ANGRIFFE ÜBERWACHEN UND METHODEN ENTWICKELN UM SIE ZU IHREM URSPRUNG ZURÜCKZUVERFOLGEN.
Denial-of-Service (DoS)-Angriffe bedrohen ständig die Verfügbarkeit von Online-Diensten, von denen viele zu kritischen Infrastrukturen oder zum Kern des Internets gehören. Neuartige gegnerische Techniken zur Verstärkung von Angriffen sind immer raffinierter geworden, und die Auswirkungen der Angriffe haben aufgrund der Zunahme der den Gegnern zur Verfügung stehenden Bandbreite rasch ein noch nie dagewesenes Ausmaß angenommen. Diese Entwicklung erfordert neuartige Lösungen, um Angriffe rigoros zu überwachen und Methoden zu finden, mit denen sie bis zu ihrem Ursprung zurückverfolgt werden können.
Zu diesem Zweck entwickeln wir Methoden, um ein Verständnis für das globale Ausmaß der so genannten Amplifikationsangriffe zu erhalten, bei denen die Gegner Spoofing-Aktionen missbrauchen, gepaart mit Reflexion, um die Opfer mit einer Flut von großen Paketen zu überwältigen. Wir überprüften UDP-basierte Netzwerkprotokolle aus der Sicherheits-Perspektive und stellten fest, dass mindestens 14 populäre Protokolle (wie DNS, NTP oder SSDP) schwerwiegende Schwachstellen aufweisen, die zur Durchführung massiver DoS-Angriffe missbraucht werden können. Da wir den Schaden dieser Angriffe sahen, entwarfen wir einen neuartigen Honeypot mit dem Namen AmpPot, der anfällige Protokolle nachahmt - das erste Mal überhaupt, dass das Honeypot-Konzept im Zusammenhang mit DoS verwendet wurde. AmpPot zieht Angreifer:innen so an, dass sie die eingesetzten Honeypots missbrauchen, was es uns wiederum ermöglicht, Angriffstechniken und Ziele zu überwachen.
Um diese Angriffe zu stoppen, sind wir außerdem daran interessiert, den Ursprung von DoS-Vorfällen zu ermitteln. Eine grundlegende Herausforderung besteht darin, dass DoS-Angriffe anonym sind und es den Angreifer:innen ermöglichen, die wahre Angriffsquelle durch Spoofing von IP-Adressen perfekt zu verbergen. Wir arbeiten daher an neuartigen Mechanismen, die es uns erlauben, den Ursprung von verstärkten DoS-Angriffen zurückzuverfolgen. Wir verknüpfen konzeptionell die Aufklärungs- (d.h. Scan-) und die Angriffsphase, indem wir verfolgen, welche Suche nach Verstärkern zu welchen Angriffen geführt hat. Darüber hinaus bilden wir Angriffe auf Booter-Dienste ab, die sie durch Beobachtung und Verknüpfung von Verkehrsmustern verursacht haben. Diese Ergebnisse werden an die Strafverfolgungsbehörden zurückgemeldet, um ihnen zu helfen, die wahren Drahtzieher:innen hinter den schädlichen DoS-Angriffen zu identifizieren.
