Verkehrschaos durch DDoS-Angriffe

Gezielte Denial-of-Service-Angriffe auf Server, Rechner oder andere Komponenten im Datennetz legen immer wieder Websites und Mailserver lahm. Sich davor zu schützen, ist bislang nicht möglich. Was bleibt, sind verschiedene Möglichkeiten, solchen Angriffen standzuhalten.

von Patrick Fend* 26.04.2017 15:31

Als volumetrische Angriffe erzeugen Denial-of-Service-Attacken gigantische Datenmengen und zwingen dadurch regelmässig Server und Infrastruktur in die Knie. Sie existieren als einfacher Denial of Service (DoS), Distributed Denial of Service (DDoS) oder Distributed Reflection Denial of Service (DRDoS). Erst im Oktober 2016 waren viele bekannte Websites, darunter Airbnb, Twitter und Github, aufgrund einer massiven DDoS-Attacke für Stunden nicht erreichbar. Ein wirksamer Schutz ist bislang nicht in Sicht. Und die Angriffe zu stoppen, ist ebenfalls kaum möglich. Oft halten sie so lange an, bis sie keinen Effekt mehr erzielen. Für Unternehmen stellt sich deshalb vor allem die Frage, wie sie solche Angriffe aushalten und ihre Services währenddessen aufrechterhalten können.

Zu viel Traffic? Es gibt Gegenmassnahmen Zu viel Traffic? Es gibt Gegenmassnahmen

Ressourcen erhöhen

Eine Möglichkeit besteht darin, die Ressourcen zu erhöhen. Sie ist für alle drei Angriffsvarianten relevant und kann entweder vertikal oder horizontal erfolgen. Letzteres umfasst weitere Server mit gleichen Aufgaben. Ein vertikales Erhöhen der Ressourcen bedeutet dagegen mehr Arbeitsspeicher (RAM) oder Prozessoren (CPU). Sinnvoll ist dabei das Einrichten von Loadbalancern zum Verteilen der eingehenden Anfragen auf mehrere Systeme. Vor allem bei gewünschter Hochverfügbarkeit ist eine solche Lastverteilung bereits von Beginn an als Schutz unbedingt zu empfehlen. Je nachdem, wie gross der Angriff ist und wie lange er anhält, müssen Unternehmen gegebenenfalls mehrmals die Ressourcen erhöhen.

Nächste Seite: Schadhaften Traffic blockieren

Schadhaften Traffic blockieren oder eliminieren

Handelt es sich um einen einfachen DoS-Angriff, erfolgt dieser in der Regel von einer einzigen oder sehr wenigen IP-Adressen aus. Diese sind in der Regel relativ einfach zu identifizieren und anschliessend zu blockieren. Für DDoS- und DRDoS-Attacken ist dies aufgrund der immensen Datenmenge oft nicht ausreichend. Ausserdem ist der Traffic so intelligent verteilt, dass es teilweise mehrere Tage bis Wochen bis zur Identifizierung dauert. Eine Möglichkeit, solchen Angriffen standzuhalten, ist das Identifizieren und Eliminieren des schadhaften Traffic. Die verschiedenen nachfolgend beschriebenen Möglichkeiten sind mehr oder weniger aufwendig und kostenintensiv. Ausserdem bergen sie immer die Gefahr, auch legitimen Traffic mit herauszufiltern:

Traffic Washing/Scrubbing

Ein Exposed Host analysiert die ankommenden Anfragen, zum Beispiel anhand der Signaturen, Absender-Adressen oder Protokolle. Er erkennt die echten Anfragen und leitet diese zur normalen Bearbeitung an den Server weiter. Sollte sich die Menge der Anfragen erhöhen, besteht die Gefahr, dass der Exposed Host an seine Grenzen kommt und weitere Exposed Hosts gebraucht werden.

Profiling

Auf der Basis eines vorher erstellten Aktivitätsprofils werden die eingehenden Anfragen analysiert. Nur wenn sie die angebotenen Seiten betreffen, werden sie als legitim definiert und verarbeitet. Allerdings können auch Botnets mit legitim aussehenden Anfragen die Dienste überlasten: Das Ausfüllen eines Webformulars wurde beispielsweise als legitim definiert. Wird es jedoch 10'000-mal pro Sekunde ausgefüllt, ist es nicht mehr legitim. In solchen Fällen können Formulare zum Beispiel mit Captchas versehen werden. Der Mechanismus stellt sicher, dass das Formular tatsächlich von einem Menschen ausgefüllt wird. Alternativ bieten Tresholds die Möglichkeit, die Anzahl der Aktionen zu begrenzen oder die Zugriffe pro Sekunde zu beschränken.

BlackHoling (RTBH, S/RBTH)

Grundlage ist die Tatsache, dass eine Anfrage im Internet immer aus einer Quelle kommt (Angreifer oder legitimer Kunde) und auf ein Ziel (Server) gerichtet ist. Somit kann entweder die Quelle oder das Ziel Gegenstand von BlackHoling sein. Richtet sich das BlackHoling auf das Ziel, werden alle Anfragen an eine bestimmte Domain oder IP-Adresse statt in das eigene Netzwerk ins «Nichts» umgeleitet. So kann schadhafter Traffic andere Systeme und Kunden nicht in Mitleidenschaft ziehen. Stattdessen wird er von einem «Schwarzen Loch» verschlungen. Diese als Remote Triggered BlackHoling (RTBH) bezeichnete Massnahme spielt allerdings dem Angreifer in die Karten, da weder gewünschter noch unerwünschter Traffic zum Server gelangen. Ist der Angriff auf die IP-Adresse gerichtet, besteht zusätzlich die Möglichkeit, diese zu ändern. Der Angriff läuft dann ins Leere. Zielt die Attacke allerdings auf die Domain ab, ist das Ändern der IP-Adresse keine Lösung. Die Namensauflösung würde schliesslich weiterhin stattfinden und der Angriff mit der neuen IP weitergehen.

Vor allem für Webserver, die Webseiten oder -shops zu Verfügung stellen, kommt lediglich ein Filtern anhand der Absender-IP-Adresse in Frage. Das BlackHoling bezieht sich dann auf die Quelle und wird als Source-Based Remote Triggered BlackHoling (S/RTBH) bezeichnet. Dabei werden alle Anfragen von den IP-Adressen eines bestimmten Nutzers oder Kunden nicht verarbeitet. Allerdings sind bei dieser Methode alle Nutzer der entsprechenden IP-Adresse betroffen, sodass auch hier legitimer Traffic weggefiltert wird.

    © zvg

Remote Triggered BlackHoling (RTBH): Legitimer Datenverkehr und DDoS-Angriff erreichen über das Internet spezielle Router, die etwa bei einem Hoster wie Adacor stehen könnenn. Sie senden Stichproben (Flows) an entsprechende Sensoren (Flow Sensor). Diese beurteilen, ob es sich um einen Angriff handelt. Ist dies der Fall, wird ein Routing-Update an die Router und die Carrier gesendet. Das ermöglicht, die angegriffene IP zu blocken und das Netzwerk hinter den Carrier Routern zu schützen.

    © zvg

Source-Based Remote Triggered BlackHoling (S/RBTH): Dieses Verfahren ist vergleichbar mit dem vorgenannten. Auch hier erreichen legitimer Datenverkehr und DDoS-Angriff über das Internet die Router. Diese senden Stichproben (Flows) an die Sensoren (Flow Sensor). Diese beurteilen, ob es sich um einen Angriff handelt. Ist dies der Fall, wird ein Routing Update an die Router gesendet, um die IPs des oder der Angreifer zu blocken.

Geoblocking

In manchen Fällen besteht Grund zur Annahme, dass die schadhaften Anfragen aus einer bestimmten geografischen Region kommen. In diesem Fall ist Geoblocking eine Möglichkeit, damit umzugehen. Das heisst, aller Traffic aus einer bestimmten Region wird komplett nicht bearbeitet. Allerdings ist das nur dann empfehlenswert, wenn die Region nicht relevant für den Kunden ist und das Geoblocking auf Firewall-Ebene ausgeführt wird. Muss – beispielsweise aufgrund der Grösse des Angriffs – das Geoblocking bereits am Router stattfinden, ist sicherzustellen, dass alle Kunden, die die dahinterliegende Infrastruktur nutzen, den Traffic aus dieser Region nicht brauchen.

Geografische Verteilung

Die geografische Verteilung von Diensten auf verschiedene Kontinente, ursprünglich zum Gewährleisten kurzer Antwortzeiten gedacht, ist im Falle eines DDoS- oder DRDoS-Angriffs sehr hilfreich. Allerdings ist sie sehr kostenintensiv. Dabei bleiben die Anfragen auf dem Kontinent, auf dem sie gestartet werden – und somit auch die Angriffe.

    © zvg

Nächste Seite: Im Einzelfall entscheiden und Fazit

Im Einzelfall entscheiden

Welche Massnahme im Angriffsfall die beste Wahl ist, entscheidet der Einzelfall. Zu bedenken ist dabei, dass manche Methoden etwas zeitlichen Vorlauf brauchen. So muss beispielsweise beim Profiling die Zeit zum Erstellen der Aktivitätsprofile eingeplant werden. Auch die geografische Verteilung funktioniert nur mit entsprechender Vorbereitung.

Fazit

Patrick Fend, CTO von Adacor Patrick Fend, CTO von Adacor © zvg

Ein wirksamer Schutz gegen volumetrische Angriffe, die zu einer Dienstverweigerung führen, ist kaum möglich. Es existieren lediglich verschiedene Methoden, um im Fall einer absichtlich und gezielt herbeigeführten Dienstblockade den schadhaften Traffic herauszufiltern und den Service möglichst aufrechtzuerhalten. Welche Methode am besten geeignet ist, hängt vor allem vom Kunden und seinem Geschäftsmodell sowie den betroffenen Diensten ab. Es ist im  Einzelfall zu entscheiden, was das beste Vorgehen ist. Im Sinne einer schnellen Lösung ist es vor allem wichtig, entsprechende Experten an der Seite zu haben. Diese sollten nicht nur über das Know-how über die verschiedenen Angriffsarten verfügen, sondern auch über Beratungs- und Lösungskompetenz sowie über die Ressourcen, um im Notfall angemessen reagieren zu können.

*Patrick Fend ist einer der drei Unternehmensgründer der Adacor Hosting GmbH mit Sitz in Essen und Offenbach sowie der Technikexperte im Unternehmen.