DDoS-Angriff Poking - der will (nicht) nur spielen

In der Serie The Art of Defense geben wir Einblick in unsere tägliche Arbeit bei der Abwehr von Angriffen auf Server, Applikationen und Netze.

In diesem Artikel beschreiben wir einen DDoS-Angriff, der meist nur lästig ist und die Abwehrmöglichkeiten immer mal wieder überprüfen soll: das sog "Poking", auf deutsch "Stochern", eher zu übersetzen mit "an der Tür rütteln".

Diese Attacken sehen wir sehr häufig und regelmäßig und zeichnen sich durch folgende Faktoren aus:

  • Zeit: kurzfristig, 30 Sekunden - 5 Minuten
  • Stärke: Level 1 - 3 / bis 10.000 Requests/Sekunde (rps)
  • Layer: 7 (HTTP/HTTPS) und 3/4 (Volumenangriffe)

Poking hat verschiedene Zwecke:

  • grundsätzlich dienen diese Angriffe dem Ziel, die DDoS-Abwehr zu testen
  • bei vorhergegangene, längerfristigen Kampagnen überprüfen die Angreifer immer mal wieder, ob die Ziele geschützt sind und sich ein weiterer Angriff lohnt.
  • manchmal schauen Erpresser, ob sich ein Angriff generell lohnt und z.B. eine Erpressung potentiell erfolgreich sein kann

Ein Poking-Angriff soll also nicht primär erfolgreich sein sondern dient der Aufklärung und Tests der Abwehr. Man sollte diese Angriffe als Ernst nehmen, zumindest aber beobachten.

In Bildern gesprochen:

(Bilder anklicken zum Vergrößern)

Der Screenshot zeigt zwei kurze aber heftige Attacken auf ein Ecommerce-System (Layer 7); die erste um 14.10 mit knapp 100.000 rpm und einer zweiten, kurz darauf um 14.13 mit 214.00 rpm / 3700 rps.

Dieser Angriff wurde von einigen wenige Servern aus durchgeführt

Poking kurz und schmerzlos


So stellt sich Poking im Vergleich zum normalen Traffic dar:

Poking vs normalem Traffic


Poking mit einigen wenigern Servern: Angriff kommta us dem nichts, keine Einschwingphase; Auflösung: 1 Sekunde

Poking ON-BZZZZT-OFF


regelmäßiges Poking & testen der Abwehrfähigkeit

Poking Summary, regelmäßiges Testen