In den letzten Tagen wurden mehrere bekannte Webseiten, mit Schwerpunkt Websicherheit, durch Denial of Service (DDoS) Angriffe getroffen. Darunter Immunity, Milw0rm, Packet Storm und Metasploit. Die drei erstgenannten sind inzwischen nicht mehr betroffen, nur Metasploit war bis vor kurzem noch Ziel des Angriffs.

Die Angreifer hinter der DDoS Attacke, welche am 6. Februar begann und auf den meisten Seiten über das Wochenende anhielt, benutzten ein massives Botnet mit ca. 80.000 Zombies um die oben genannten Domains mit HTTP Anfragen zu überhäufen.

HD Moore, Urheber von Metasploit, sagte, dass der DDoS eine Rate von 15 Mbps erreichte und SYN Pakete nutzte. Als eine Zwischenlösung wurde der Traffic auf eine andere Domain umgeleitet, während weitere Daten über den Angriff gesammelt wurden.

Traffic von Metasploit während des DDoS

Um den Angriffen etwas entgegen zu setzten, wandte z.B. Metasploit folgende Techniken an:

• Es wurden Dienste von Port 80 auf Port 8000 verlegt, um die TCP SYN und HTTP GET Angriffe, welche auf Port 80 ausgerichtet waren, ins Leere laufen zu lassen
• Der Domainname wurde auf 127.0.0.1 gelegt mit einer sehr kurzen TTL, damit die Bots eine sinnlose Adresse attackieren
• Da nur die Domain metasploit.com, aber nicht www.metasplout.com attackiert wurde, konnte die Adresse ohne www abgestellt werden
• Die Domain wurde in ein anderes Netzwerk verlegt

Wer hinter den Angriffen steckt ist noch nicht bekannt. Updates zu den Angriffen findet sich z.B. im Blog von Metasploit.