Radware ermittelt Ursache für DDoS-Attacken in Südkorea

Auf dem bösartigen Code NetBot basierendes Botnet steuerte bis zu
21.000 Computer

(14.03.11) - In den vergangenen Tagen sind nahezu 40 kommerzielle sowie Regierungswebseiten in Südkorea massiven Denial-of-Service-Attacken zum Opfer gefallen. Von den systematischen Anschlägen waren insbesondere das Präsidialamt, das Außenministerium, nationale Sicherheits-dienste, die Koreaeinheiten der US-amerikanischen Streitkräfte sowie zahlreiche Webseiten des Finanzsektors betroffen. Direkt im Anschluss gab das Land eine Cyber-Security-Warnung heraus.

Ursache der Angriffe war ein auf dem bösartigen Code NetBot basierendes Botnet, das bis zu 21.000 Computer steuerte und High-Rate SYN Floods, TCP Connection Floods und HTTP-GET Floods generierte. Diese legten etliche Web Server und TCP Stacks lahm. Das Emergency Response Team (ERT) von Radware hat infolgedessen infizierte Rechner inspiziert.

Den Ermittlungen nach wurde NetBot ursprünglich als Werkzeug für Stress-Tests entwickelt. Seitdem es öffentlich zur Verfügung gestellt wurde, wurde es jedoch immer mehr für DDoS-Attacken missbraucht. Dabei kam vor allem der Überträger Circle-CC zum Zuge, der für DoS-Angriffe auf Anwendungsebene verantwortlich ist. Circle-CC scannt eine Webseite systematisch über deren Speicherseiten und setzt dabei den Caching-Mechanismus außer Kraft.

Derartige Attacken sind keineswegs eine lokale Erscheinung. Sie können - vor allem aus politisch oder wirtschaftlich motivierten Gründen - jederzeit auch in Deutschland auftreten. Jedoch lassen sich solche Angriffe mit den gängigen Lösungen, die für die Netzwerksicherheit eingesetzt werden, leider nicht erfassen. Vielmehr müssen verschiedene Technologien kombiniert eingesetzt werden, um die wichtigen Funktionen, wie Intrusion Prevention (IPS), DoS Protection und Network Behavorial Analysis (NBA), gemeinsam nutzen zu können. (Radware: ma)