe genommen. Als nationales CERT ist CERT-Bund daher bestrebt, die Anzahl für DDoS-Reflection-Angriffe missbrauchbarer offener Server-Dienste in Deutschland zu reduzieren.

Identifikation betroffener Server-Dienste

Die Shadowserver Foundation ist ein angesehener nicht-kommerzieller Zusammenschluss weltweiter Sicherheitsexperten. Shadowserver führt tägliche Scans nach offen aus dem Internet erreichbaren Server-Diensten durch, welche für DDoS-Reflection-Angriffe missbraucht werden können. Nationalen CERTs werden die Ergebnisse für das jeweilige Land zur Verfügung gestellt. Basierend auf diesen Daten benachrichtigt CERT-Bund regelmäßig die jeweils zuständigen Netzbetreiber in Deutschland. Die Netzbetreiber werden gebeten, entsprechende Maßnahmen zu ergreifen, um den Missbrauch der erkannten offenen Dienste für DDoS-Reflection-Angriffe zu verhindern. Falls es sich bei dem Netzbetreiber um einen Provider handelt, wird dieser aufgefordert, seine betroffenen Kunden entsprechend zu informieren. Netzbetreiber können die Ergebnisse für Netzbereiche in Ihrer Zuständigkeit auch direkt von Shadowserver beziehen.

Bereinigung in Deutschland

Seit Mitte 2014 konnte durch die regelmäßigen Benachrichtigungen von CERT-Bund mit Unterstützung der Netzbetreiber und verantwortlichen Systemadministratoren bereits ein signifikanter Rückgang der Anzahl für DDoS-Reflection-Angriffe missbrauchbarer offener Server-Dienste in Deutschland erreicht werden. Die nachfolgende Grafik zeigt die Entwicklung der Anzahl offener Server-Dienste in Deutschland von Juni 2014 bis Juni 2019 am Beispiel offener SSDP- und SNMP-Server, offener DNS-Resolver sowie NTP-Servern mit aktiver 'monlist'-Funktion.

Die absolute Anzahl von NTP-Servern mit aktiver 'monlist'-Funktion ist vergleichsweise gering, jedoch lässt sich durch den Missbrauch dieses Dienstes durchschnittlich die höchste Verstärkung erzielen.

Bereinigung international

Analog zu CERT-Bund sind auch andere nationale CERTs bestrebt, die Anzahl offener Server-Dienste in den jeweiligen Ländern weiter zu reduzieren. Die nachfolgende Grafik zeigt den prozentualen Anteil noch offener Server-Dienste weltweit und in Deutschland im Juni 2016 im Vergleich zum Juni 2014 (jeweils 100%) am Beispiel offener SSDP- und SNMP-Server, offener DNS-Resolver sowie NTP-Servern mit aktiver 'monlist'-Funktion.

Die Anzahl offener Server-Dienste konnte also auch weltweit bereits erfolgreich stark reduziert werden. In Deutschland ist die Bereinigungsquote für alle Server-Dienste noch höher als der internationale Durchschnitt.

Mitmachen!

Unterstützen Sie die Bereinigung, indem Sie offene Server-Dienste auf Ihren Systemen absichern bzw. nicht benötigte Dienste deaktivieren. Hinweise hierzu finden Sie in unseren HOWTOs.

Referenzen

• Wikipedia: Denial of Service
• US-CERT: UDP-Based Amplification Attacks (TA14-017A)