DDoS-Angriff: Das steckt hinter dem Ausfall von Twitter, Soundcloud, Netflix und Spotify
Screenshot downdetector.com
Ein DDoS-Angriff (Distributed Denial of Service) hat am Freitagabend für den Totalausfall zahlreicher beliebter Internetdienste wie Twitter, Soundcloud, Spotify, Paypal, Netflix, Playstation Network, Yelp, Pinterest, Github, Etsy, Imgur, Shutterstock und Shopify gesorgt. Auch Amazon informierte laut Golem.de über Störungen in Deutschland, den USA und Japan.
Zahlreiche Medienseiten wie CNN, Business Insider, Guardian, The Verge, Recode und Wired waren ebenfalls vorübergehend betroffen. Zu dem sollen Techcrunch zufolge auch Airbnb, Reddit, Freshbooks, Heroku und von Vox Media betriebene Seiten Probleme bei der Erreichbarkeit gehabt haben.
DDoS-Angriff auf Dyn mit Malware Mirai
Ursache war ein Angriff auf den DNS-Dienstleister Dyn, der am Mittag deutscher Zeit über einen massive DDoS-Angriff auf die eigene Infrastruktur informierte. Bei einem DDoS-Angriff werden Server über ein Bot-Netz von Rechnern mit sinnlosen Anfragen lahmgelegt.
Offenbar haben es die unbekannten Angreifer auf die DNS-Server des Unternehmens abgesehen. Werden diese überlastet, leiten Domains wie twitter.com nicht mehr auf die korrekte IP-Adresse um, um den Dienst nutzen zu können.
Nach einer Informationen des Sicherheitsunternehmens Flashpoint war die Malware Mirai für den Angriff verantwortlich, berichtet der IT-Sicherheitsspezialisten Brian Krebs. Dyn hat das im Gespräch mit Wired bestätigt. Mirai zielt vor allem auf ungesicherte Geräte des Internet der Dinge wie IP-Kameras oder mit dem Internet verbundener Videorekorder, deren Standardpasswort nicht geändert wurde. Aufgrund der Vielzahl der Geräte entwickelt ein solches Bot-Netzwerk schnell eine enorme Durchschlagskraft. Der Sourcecode von Mirai ist auf Github frei zum Download verfügbar.
Weitere Dienste und Websites, die wegen des Angriffs vorübergehend nicht erreichbar waren, finden sich im Online-Forum Hacker News. Vermutlich sind noch zahlreiche weitere Websites betroffen.
USA: Heimatschutzministerium ermittelt
Ein Sprecher des Weißen Hauses sagte laut dpa, das Heimatschutzministerium beobachte die Situation, könne über mögliche Urheber aber noch nichts sagen. Den Angaben von Dyn zufolge war vor allem die US-Ostküste von den Ausfällen betroffen. Laut downdetector.com waren die USA stärker von dem Ausfall betroffen als Europa. Bei allestörungen.de meldeten aber auch zahlreiche deutsche Nutzer Ausfälle bei einer ganzen Reihe von Internetdiensten.
Bereits am Freitagnachmittag hatte Dyn mitgeteilt, dass die Störung inzwischen behoben sei. Danach waren allerdings noch zahlreiche Dienste weiter nicht erreichbar. Gegen 19 Uhr deutscher Zeit waren Twitter, Spotify und Soundcloud teilweise wieder erreichbar – der Code-Hoster Github ließ sich weiter nicht aufrufen. Bis zum späten Abend waren viele Dienste nur schwer erreichbar.
Krebs on Security: Droh-Mails bei zahlreichen Betreibern eingegangen
Auf seinem Blog berichtet Krebs, dass in den vergangenen Tagen bei zahlreichen Betreibern Droh-E-Mails eingegangen waren, die Bitcoin einforderten und andernfalls mit einem DDoS-Angriff drohten.
Häufig fordern Kriminelle dabei von einem Internet-Dienst eine bestimmte Anzahl von Bitcoin als Schutzgeld – andernfalls werden die Server mit per Malware unter Kontrolle gebrachter Computer mit sinnlosen Anfragen überflutet. Erst kürzlich hatte der Cloud-Hoster Akamai nach einem DDoS-Angriff auf Krebs‘ Fachblog Googles Project Shield geschützt.
Erst im September wurde mit einer Last von 1 Terabit pro Sekunde ein neuer Rekordangriff auf den französischen Hosting-Provider OVH gemessen. Auch dabei wurde laut einer Analyse von Krebs on Security die Malware Mirai genutzt, die gezielt nach IoT-Geräten wie IP-Kameras im Internet sucht, deren Standardpasswort nicht verändert wurde. Vor allem erpresserische DDoS-Angriffe häufen sich in jüngster Zeit.
Mehr zum Thema: Project Shield – Google schützt News-Portale gegen DDoS-Attacken
Hinweis: In einer früheren Version des Artikels wurde das Unternehmen, auf das der Angriff erfolgte, DynDNS genannt. Der Name des Unternehmens lautet Dyn. Wir bitten den Fehler zu entschuldigen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Ist mir neu, das Twitter etc. mit DynDNS arbeiten ?????!!!! So ein quastch !!
Die Firma hinter DynDNS heisst „Dyn“ und betreibt auch Enterprise Dienste wie z.B. Anycast DNS. Die News hier erläutert das falsch.
Hallo Markus, du hast recht und wir haben das korrigiert. Danke für den Hinweis!
Und das vom „Chef Redakteur“, da hat er den Text von Hackernews wohl net richtig verstanden :P
wer seriöse IT News sucht ist hier eh falsch. t3n ist für mich eher eine Digital Hipster News Seite….
Ja, gemeint ist wohl eher der DNS Anbieter „Dyn“. DynDNS ist afaik auf dynamisches DNS spezialisiert.
Nun, die zunehmende Zentralisierung von Internet-Infrastrukturen zeigt hier eine ihrer wesentlichen Nachteile. Nicht das „fragile DNS“ ist das Problem, sondern das vermeintlich professionelle DNS Anbieter einen Großteil der meistgenutzten Internetdienste mit DNS versorgen.
So reicht ein (bzw einige wenige) gezielte Angriffe auf deren Infrastruktur, um derlei weitreichende Schäden anzurichten – und lohnt sich dafür für Angreifer besonders, was die Leistungsfähigkeit / Größe dieser Anbieter stark relativiert. Ähnlich ergeht es ja inzwischen selbst den größten Proxyanbietern wie Akamai u.a., deren Produkt bis dato gerade darin bestand, derlei DDoS Angriffe durch ihre Größe abwehren zu können.
Akamai hat übrigens nicht aufgegeben… Das klingt so, als ob der Betreiber das nicht hinbekommen hätte. Eigentlich war ihm der Angriff nur zu teuer, da Krebs kostenfrei „geschützt“ wurde und sich die Kosten auf einen guten sechstelligen Betrag aufsummieren. Bitte um Richtigstellung.
Ah. Erst ist Netflix abgeschmiert, dann wollte ich Twitter schauen, ob es einen Status gab und Twitter funzte auch net. Jetzt weiß ich zumindest warum :)
Vielleicht sollten die mal auf Cloudflare setzen :)
Das heißt für die Zukunft nichts gutes, wenn so viele Geräte ungesichert im Netz hängen. Da muss eine technische Lösung her, um zu verhindern dass beliebige Webseitenbetreiber erpresst werden können. Sonst haben wir bald nur noch die Firmen im Netz, die es sich leisten können.
Gibt es doch, wie etwa Cloudflare, welche einen gegen solche Angriffe schützen.
Naja was bringt dir Cloudflare wenn immer mehr IoT Geräte auf den Markt kommen, die sehr einfach für DDoS Zwecke übernommen werden können. In dem Tempo kann Cloudflare von der Kapazität her gar nicht nachziehen.
DDoS-Attacken – Die Abwehr von DDoS-Angriffen gehört zum Standardrepertoire in der IT-Security. Mittlerweile existiert jede Menge Literatur, die grundsätzliche Maßnahmen beschreibt, etwa hier das Neueste von Jens Libmann: bit.ly/1tkDYv2
Demnach lässt sich bereits mit 20% Einsatz 80% Sicherheit erzielen. Außerdem gibts auch darin Controlling, damit lässt sich die Wertschöpfung beziffern.
Ich will überleben. Ich will das die App funktioniert. Was ein abgestürzter zentralistischer Zentralserver in Zentral-City macht ist mir EGAL.
Cache as cache can…
Vor JAHREN wurde ich (wie üblich) gemobbed als ich einfach mal so forderte: Ich will den alten DNS-Eintrag nehmen wenn der lahme DNS-Server (speziell bei Mobilfunk ! siehe Jack Bauer und seine Telefonate aus Autos…) nicht schnell genug antwortet. Auch will ich den lahmen Nameserver an Firefox, Chrome, opera, FSF, GPL, Safari usw. „verpetzen“. Das Verpetzen von problematischen SSL-Keys hat Firefox (nach Jahren) vor einer Weile endlich mal eingeführt.
Aber wenn man telefoniert fragt man ja auch immer nach der aktuellen Telefon-Nummer und hat keine Kontakt-Liste dafür… Auch sucht man auf der Webseite des Unternehmens immer die aktuelle Email-Adresse von Geschäftspartnern heraus und hat kein Adressbuch und ein ZERO-Gedächtnis. Na also.
Merkt endlich jemand den Fehler ?
Wer ein Land ohne Softwarepatente und hohe Rechtskosten (siehe z.B. Austin Meyer von X-Plane oder Aaron Swartz und der erste Programmierer der schon half, Hitler zu besiegen: Turing. Aber z.B. auch SCO vs. Linux usw.) kennt, bekäme von mir sehr schnell eine resolve-Library welche folgende Features hat:
– Läuft ÜBERALL (Mac, Linux, Windows,…) Evtl über ProxyDNSApps auch dort wo man resolve-Lib nicht ändern kann. Allerdings hat man dort auch oft leider kein Root und muss einen guten Rechner/Router in der Umgebung dafür nutzen können.
– *.WERBESERVER.* u.ä. Glob-Einträge können in der /ets/hosts geblocked werden statt das man nie wieder werbeserver1.WERBESERVER.de usw. für hundert Werbeserver-namen usw. eintragen muss. Siehe die vorhandenen (und oft recht langen) /etc/hosts-Filterlisten welche es gibt.
– Optional: First Ask: D.h. unbekannte DNS-Namen werde gar nicht erst connectet und müssen per simpler bequemer App aus dem Logfile bequem für Oma und Opa und Hausfrauen erlaubt werden oder auch nicht weil es in Ländern mit wahrer Meinungsfreiheit Votes darüber gibt ob man diesen Server erlauben sollte oder nicht. Wer noch Tiny Personal Firewall kennt: Die Ersten zwei Tage sind die Hölle weil jede App ihre Updateserver connectet und man die drei mickigen Fenster umständlich ausfüllen musste. Aber wenn das alles erlaubt wurde, ist Ruhe und man wird nur noch selten gefragt.
– Optional: DNS-Veränderungen werden natürlich an alle Internet-Firmen und Freiheits-Vereine gemeldet. Nie wieder wird ein Dienst einen falschen DNS-Eintrag verbreitet bekommen sondern sofort aufgedeckt und verpetzt. Sogar google hatte ein paar Minuten lang seinen DNS-Eintrag OFFIZIELL verloren und manche IT-Großkonzerne hatten vergessen, es zu verlängern !
– Das man sich Zertifikate (aber natürlich auch DNS-Einträge) von China, Chrome, Firefox, Yahoo, EU, Südkorea, Hongkong, Taiwan usw. bestätigen lässt und jedes Zertifikat mehrfach unterschrieben gehört, will ja auch nur ich. Java wegen mehrfachem Erben ablehnen aber Zertifikate von korrupten, dienste-hörigen oder gecrackten Signatur-Firmen akzeptieren ? Meine Vorhersagen von seit dem neuen Markt wurde schon mehrmals wahr. Aktuell will FireFox ja eine CA aus dem Pool nehmen. Ruft die Liste der (laut Eurem Betriebs-System oder Browser-hersteller TOTAL GLAUBWÜRDIGEN !) Zertifikats-Bestätiger/CAs mal auf. Da stehen hunderte Firmen drin ! Da mal für Sauberkeit zu sorgen hat bisher keinen interessiert.
Ist wohl nicht so wichtig. Da hätten wir ja fast alle etwas von…
Das man ein Grundrecht hat, Firmwares auch OHNE Lizenz zu verbessern und sich Ersatzteile (Windows-Gebrauchtlizenzkauf ? Weiterverkauf von Gebraucht-Apps ? …) zu besorgen oder zu bauen (Old-Timer, siehe Jay Leno) ist bei Autos ganz üblich. Aber bei Software endet man dank DMCA vielleicht wie Aaron Swartz… Sogar OpenWRT ist vielleicht schon verboten ! Lieber buggy Firmwares in Zillionen Routern…
Software wie Fahrkartenautomaten oder auch viele Apps sind oft unbenutzbar. Daher hofft jeder auf FinTech weil Online-Banking oft wohl verhasst ist.
Ein Ausweg ist Sprach-Steuerung weil die Boni-Manager selber mit der Bedienung nicht klar kommen oder keine Route mit dem eigenen Auto geroutet bekommen oder voll die Umwege angezeigt bekommen.
ABER die Leute wissen, das die Katzenklappe sicher sein muss und man die Kellertür nicht offen stehen lassen sollte und Feinde auch über den Balkon rein kommen können.
Das aber die IP-Kamera usw. einen Port im Router öffnet, kriegen die halt nicht mit. Das sind alles Black Boxen. Da hilft auch keine Sprachsteuerung wenn die Probleme nicht bewusst gemacht werden. Sogar Autos isnd schlauer und melden falschen Reifendruck. Aber die Fritzbox hat vielleicht nicht mal Bleutooth und kann nicht mal mitteilen wenn die Waschmaschine fertig ist oder das Gemüsegarten zu nass ist oder beim Vorbeigehen die Schrittzähler und Bodytracker der Famile erfassen und die verpassten Skype-Anrufe der Relevanten Kontakte mitteilen wenn man ins Haus kommt oder die Garage öffnet was der Tesla aber selber macht also wenn man vor der Tür steht und auf der iWatch gleich alles sieht was abgegangen ist. Nicht jeder ist immer online und hat dicke Tarife oder schleppt beim Joggen sein Big-Phone mit. Nicht jede Gegend ist sicher. Da nimmt man lieber ein Prepaid-20-Euro_Handy was Carlos Slim wohl in USA zum REICHSTEN Menschen der Erde auf der Forbes500/100/10-Liste sogar reicher als BILL GATES gemacht hat.
Aber Verbsserungs- und Sicherheits-Überprüfungs-Software wird natürlich verhindert, verboten und bestraft in korrupten Diktaturen. Sonst gäbe es längst Apps um sein Home-Network zu überprüfen. Sowas wie FING (IOS/Android-App, unter MacOS ist es leider wohl nur Command-Line) aber halt mit einer anderen Zielsetzung um zu helfen wenn Internet-Probleme sind.
Nennt ein Land für Programmierung. Dann können Eure Eltern endlich klar kommen. Denn jeder hat einen Router (die waren schon mal VERBOTEN!!!) und immer mehr Internet-Geräte.
Aber hier hoffen die Leute ja auch Zilliarden an Wintel für ein besseres Bildungs-System. Wer bringt die Zukunft ? Jobs mit iPhone/iPad und Musk mit Smart-E-Cars welche die Benziner schnell ersetzen werden oder auch Netflix oder die Regierung und Disney und das Establishment ? Na also.
http://www.heise.de/newsticker/meldung/T-Online-verbietet-DSL-Router-aber-nicht-ganz-40389.html