Als Unternehmen bekommt man es mit den verschiedensten Bedrohungen von innen und außen zu tun. Im Zuge der weiter voranschreitenden Digitalisierung wird die fortlaufende Sicherung der IT-Schutzziele zu einer wachsenden Herausforderung. Angriffe mit dem Ziel, Daten zu stehlen, Ausfälle zu verursachen und den Betrieb von Diensten auszusetzen sind an der Tagesordnung. DDoS-Angriffe sind nichts neues, legen jedoch mit jedem Tag drastisch an Raffinesse und Häufigkeit zu.
Das Problem mit DDoS
DDoS Angriffe haben in den letzten Jahren sehr stark zugenommen. Weiterhin müssen sich sowohl große als auch kleine Unternehmen zunehmend Gedanken um die Abwehr solcher Angriffe machen. Allerdings werden diese immer größer und können meistens nicht mehr durch einfache Firewall Regeln blockiert werden. Der IaaS Provider AWS meldete den bisher größten gemessenen DDoS Angriff mit über 2.3TBit/s. Der größte Angriff davor war dagegen nur 1.7TBit/s groß. Täglich werden tausende Rechner mit Malware infiziert und zu Botnetzen hinzugefügt, welche, gesteuert von Kriminellen, gezielt auf Webseiten oder IP-Adressen angreifen. Sofern die Angreifer Erfolg mit der Attacke haben, fordern sie gerne ein Lösegeld von ihren Opfern, damit die Webseiten und Services wieder erreichbar sind. Zum Schutz des operativen Betriebs ist es also unerlässlich, sich mit dieser Bedrohung und möglichen Lösungen Lösungen auseinanderzusetzen.
Quelle: NETSCOUT
Welche Arten von DDOS Angriffen gibt es?
Während sich früher der Großteil von Attacken auf volumetrische UDP Floods konzentrierte, entwickeln sich die Angriffe eher zu komplexeren, kleineren und spezialisierten Attack
IP Fragmentation
Bei dieser Angriffsmethode werden meistens gespoofte Pakete an den Zielserver geschickt, die größer als die Maximum Transmission Unit(MTU) des Netzwerks sind. Diese liegt meistens bei 1500. Durch die großen Pakete wird der Server beim Zusammensetzen der einzelnen Pakete überlastet und kann somit nicht mehr auf valide Anfragen reagieren. Oftmals werden Pakete mit Offsets so gesendet, dass ein anschließender Zusammenbau überhaupt nicht möglich ist.
TCP Reset Floods
Auch bei dieser Art von Angriffen kommen gespoofte Pakete zum Einsatz. Die Angreifer nutzen die TCP RST(Reset) Flag aus und senden Pakete an den Zielserver. Dieser wird überlastet und kann nicht mehr auf Anfragen reagieren. Eigentlich kommen RST Pakete relativ selten vor, dennoch werden sie von einigen Programmen und Protokollen genutzt. Im Angriffsfall schicken Clients gerne größere Mengen RST oder FIN Pakete, die nicht einmal zu einer aktiven Session gehören. Eine Abwandlung dieses Angriffe ist als “Nullping” bekannt und sendet Pakete mit einem invaliden Protokoll im IP Header. Viele Firewalls ignorieren diese Pakete und lassen sie ungehindert zum Zielserver durch.
NTP / memcached / DNS Amplification
Bei diesen Angriffsmethoden werden Sicherheitslücken in Softwareprogrammen wie z.B memcached ausgenutzt. Indem gespoofte Pakete, die als Quell-Adresse die IP-Adresse des Opfers enthalten, an den memcached Server gesendet werden, antwortet memcached nicht dem eigentlichen Angreifer, sondern direkt dem Opfer. Der unsichere Server antwortet dem Opfer mit einer viel größeren Datenmenge, als er vom Angreifer bekommen hat, daher der Begriff Amplification (dt. “Verstärkung”). Je mehr Traffic an einen Server geschickt wird, desto höher ist der Amplification Faktor. Im NTP Protokoll (Network Time Protocol) werden ebenfalls gespoofte Anfragen zusammen mit dem “MONLIST” Befehl gesendet. Oft sind Amplification Angriffe sehr leicht zu erkennen, da der Quellport des ausgenutzten Services gleich ist.
TCP SYN/ACK Amplification
Ähnlich wie bei memcached und NTP Amplification wird die IP-Adresse des Opfers gespooft und an viele Server weitergeleitet, die dann darauf SYN-ACK Pakete schicken. Solange das Opfer nicht mit einem ACK Paket antwortet, werden weiterhin Pakete gesendet, bis der Server endgültig überlastet ist.
HTTP(S) Flood
Ein HTTP(S) Flood wird direkt auf einen Webserver gerichtet, um diesen mit tausenden Anfragen pro Sekunde zu überlasten. Die Pakete sind meistens so klein, dass sie von keinem einfachen DDoS Filter erkannt werden. Durch das TLS Protokoll wird die Filterung eines solchen Angriffes erschwert, da der komplette Traffic verschlüsselt ist. Hierfür werden oftmals Challenge-Response Überprüfungen eingesetzt, bei denen z.B ein Captcha gelöst werden muss, um auf die eigentliche Webseite zu gelangen.
Wie geht man gegen DDoS vor?
Um einen DDoS Angriff erfolgreich zu filtern, muss vorerst genügend Bandbreite im Netzwerk vorhanden sein. Die höchste Priorität ist also: Genügend Transit von verschiedenen Providern einkaufen, um die Überlastung von Uplinks zu erschweren.
Um die gefährlichen und spezialisierten Angriffe erfolgreich abzuwehren ist es essentiell, so viel wie möglich über sie zu wissen. Oftmals werden Angriffstypen vermischt und während des Angriffs durchgewechselt, um die Analyse und Mitigation zu erschweren. Die präzise und andauernde Analyse des gesamten Netzwerktraffics ist also fester Bestandteil der Mitigations-Strategie.
Zur Analyse des Traffics können Lösungen wie die NETSCOUT Arbor Sightline eingesetzt werden. Hier werden Angriffsmuster erkannt und entsprechend an den Filter kommuniziert. Am Filter wird daraufhin der valide “Clean Traffic” vom bösartigen Traffic getrennt, damit die Dienste des Angriffsziels weiterhin erreichbar sind. Die Arbor Sightline ist dabei außerordentlich effizient darin, auch gemischte Angriffe zu analysieren und Angriffsmuster zu erkennen.
Für volumetrische Angriffe lässt sich BGP FlowSpec nutzen, um Angriffe bereits bei dem Upstream Provider zu blockieren. Es lassen sich hier ohne viel Aufwand Pakete, die bestimmte Eigenschaften aufweisen, herausfiltern. Dazu gehört z.B die Quell- und Zieladresse, der Quell- und Zielport, die Paketgröße, das IP Protokoll und die TCP Flags.
DDoS Schutz bei Klauke Enterprises
Durch den Upstream Provider CDN77 können im Angriffsfall Angriffe mit einer Größe von bis zu 2.4TBit/s per FlowSpec bereits am Edge vorgefiltert werden und erreichen nicht einmal die Filterinfrastruktur. Zudem setzen wir auf NETSCOUT Arbor, um Angriffe schnell und effizient zu filtern.
Der DDoS Schutz kann dabei sowohl im Sensormodus als auch im Dauerschutzmodus erfolgen. Der Sensormodus sampled den Datenverkehr und überprüft nur stichprobenartig Pakete auf Anomalien, während der Dauerschutz permanent jedes eingehende Paket prüft und ggf. mitigiert.
Gerade bei Echtzeitanwendungen oder Kommunikationssoftware ist es wichtig, dass die Verbindung zu keiner Zeit abbricht. Im Sensormodus hat der Traffic zwar die niedrigste Latenz und wird direkt zum Server durchgestellt, im Angriffsfall dauert es jedoch eine durchaus messbare Zeit, bis alle Verbindungen gekappt und auf den Filter migriert werden. Unternehmenskritische Prozess-Kontrollsysteme oder Echtzeitkommunikationsanwendungen können sich das nicht erlauben und werden deshalb durch unseren Dauerschutz permanent und ohne Verzögerung geschützt.
Bei Klauke Enterprises wird auf eine Strategie der maximalen Verfügbarkeit gebaut. Während andere Provider in erster Linie ihr Netzwerk schützen, indem sie angegriffene Server ins Blackholing laufen lassen und dadurch unerreichbar werden lassen, haben wir uns auf andauernden Schutz und die beste Erreichbarkeit der Services im Angriffsfall spezialisiert.
Kommentieren