Mit der High Orbit Ion Canon können Angreifer DoS- und DDoS-Angriffe über HTTP-Traffic starten.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Low Orbit Ion Cannon
R U Dead Yet? (R.U.D.Y.)
DDoS-Abwehr
Botnetz – was ist das?
Web Application Firewall (WAF)
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
High Orbit Ion Cannon ist ein beliebtes Tool zum Einleiten von DoS- und DDoS-Angriffen, mit dem das Netzwerk eines Opfers mit Web-Traffic überflutet und eine Website oder ein Dienst stillgelegt werden sollen. Es handelt sich dabei eine leicht zugängliche Open-Source-Software, die von der Hacktivistengruppe Anonymous entwickelt wurde, und ein Nachfolger eines älteren DDoS-Tools namens Low Orbit Ion Cannon ist (beide sind nach Sci-Fi-Computerspielwaffen benannt). Während die meisten böswilligen Softwaretools ein hohes Maß an technischen Fähigkeiten erfordern, hat die HOIC eine einfache und benutzerfreundliche Oberfläche und kann per Knopfdruck aktiviert werden.
Obwohl sie bei vielen böswilligen und illegalen Angriffen verwendet wird, ist die HOIC weiterhin legal erhältlich, da sie Anwendungen wie legitimes Testwerkzeug für Benutzer enthält, die in ihren eigenen Netzwerken einen „Stresstest“ durchführen wollen.
Die HOIC funktioniert über einen HTTP-Flood-DDoS-Angriff auf der Anwendungsebene und überflutet den Server eines Opfers mit den HTTP-Anfragen „GET“ und „POST“ mit dem Ziel, die Kapazitäten des Servers zu überlasten. Bei erweiterten Angriffen können benutzerdefinierte Skripte verwendet werden, um mehrere Subdomains der Website des Opfers gleichzeitig anzuvisieren. Die HOIC kann gleichzeitig auf bis zu 256 Sites zielen, so dass ihre Benutzer simultane Angriffe koordinieren können. Dieses „Schotflinten-Konzept“, bei dem mehrere Angreifer gleichzeitig auf viele verschiedene Seiten und Domains zielen, kann die Anstrengungen zur Schadensbegrenzung und Erkennung erheblich erschweren.
Integrierte Booster-Skripte helfen Angreifern auch, ihre Entdeckung zu verhindern. Außer den Booster-Skripten nutzen viele HOIC-Benutzer noch schwedische Proxys, um ihren Standort zu verschleiern (es wird vermutet, dass sie Schweden aufgrund der strengen Datenschutzgesetze in diesem Land wählen).
Das Starten eines schweren HOIC-Angriffs erfordert einiges an Koordination, da etwa 50 verschiedene Benutzer gleichzeitig den Angriff auf dasselbe Ziel starten müssen. Anonymous demonstrierte die Wirksamkeit der HOIC im Jahr 2012, als sie erfolgreich Angriffe gegen mehrere große Plattenfirmen, die RIAA und sogar das FBI initiierten. Das war einer der größten DDoS-Angriffe in der Geschichte. Er benötigte schätzungsweise 27.000 Computer, die gleichzeitig die HOIC einsetzten.
Es gibt verschiedene Strategien, um HTTP-Flood-Angriffe der HOIC abzuwehren. IP Reputation Filtering (IPRF) ist eine vorbeugende Maßnahme, bei der eingehende IP-Adressen mit Datenbanken bekannter böswilliger IP-Adressen verglichen und deren Traffic vom Netzwerk ferngehalten werden. Eine Web Application Firewall (WAF) kann Durchsatzbegrenzung-Regeln einsetzen, die den Traffic von IP-Adressen absenken, die verdächtig viele Anfragen stellen. Es gibt auch Methoden, um zu prüfen, ob ein Webclient legitim ist, wie Captcha-Verifizierung und ein ausgefeilteres Verfahren, bei dem Webbrowser aufgefordert werden, ein einfaches mathematisches Problem zu lösen, ohne die Nutzererfahrung zu stören.
Der Schutz vor HOIC-Angriffen sollte in den meisten DDoS-Schutzprodukten und -diensten enthalten sein. Ein umfassender DDoS-Schutzplan, der eine WAF wie die von Cloudflare enthält, bietet eine starke Verteidigung gegen Ebene-7-Angriffe, wie sie von der HOIC gestartet werden.