Was ist die Low Orbit Ion Cannon?

Die Low Orbit Ion Cannon (LOIC) ist ein einfach zu bedienendes Open-Source-Tool für Netzwerk-Stresstests, das häufig für illegale Denial-of-Service-Angriffe (DoS) missbraucht wird.

Person arbeitet an einem Laptop

01

Low Orbit Ion Cannon: eine Definition

Die in der Programmiersprache C# geschriebene Software Low Orbit Ion Cannon (LOIC) wurde ursprünglich von Praetox Technology als Tool für Netzwerk-Stresstests entwickelt. Der Name leitet sich übrigens von einer fiktiven Massenvernichtungswaffe aus der Computerspielreihe „Command & Conquer“ ab. Heute wird die inzwischen als Open-Source-Programm und Webversion verfügbare LOIC hauptsächlich für illegale Überlastungsangriffe missbraucht. Aufgrund seiner benutzerfreundlichen Oberfläche ermöglicht das Tool auch Angreifern ohne technisches Know-how, koordinierte DoS- bzw. DDoS-Attacken durchzuführen.

Code auf einem Bildschirm

02

Wie funktioniert die Low Orbit Ion Cannon?

Die Funktionsweise der LOIC ist relativ simpel: Angreifer müssen nur wenige Einstellungen vornehmen, um eine Attacke zu starten. Dann „beschießt“ die Low Orbit Ion Cannon das Ziel mit massenhaft TCP- bzw. UDP-Paketen oder HTTP-Anfragen, um den Webserver zu überlasten und damit den anvisierten Dienst lahmzulegen.

Allerdings müssen sich dafür mehrere Angreifer zusammentun, weil einer allein mittels LOIC nicht ausreichend schädlichen Traffic erzeugen kann. Für eine koordinierte DDoS-Attacke lässt sich die Low Orbit Ion Cannon im sogenannten „Hivemind“-Modus betreiben. Dabei schließen mehrere Anwender:innen ihre LOIC-Clients über einen IRC-Server zu einem freiwilligen Botnetz zusammen, das dann zentral von einem Rechner aus ferngesteuert werden kann. Je mehr LOIC-Instanzen auf diese Weise zusammengeschaltet werden, desto größer fällt die Schlagkraft des koordinierten Angriffs aus.

03

Ist die Low Orbit Ion Cannon legal?

Das Stresstest-Tool selbst ist legal und im Internet frei verfügbar. Bei der Nutzung ist jedoch zu beachten, dass nur Belastungstests auf eigene IT-Infrastrukturen rechtmäßig sind. Der unautorisierte Einsatz der Low Orbit Ion Cannon gegen fremde Ziele verstößt gegen die Gesetzgebung der meisten Länder. In Deutschland wird dies gemäß § 303b StGB als Computersabotage angesehen und strafrechtlich verfolgt. Angreifern drohen mehrjährige Gefängnisstrafen und/oder Geldstrafen.

Wer LOIC für illegale Überlastungsangriffe einsetzt, muss damit rechnen, schnell identifiziert und strafrechtlich verfolgt zu werden. Denn die IP-Adressen der Angreifer sind für das Ziel sichtbar und lassen sich auch nicht über einen Proxy-Server verschleiern, da die Attacke sonst statt des eigentlichen Ziels den Proxy träfe.

04

Was sind bekannte Beispiele für Angriffe mittels Low Orbit Ion Cannon?

Die Low Orbit Ion Cannon wurde vor allem vom Hackerkollektiv Anonymous und Mitgliedern des Forums 4chan für mehrere aufsehenerregende DDoS-Angriffe eingesetzt:

Project Chanology

Anfang 2008 nutzte Anonymous zusammen mit Unterstützern aus dem 4chan-Forum die LOIC für ein Reihe von DDoS-Angriffen auf Websites von Scientology. Damit reagierte das Hackerkollektiv auf eine von der “Church of Scientology” eingereichte Urheberrechtsklage gegen Youtube. Die Scientology-Organisation hatte von dem Videodienst und anderen Websites verlangt, ein geleaktes Video mit dem Schauspieler Tom Cruise zu löschen.

Operation Payback

Ab September 2010 führte Anonymous im Rahmen der „Operation Payback“ mittels Low Orbit Ion Cannon mehrere DDoS-Angriffe gegen Websites von Finanzinstituten, Branchenverbänden und Regierungsbehörden durch. Damit protestierte das Hackerkollektiv gegen die Schließung der Torrent-Seite Pirate Bay und die Blockade des Spendenkontos von Wikileaks. Die Angriffe richteten sich unter anderem gegen die Motion Picture Association of America, die Recording Industry Association of America und das U.S. Copyright Office. Später waren auch die Bank of America, Paypal und Kreditkartenfirmen wie Visa und Mastercard betroffen, nachdem diese die Weiterleitung von Spenden an die Whistleblower-Organisation Wikileaks verweigert hatten.

Operation Megaupload

Anfang 2012 initiierte Anonymous als Reaktion auf die Schließung des Filehosters Megaupload DDoS-Angriffe via LOIC, unter anderem auf die Websites des FBI, des US-Justizministeriums, der Verbände der US-Film- und Musikindustrie sowie mehrerer Plattenfirmen. Nach Angaben des Hackerkollektivs war es seine bis dahin größte Angriffskampagne überhaupt – insgesamt sollen sich 5.635 Menschen mit eigener LOIC-Instanz daran beteiligt haben.

Person arbeitet an einem Laptop und schreibt Code

05

Wie lassen sich Überlastungsangriffe durch Low Orbit Ion Cannon abwehren?

Kleine LOIC-Angriffe, die eine Website mit HTTP-Anfragen zu überlasten versuchen, sind noch relativ einfach abzuwehren. Hier genügt es, die IP-Adressen der Angreifer zu identifizieren und den Angriffstraffic mittels einer lokalen Firewall zu blockieren bzw. zu verwerfen. Die Abwehr von TCP- oder UDP-Flood-Angriffen sowie von größeren HTTP-Flood-Attacken, die von hunderten oder gar tausenden LOIC-Clients gleichzeitig ausgehen, erfordert hingegen eine Web Application Firewall (WAF) bzw. einen dedizierten DDoS-Schutz auf Anwendungsebene (Layer 7).

Schutzsysteme für die Vermittlungs- und Transportschicht (Layer 3 und 4) erkennen zum Beispiel keinen Unterschied zwischen einem HTTP-Flood-Angriff und einem validen Download. Entsprechend benötigen Unternehmen zur zuverlässigen Angriffserkennung und Absicherung einer Website oder Webapplikation einen DDoS-Schutz auf allen relevanten Layern. Nur so können Betreiber angriffsbedingte Störungen und Ausfälle verhindern, die häufig mit Umsatzeinbußen, Image- und Vertrauensverlust einhergehen.

Code auf einem Laptop Bildschirm

06

Low Orbit Ion Cannon: Das müssen Sie wissen

Die Low Orbit Ion Cannon ist ein Programm für Netzwerk-Stresstests, mit dem auch Personen ohne technisches Wissen mit wenigen Klicks illegale Überlastungsangriffe auf Websites, Webapplikationen und APIs durchführen können. Das Tool ermöglicht koordinierte HTTP-, TCP- und UDP-Flood-Attacken, deren Schlagkraft mit der Anzahl der in einem Botnet zusammengeschalteten LOIC-Instanzen steigt. Um sich effektiv gegen solche Angriffe abzusichern, sollten Unternehmen einen dedizierten DDoS-Schutz auf Anwendungsebene einsetzen.