E-mail senden E-Mail Adresse kopieren

2021-09-21
Annabelle Theobald

Auf Umwegen in die Falle gelockt

CISPA-Forscher Johannes Krupp wird für seinen neuen Ansatz zur Verfolgung spezieller DDoS-Attacken mit einem Distinguished Paper Award ausgezeichnet.

Über zwei Stunden lang ploppten auf den Rechnern von US-Nutzer:innen Fehlermeldungen auf, als sie an einem Tag im Oktober 2016 versuchten, Onlinedienste wie Twitter, Spotify, Ebay und Netflix zu erreichen. Ein massiver DDoS-Angriff (Distributed-Denial-of-Service-Angriff) auf einen Serviceprovider, den die Unternehmen nutzten, hatte die Dienste in den USA vorübergehend komplett lahmgelegt. Solche Attacken, bei denen Netze gezielt mit unnötigen Daten überlastet werden, gibt es regelmäßig. Sie treffen aber meist eher kleinere Online-Shops oder -Gamer und schlagen deshalb medial nicht ganz so hohe Wellen. Versierte Angreifer:innen können verschleiern, woher die Attacke kommt, und so vielfach unerkannt bleiben. Johannes Krupp, der in der Gruppe von CISPA-Faculty Prof. Dr. Christian Rossow forscht, hat mit BGPeek-a-Boo einen neuen Ansatz zur Verfolgung von DDoS-Angriffen vorgestellt. Auf dem 6. IEEE European Symposium on Security and Privacy hat er einen Distinguished Paper Award für seine Arbeit bekommen. 

Denial-of-Service-Attacken – übersetzt etwa Dienstverweigerungs-Attacken – beschäftigen IT-Sicherheitsforscher:innen nun schon mehr als 20 Jahre. Im Kern geht es bei solchen Angriffen darum, ein Netz so sehr mit Daten zu fluten, dass es letztlich komplett überlastet seinen Dienst einstellen muss. Bei DDoS-Attacken, das weitere „D“ steht für Distributed, kommen – statt einzelnen – mehrere unterschiedliche Systeme in einem koordinierten Angriff zum Einsatz. Bei einer Variante des Angriffs schicken Angreifer:innen, um die benötigte Datenflut zu produzieren, massenhaft Anfragen an Internetdienste.  Als Absender geben sie die IP-Adresse des Opfers an. Sobald Antworten zurückkommen, wird das Netz des Opfers überlastet und bricht innerhalb kürzester Zeit zusammen. Auf diese Weise können Online-Shops und Webseiten für eine gewisse Zeit außer Betrieb gesetzt und so zum Beispiel Wettbewerber:innen oder Gegenspieler:innen geschädigt werden.  Solche Angriffe können sich aber letztlich auf jede:n Internet-Nutzer:in auswirken, denn die Kollateralschäden sind groß, wie Johannes Krupp erklärt. „Meist sind auch alle Nachbar:innen und Menschen im weiteren Umkreis, die an derselben Internetleitung hängen, betroffen.“

Eigentlich sollten Internetdienste – bevor sie antworten – prüfen, woher die Anfragen kommen. Bei den oben beschriebenen Attacken machen sich die Angreifer:innen allerdings zunutze, dass es noch immer Kommunikations-Protokolle gibt, die sich Anfragen ungeprüft unterschieben lassen, sagt Krupp. „Zum Teil sind das nicht mehr so relevante Protokolle aus der Steinzeit des Internet. Leider gehört dazu aber auch zum Beispiel das wichtige und viel genutzte Domain-Name-Service-Protokoll, das nicht so einfach abgeschaltet oder ersetzt werden kann.“

Um eine Attacke vorzubereiten, müssen Angreiferinnen zunächst Internetdienste finden, die – ohne deren Herkunft zu prüfen – auf Anfragen antworten und sich damit als sogenannter Reflektor für einen Angriff eignen. Mit sogenannten Honeypots, das sind simulierte Computersysteme, spiegeln IT-Sicherheitsforscher:innen vor, ein solcher Reflektor zu sein und sammeln, statt ihnen zu helfen, Informationen über die Angreifer:innen. „Mit Hilfe eines Honeypots können wir zum Beispiel herausfinden, wer angegriffen wird, wie lange der Angriff dauert und wann er aufhört. Wir können oft auch noch sagen, ob zwei Angriffe vom selben oder von zwei unterschiedlichen Angreifer:innen kommt – allerdings wissen wir damit noch nichts über dessen Identität“, sagt Krupp. 

Bislang – denn sein neuer Ansatz, genannt BGPeek-a-Boo, könnte die Angreifer:innen künftig aus ihrer Deckung treiben. Krupp macht sich damit bei der Angreifer:innen-Suche zu Nutze, wie das Routing im Internet funktioniert. „Das Internet wird oft als ‚Netzwerk von Netzwerken‘ bezeichnet, denn darin zusammengeschlossen sind circa 70.000 sogenannte autonome Systeme. Das sind Netzwerke unter der Kontrolle eines gemeinsamen Administrators. Darunter fallen zum Beispiel Internetanbieter wie die Telekom oder Vodafone“, erklärt der 29-Jährige. Wollen diese autonomen Systeme Datenpakete in ein anderes Netz schicken, müssen sie wissen, auf welchem Weg das möglich ist und am schnellsten geht. „Benachbarte Netzwerke können miteinander kommunizieren und tauschen sich darüber aus, was die schnellste Route zum Ziel-Netzwerk ist“, sagt Krupp. Dabei müssen sie einander auch informieren, falls ein Netz auf der Route ausgefallen ist. Passiert das nicht oder nicht schnell genug, kann es zu Routing-Schleifen kommen, bei denen das Paket letztlich wieder am Ausgangsort landet.

Um solche Schleifen zu verhindern, prüfen Router bevor sie die Datenpakete weiterleiten, ob sie selbst auf der Ausweichroute liegen. Trifft das zu, wird diese verworfen. Dieser Mechanismus nennt sich loop detection und wird von BGPeek-a-Boo geschickt ausgenutzt. Mithilfe des Honeypots werden falsche Routeninformationen ausgegeben und behauptet, es lägen Systeme auf der Route, die es in Wahrheit nicht tun. Durch diese Manipulation lassen sich nach und nach alle Wege abschneiden. Wenn keine Datenpakete mehr beim Honeypot ankommen, lässt sich eingrenzen, wer den falschen Datenverkehr erzeugt und welche Systeme ihn ungeprüft weiterleiten.

In Simulationen ließen sich mit diesem neuen Ansatz in 60 Prozent der Fälle die Angreifer:innen aufspüren. „Vorher lag die Trefferquote bei 0“, sagt Krupp. Er ist sich sicher, dass DDoS-Angriffe auch die nächsten Jahre noch ein Thema sein werden. „Wir hoffen aber mit unserer Forschung dazu beizutragen, dass Angreifer:innen in Zukunft vermehrt verfolgt werden können und sind dazu auch schon im Gespräch mit einigen Strafverfolgungsbehörden.“ Dass seine Idee zu BGPeek-a-Boo auch bei der Fachjury des IEEE European Symposium on Security and Privacy so gut angekommen ist und unter den eingereichten Forschungsarbeiten besonders hervorgehoben wurde, freut den Trierer. „Ein Distinguished Paper Award ist schon etwas ganz Besonderes.“