Cloud­Fla­re – Größ­ter NTP-Reflec­tion-Angriff seit eh und je

CloudFlare

Cloud­Fla­re ist einer der größ­ten und bekann­tes­ten Anbie­ter, den Web­sei­ten-Admi­nis­tra­to­ren anbie­tet, sei­nen kom­plet­ten Traf­fic zuerst über den Cloud­Fla­re-Netz­wer­ken lau­fen zu las­sen und anschlie­ßend gefil­tert den „guten Traf­fic” auf sei­ne eige­ne Home­page lei­tet. Ges­tern Nacht erleb­te jedoch der Dienst einst der größ­ten Netz­werk-Angrif­fen, der grö­ßer sein soll als der Angriff auf Spam­haus im letz­ten Jahr.

Der Dienst Cloud­Fla­re bie­tet mei­ner Mei­nung nach ein star­kes Fea­ture für alle Admi­nis­tra­to­ren, die ihre Pro­jek­ten / Web­sei­ten ein biss­chen siche­rer machen möchte.

Denn Cloud­Fla­re fil­tert schon vor dem Besuch auf der Home­page die Besu­cher in „gut” und „böse” auf. Die Guten, also der gute Traf­fic wird sofort auf die gewünsch­te Home­page wei­ter­ge­lei­tet und der böse Traf­fic wird unter Umstän­den kom­plett aus­ge­sperrt oder muss vor­her einen Cap­t­cha-Code ein­ge­ben, damit man die Home­page besu­chen kann.

Nun mel­de­te der Dienst über Twit­ter, dass das Netz­werk selbst ange­grif­fen wird. Dabei wur­de wie sonst üblich nicht mit­tels DNS-Ser­ver ange­grif­fen, son­dern über einen soge­nann­ten NTP-Reflec­tion-Angriff, der über das Zeit­ge­ber­pro­to­koll erfolgt.

NTP ist eine rela­tiv neue Vor­ge­hens­wei­se um Web­sei­ten lahm­zu­le­gen. Statt DNS-Ser­ver wer­den NTP-Ser­ver im Inter­net ver­wen­det. Der Angrei­fer fäl­schen Daten­pa­ke­te und set­zen die IP-Adres­se des Opfers so gese­hen Quel­le ein. Die NTP-Ser­ver ant­wor­ten wie­der­um auto­ma­tisch und sen­den Daten an die ech­te IP-Adres­se zurück.

Ob nun spe­zi­ell der Dienst ange­grif­fen wur­de oder ein Kun­de, der den Dienst in Anspruch nimmt und dadurch alle in Mit­lei­den­schaft gezo­gen wur­de, ist bis­her noch nicht bekannt.

Auch bei unse­ren Pro­jek­ten wur­de der Angriff bemerk­bar, da meh­re­re Benach­rich­ti­gun­gen ein­gin­gen, dass zeit­wei­se (unter ande­rem) unse­re Web­sei­te nicht erreich­bar sei.

Server-Status vom 10. Februar 2014

Wie man bei die­sem Screen­shot erken­nen kann, gab es für den 10. Febru­ar 2014 nicht nur am spä­ten Abend diver­se Beein­träch­ti­gun­gen, son­dern auch um 10 Uhr, sowie um 16 Uhr.

Durch inten­si­ve Recher­chen heu­te kann ich nun bestä­ti­gen, dass die Beein­träch­ti­gun­gen vor 18 Uhr auch auf die Kap­pe von Cloud­Fla­re gehen. Ers­te Mel­dun­gen sei­tens Cloud­Fla­re wur­de jedoch erst ab 18:26 Uhr bekanntgegeben.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.