Ratgeber gegen Mirai-Botnet Attacken

Autor: Chad Seaman

Übersicht

Viele Informationen zum Mirai-Botnetz sind dank einer ausführlichen Beschreibung von Malware „Must Die“, sowie der späteren Veröffentlichung des Quellcode-Repositorys bereits bekannt. Dieser Ratgeber enthält Informationen und Erkenntnisse zu Angriffen vor und nach der Veröffentlichung des Mirai-Codes. Zudem werden die einschlägigen Forschungsdaten und Prozesse zusammengefasst, auf denen diese Erkenntnisse basieren. Darüber hinaus sind auch die Signaturen enthalten, die bei realen Angriffen erkannt wurden und die möglicherweise bei der künftigen Erkennung und Abwehr Mirai-basierter Angriffe helfen können.

Zeitrahmen, Statistiken und Signaturen der Angriffe

Mirai-Angriffssignaturen wurden zuerst bei Angriffen auf einen Sicherheitsblog des Journalisten Brian Krebs festgestellt. Der erste von vier Angriffen erreichte einen Spitzenwert von 623 Gbit/s. Die unten aufgeführte Zeitachse zeigt die vier von Akamai abgewehrten Angriffe.

Krebs DDoS Attack Size and Dates
Abbildung 1: Die erste Serie von Mirai-Angriffen auf Brian Krebs wird gestartet

Nur Tage nach diesen Mirai DDoS-Attacken, wurde der Quellcode von Mirai veröffentlicht. Die nächste Zeitachse zeigt die Bandbreite in Gigabit pro Sekunde für Mirai-basierte Angriffe, die nach Veröffentlichung des Codes auftraten. Die Spitzenwerte lagen hierbei meist nur noch unterhalb der 100-Gbit/s-Marke. Darüber hinaus gingen bei den meisten Attacken weniger als 30 Mio. Pakete pro Sekunde ein.

Mirai Confirmed DDoS - After Source Code Release
Abbildung 2: Zeitlicher Verlauf der Angriffe, die Akamai nach der Veröffentlichung des Mirai-Codes abgewehrt hat

Die einzige Attacke mit mehr als 30 Mio. Paketen pro Sekunden war der 261-Gbit/s-Angriff vom 11. Oktober. Hauptgrund für die allgemein niedrigeren Paketraten ist ein höheres Maß an Padding in den vielen bisher erkannten Mirai-Angriffen. Die meisten dieser Angriffe nutzten Vektoren, in denen Payloads mit einem Daten-Padding von mindestens 512 Byte zum Einsatz kamen. Diese größeren Pakete verbrauchen zwar mehr Bandbreite, verfügen jedoch üblicherweise auch über einen niedrigeren Paketdurchsatz.