DDOS-Attacke Teil II – Funktionsweise und Motivation


Zweiter Teil der DDOS-Story:

Wie hat es funktioniert und wofür machen sich die Spamer nur all die Mühe?

Diese Spam-Attacke kam sogar mehrfach „verteilt“ daher:
Unzählige unerwünschte eMails wurden in üblicher Spam Manier an zahlreiche Adressen unserer Kunden versandt. Klar, dass dabei sowohl Absender-Adressen, als auch die IP-Adressen der Absender, ständig wechselten, um ein leichtes Ausfiltern durch SecuMail an dieser Stelle zu verhindern. Bis hierher sollte sich die Angelegenheit noch nicht weiter vom Alltag eines Spamfilters unterscheiden. Außergewöhnlich war allerdings der Inhalt der eMails:
Neben ein paar Zeilen Random-Text enthielt dieser nämlich eine Reihe von HTML-Links, deren Urls auf seltsame Domains zeigten. Diese Urls waren stets nach folgendem Strickmuster aufgebaut: x743h.russische-domain.ru, wobei „x743h“ als scheinbar zufällige Zeichenkombination den unzähligen russischen Domains, angehängt wurde. Natürlich tauchte dabei kaum eine Kombination mehr als einmal auf, was die manuelle Filterung praktisch ausschließt.

Der böse Plan hinter all dem sah vor, dass die Nameserver, auf welchen die russischen Domains gehostet wurden, so eingestellt waren, dass Anfragen auf Sublevel-Domains nie beantwortet wurden. Das bedeutet wiederum, dass jede Anfrage in einem DNS-Timeout endet. Ein guter Spamfilter untersucht jedoch alle Links, die er im eMail-Text findet und prüft, ob diese im DNS aufgelöst werden können oder ob es sich um bekannte Spam-Urls handelt.
Ziel des Plans war also, dass die Filterserver während der Untersuchung der eMails extrem viele DNS-Abfragen tätigen müssen, um sie dabei auch noch möglichst lange hinhalten zu können. Die extreme Häufigkeit dieser Wartezeiten sollte dann für einen Stillstand der eMail-Verarbeitung sorgen.
Auf derartige Ausfälle bei der eMail Zustellung reagieren Administratoren dann in der Regel mit dem kleineren Übel, nämlich mit dem Abschalten der Spam-Filter Funktion. Und damit hätte der Spamer freie und ungebremste Fahrt, direkt in die Postfächer der Adressaten – unserer Kunden!

Ob und wie dieser Plan zum Erfolg führte, erfahren Sie im dritten Teil.

Viele Grüße

Hannes Wilhelm

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s