Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

DDoS-Angriff: Das steckt hinter dem Ausfall von Twitter, Soundcloud, Netflix und Spotify

Screenshot downdetector.com

Ein groß angelegter DDoS-Angriff hat am Freitagabend für einen Totalausfall beliebter Internet-Dienste gesorgt. Inzwischen ist klar, wie die Angreifer vorgegangen sind.

Ein DDoS-Angriff (Distributed Denial of Service) hat am Freitagabend für den Totalausfall zahlreicher beliebter Internetdienste wie Twitter, Soundcloud, Spotify, Paypal, Netflix, Playstation Network, Yelp, Pinterest, Github, Etsy, Imgur, Shutterstock und Shopify gesorgt. Auch Amazon informierte laut Golem.de über Störungen in Deutschland, den USA und Japan.

Zahlreiche Medienseiten wie CNN, Business Insider, Guardian, The Verge, Recode und Wired waren ebenfalls vorübergehend betroffen. Zu dem sollen Techcrunch zufolge auch Airbnb, Reddit, Freshbooks, Heroku und von Vox Media betriebene Seiten Probleme bei der Erreichbarkeit gehabt haben.

DDoS-Angriff auf Dyn mit Malware Mirai

Ursache war ein Angriff auf den DNS-Dienstleister Dyn, der am Mittag deutscher Zeit über einen massive DDoS-Angriff auf die eigene Infrastruktur informierte. Bei einem DDoS-Angriff werden Server über ein Bot-Netz von Rechnern mit sinnlosen Anfragen lahmgelegt.

Offenbar haben es die unbekannten Angreifer auf die DNS-Server des Unternehmens abgesehen. Werden diese überlastet, leiten Domains wie twitter.com nicht mehr auf die korrekte IP-Adresse um, um den Dienst nutzen zu können.

Nach einer Informationen des Sicherheitsunternehmens Flashpoint war die Malware Mirai für den Angriff verantwortlich, berichtet der IT-Sicherheitsspezialisten Brian Krebs. Dyn hat das im Gespräch mit Wired bestätigt. Mirai zielt vor allem auf ungesicherte Geräte des Internet der Dinge wie IP-Kameras oder mit dem Internet verbundener Videorekorder, deren Standardpasswort nicht geändert wurde. Aufgrund der Vielzahl der Geräte entwickelt ein solches Bot-Netzwerk schnell eine enorme Durchschlagskraft. Der Sourcecode von Mirai ist auf Github frei zum Download verfügbar.

Weitere Dienste und Websites, die wegen des Angriffs vorübergehend nicht erreichbar waren, finden sich im Online-Forum Hacker News. Vermutlich sind noch zahlreiche weitere Websites betroffen.

Bitte beachte unsere Community-Richtlinien

14 Reaktionen
Ur-Altes Problem auf Anwenderseite....

Ich will überleben. Ich will das die App funktioniert. Was ein abgestürzter zentralistischer Zentralserver in Zentral-City macht ist mir EGAL.

Cache as cache can...

Vor JAHREN wurde ich (wie üblich) gemobbed als ich einfach mal so forderte: Ich will den alten DNS-Eintrag nehmen wenn der lahme DNS-Server (speziell bei Mobilfunk ! siehe Jack Bauer und seine Telefonate aus Autos...) nicht schnell genug antwortet. Auch will ich den lahmen Nameserver an Firefox, Chrome, opera, FSF, GPL, Safari usw. "verpetzen". Das Verpetzen von problematischen SSL-Keys hat Firefox (nach Jahren) vor einer Weile endlich mal eingeführt.

Aber wenn man telefoniert fragt man ja auch immer nach der aktuellen Telefon-Nummer und hat keine Kontakt-Liste dafür... Auch sucht man auf der Webseite des Unternehmens immer die aktuelle Email-Adresse von Geschäftspartnern heraus und hat kein Adressbuch und ein ZERO-Gedächtnis. Na also.
Merkt endlich jemand den Fehler ?

Wer ein Land ohne Softwarepatente und hohe Rechtskosten (siehe z.B. Austin Meyer von X-Plane oder Aaron Swartz und der erste Programmierer der schon half, Hitler zu besiegen: Turing. Aber z.B. auch SCO vs. Linux usw.) kennt, bekäme von mir sehr schnell eine resolve-Library welche folgende Features hat:
- Läuft ÜBERALL (Mac, Linux, Windows,...) Evtl über ProxyDNSApps auch dort wo man resolve-Lib nicht ändern kann. Allerdings hat man dort auch oft leider kein Root und muss einen guten Rechner/Router in der Umgebung dafür nutzen können.
- *.WERBESERVER.* u.ä. Glob-Einträge können in der /ets/hosts geblocked werden statt das man nie wieder werbeserver1.WERBESERVER.de usw. für hundert Werbeserver-namen usw. eintragen muss. Siehe die vorhandenen (und oft recht langen) /etc/hosts-Filterlisten welche es gibt.
- Optional: First Ask: D.h. unbekannte DNS-Namen werde gar nicht erst connectet und müssen per simpler bequemer App aus dem Logfile bequem für Oma und Opa und Hausfrauen erlaubt werden oder auch nicht weil es in Ländern mit wahrer Meinungsfreiheit Votes darüber gibt ob man diesen Server erlauben sollte oder nicht. Wer noch Tiny Personal Firewall kennt: Die Ersten zwei Tage sind die Hölle weil jede App ihre Updateserver connectet und man die drei mickigen Fenster umständlich ausfüllen musste. Aber wenn das alles erlaubt wurde, ist Ruhe und man wird nur noch selten gefragt.
- Optional: DNS-Veränderungen werden natürlich an alle Internet-Firmen und Freiheits-Vereine gemeldet. Nie wieder wird ein Dienst einen falschen DNS-Eintrag verbreitet bekommen sondern sofort aufgedeckt und verpetzt. Sogar google hatte ein paar Minuten lang seinen DNS-Eintrag OFFIZIELL verloren und manche IT-Großkonzerne hatten vergessen, es zu verlängern !
- Das man sich Zertifikate (aber natürlich auch DNS-Einträge) von China, Chrome, Firefox, Yahoo, EU, Südkorea, Hongkong, Taiwan usw. bestätigen lässt und jedes Zertifikat mehrfach unterschrieben gehört, will ja auch nur ich. Java wegen mehrfachem Erben ablehnen aber Zertifikate von korrupten, dienste-hörigen oder gecrackten Signatur-Firmen akzeptieren ? Meine Vorhersagen von seit dem neuen Markt wurde schon mehrmals wahr. Aktuell will FireFox ja eine CA aus dem Pool nehmen. Ruft die Liste der (laut Eurem Betriebs-System oder Browser-hersteller TOTAL GLAUBWÜRDIGEN !) Zertifikats-Bestätiger/CAs mal auf. Da stehen hunderte Firmen drin ! Da mal für Sauberkeit zu sorgen hat bisher keinen interessiert.

Ist wohl nicht so wichtig. Da hätten wir ja fast alle etwas von...

Das man ein Grundrecht hat, Firmwares auch OHNE Lizenz zu verbessern und sich Ersatzteile (Windows-Gebrauchtlizenzkauf ? Weiterverkauf von Gebraucht-Apps ? ...) zu besorgen oder zu bauen (Old-Timer, siehe Jay Leno) ist bei Autos ganz üblich. Aber bei Software endet man dank DMCA vielleicht wie Aaron Swartz... Sogar OpenWRT ist vielleicht schon verboten ! Lieber buggy Firmwares in Zillionen Routern...

Software wie Fahrkartenautomaten oder auch viele Apps sind oft unbenutzbar. Daher hofft jeder auf FinTech weil Online-Banking oft wohl verhasst ist.
Ein Ausweg ist Sprach-Steuerung weil die Boni-Manager selber mit der Bedienung nicht klar kommen oder keine Route mit dem eigenen Auto geroutet bekommen oder voll die Umwege angezeigt bekommen.

ABER die Leute wissen, das die Katzenklappe sicher sein muss und man die Kellertür nicht offen stehen lassen sollte und Feinde auch über den Balkon rein kommen können.
Das aber die IP-Kamera usw. einen Port im Router öffnet, kriegen die halt nicht mit. Das sind alles Black Boxen. Da hilft auch keine Sprachsteuerung wenn die Probleme nicht bewusst gemacht werden. Sogar Autos isnd schlauer und melden falschen Reifendruck. Aber die Fritzbox hat vielleicht nicht mal Bleutooth und kann nicht mal mitteilen wenn die Waschmaschine fertig ist oder das Gemüsegarten zu nass ist oder beim Vorbeigehen die Schrittzähler und Bodytracker der Famile erfassen und die verpassten Skype-Anrufe der Relevanten Kontakte mitteilen wenn man ins Haus kommt oder die Garage öffnet was der Tesla aber selber macht also wenn man vor der Tür steht und auf der iWatch gleich alles sieht was abgegangen ist. Nicht jeder ist immer online und hat dicke Tarife oder schleppt beim Joggen sein Big-Phone mit. Nicht jede Gegend ist sicher. Da nimmt man lieber ein Prepaid-20-Euro_Handy was Carlos Slim wohl in USA zum REICHSTEN Menschen der Erde auf der Forbes500/100/10-Liste sogar reicher als BILL GATES gemacht hat.

Aber Verbsserungs- und Sicherheits-Überprüfungs-Software wird natürlich verhindert, verboten und bestraft in korrupten Diktaturen. Sonst gäbe es längst Apps um sein Home-Network zu überprüfen. Sowas wie FING (IOS/Android-App, unter MacOS ist es leider wohl nur Command-Line) aber halt mit einer anderen Zielsetzung um zu helfen wenn Internet-Probleme sind.
Nennt ein Land für Programmierung. Dann können Eure Eltern endlich klar kommen. Denn jeder hat einen Router (die waren schon mal VERBOTEN!!!) und immer mehr Internet-Geräte.
Aber hier hoffen die Leute ja auch Zilliarden an Wintel für ein besseres Bildungs-System. Wer bringt die Zukunft ? Jobs mit iPhone/iPad und Musk mit Smart-E-Cars welche die Benziner schnell ersetzen werden oder auch Netflix oder die Regierung und Disney und das Establishment ? Na also.
http://www.heise.de/newsticker/meldung/T-Online-verbietet-DSL-Router-aber-nicht-ganz-40389.html

SecurityFreak

DDoS-Attacken – Die Abwehr von DDoS-Angriffen gehört zum Standardrepertoire in der IT-Security. Mittlerweile existiert jede Menge Literatur, die grundsätzliche Maßnahmen beschreibt, etwa hier das Neueste von Jens Libmann: bit.ly/1tkDYv2
Demnach lässt sich bereits mit 20% Einsatz 80% Sicherheit erzielen. Außerdem gibts auch darin Controlling, damit lässt sich die Wertschöpfung beziffern.

Chrono

Das heißt für die Zukunft nichts gutes, wenn so viele Geräte ungesichert im Netz hängen. Da muss eine technische Lösung her, um zu verhindern dass beliebige Webseitenbetreiber erpresst werden können. Sonst haben wir bald nur noch die Firmen im Netz, die es sich leisten können.

Christopher

Gibt es doch, wie etwa Cloudflare, welche einen gegen solche Angriffe schützen.

Nik

Naja was bringt dir Cloudflare wenn immer mehr IoT Geräte auf den Markt kommen, die sehr einfach für DDoS Zwecke übernommen werden können. In dem Tempo kann Cloudflare von der Kapazität her gar nicht nachziehen.

Christopher

Ah. Erst ist Netflix abgeschmiert, dann wollte ich Twitter schauen, ob es einen Status gab und Twitter funzte auch net. Jetzt weiß ich zumindest warum :)

Vielleicht sollten die mal auf Cloudflare setzen :)

Der Richtigsteller

Akamai hat übrigens nicht aufgegeben... Das klingt so, als ob der Betreiber das nicht hinbekommen hätte. Eigentlich war ihm der Angriff nur zu teuer, da Krebs kostenfrei "geschützt" wurde und sich die Kosten auf einen guten sechstelligen Betrag aufsummieren. Bitte um Richtigstellung.

Niels Dettenbach

Nun, die zunehmende Zentralisierung von Internet-Infrastrukturen zeigt hier eine ihrer wesentlichen Nachteile. Nicht das "fragile DNS" ist das Problem, sondern das vermeintlich professionelle DNS Anbieter einen Großteil der meistgenutzten Internetdienste mit DNS versorgen.

So reicht ein (bzw einige wenige) gezielte Angriffe auf deren Infrastruktur, um derlei weitreichende Schäden anzurichten - und lohnt sich dafür für Angreifer besonders, was die Leistungsfähigkeit / Größe dieser Anbieter stark relativiert. Ähnlich ergeht es ja inzwischen selbst den größten Proxyanbietern wie Akamai u.a., deren Produkt bis dato gerade darin bestand, derlei DDoS Angriffe durch ihre Größe abwehren zu können.

Claudi

Ist mir neu, das Twitter etc. mit DynDNS arbeiten ?????!!!! So ein quastch !!

Markus

Die Firma hinter DynDNS heisst "Dyn" und betreibt auch Enterprise Dienste wie z.B. Anycast DNS. Die News hier erläutert das falsch.

Stephan Dörner

Hallo Markus, du hast recht und wir haben das korrigiert. Danke für den Hinweis!

Christopher

Und das vom "Chef Redakteur", da hat er den Text von Hackernews wohl net richtig verstanden :P

digital hipster news

wer seriöse IT News sucht ist hier eh falsch. t3n ist für mich eher eine Digital Hipster News Seite....

Niels Dettenbach

Ja, gemeint ist wohl eher der DNS Anbieter "Dyn". DynDNS ist afaik auf dynamisches DNS spezialisiert.

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst