Fatale Frontalangriffe

Rüdiger Sellin ist Product Marketing Manager
bei der Swisscom (Schweiz) AG im Geschäftsbereich
Corporate Business/Data Connectivity

Denial-of-Service-Angriffe (DoS) haben nur ein Ziel: Die Erreichbarkeit bestimmter Online-Angebote massiv einzuschränken, bis zur totalen Blockade. Hacker nutzen dabei Sicherheitslücken in Betriebssystemen, Programmen oder Diensten aus und machen sich Schwachstellen in Netzwerkprotokollen zunutze, um die angegriffenen Systeme via Internet zum Absturz zu bringen.

Online-Systeme von eShops, Content Providern, Finanzdienstleistern (E-Banking) oder Verwaltungen (E-Government) werden so weit überlastet, bis sie kaum oder gar nicht mehr funktionieren.

Dabei gehen die Angreifer immer geschickter vor und spannen ein verteiltes Verbundnetz privater Rechner für ihre Zwecke ein. Deren Eigentümer merken meist nicht einmal, dass ihre Computer Teil eines solchen Bot-Netzwerkes sind. Mit diesem Netz aus tausenden infizierten Rechnern multiplizieren Cyberkriminelle ihre Schlagkraft und verüben koordinierte, verteilte Angriffe (DDoS Distributed Denial of Service). So können auch Sites mit sehr leistungsstarken Online-Systemen und breitbandigen Netzverbindungen erfolgreich gestört werden.

Gemäss einer jährlich durchgeführten Untersuchung von Arbor Networks stellten auch in den zurückliegenden zwölf Monaten über DDoS-Strategien geführte Angriffe sowie Bot-Netzwerke über ein Drittel aller Bedrohungen. Der Ursprung und die Motive solcher Delikte sind vielschichtig und reichen von Rache- oder Protestaktionen bis zu professionell tätigen Hacker-Organisationen mit Mafia-ähnlichen Schutzgelderpressungen. Den Opfern drohen schwere kommerzielle Einbussen durch lange Ausfallzeiten und Imageverlust.

Und so funktioniert eine DDoS-Attacke: Ein Client (der eigentliche Angreifer) beauftragt einen oder mehrere Master Server, meist sind das gekaperte PCs privater Nutzer. Die Master Server steuern mehrere Daemons, das sind unbemerkt im Hintergrund ablaufende Prozesse, die schliesslich das Opfer attackieren. Der Angreifer-Client kommuniziert oft von einer illegal verwendeten IP-Adresse aus mit seinen übers Netz verteilten Mastern. Deren IP-Adressen und offene TCP- oder UDP-Ports hat er vorab etwa mit Hilfe von Scanning-Tools ausspioniert. Potenzielle Angriffsziele und deren Schwachstellen werden via Internet Security Scanner ausfindig gemacht.

Auf demselben Weg gelangt der Angreifer an die Root-Rechte der Serversysteme und prüft dabei auch gleich, welche Dienste und Ports dort aktiv, also offen und für seine Zwecke benutzbar, sind. Findet er Sicherheitslücken, programmiert der Hacker ein automatisch ablaufendes Script und legt es auf den gestohlenen Accounts ab. Mithilfe dieser Scripts nutzt er zu einem späteren Zeitpunkt die entdeckten Sicherheitslücken. Dazu werden auf den Master-Systemen lauffähige Daemons, also Angriffsprogramme, als prekompilierte Binärdateien (Binaries) gespeichert.

Das Scharfmachen dieser ruhenden Zeitbomben läuft, gesteuert über ein weiteres Script, automatisiert im Hintergrund ab - der betroffene PC-Besitzer merkt auch davon nichts.

Master-Programme nehmen eine Schlüsselrolle im Netzwerk des Angreifers ein und werden bevorzugt auf sogenannten «Primary Name Server Hosts» installiert. Der Grund: Diese Hosts sind für extrem grossen Netzwerkverkehr ausgelegt.

Für den Cyberkriminellen hat dies zwei wesentliche Vorteile: Zum einen verdeckt die hohe Grundlast (Prozessoren und Netz) den zusätzlichen Netzwerkverkehr der Master sehr gut. Zum anderen werden solche Serversysteme selbst bei einem DDoS-Verdacht nicht vorschnell vom Netz genommen, da ihre Bedeutung für das eigene Netz zu gross ist. Später sendet der Angreifer das Startkommando inklusive der Zielkoordinaten seines Opfers (IP-Adresse, Portnummer, Angriffsart) an die Master. Während des Angriffs ist dies der einzige von ihm ausgehende Traffic.

Nach dem Startschuss liegt die weitere Steuerung und Koordination der Attacke bei den Mastern, die jeweils eine bestimmte Anzahl Daemons steuern. Damit beim Aufdecken eines Masters durch einen Netzwerk-Sniffer nicht sofort alle Daemons unbrauchbar werden, teilen die Angreifer ihre Master in Gruppen auf. Auch die Daemons, die auf Anweisung der Master den eigentlichen Angriff ausführen, laufen auf weit im Netz verteilten Computern.

Wie können sich Unternehmen gegen derart subtile Angriffsstrategien zur Wehr setzen? Einige Service Provider bieten einen wirksamen Schutz als Dienstleistung an. Der DDoS Protection Service von Swisscom etwa überwacht permanent die Verkehrsflüsse im Backbone. Bei Abweichungen von der Baseline, also des über 24 Stunden laufend registrierten Bandbreitenverlaufs, werden die Systemverantwortlichen umgehend per E-Mail, SMS, SNMP Traps oder Syslog informiert. Abhängig von der Anomalie wird der Alarm als tief, mittel oder hoch eingestuft. Diese sogenannte Traffic Anomaly Detection erfasst die Baseline-Daten fortlaufend und registriert dabei den Wochentag, die Uhrzeit, die zu diesem Zeitpunkt gemessene Bandbreite und die Protokollkonformität.
Zur Abwehr von DDoS-Attacken setzt Swisscom ein Threat Management System (TMS) ein. Im Falle eines Angriffs leitet das TMS den Datenstrom um, analysiert die Datenpakete und trennt gutartigen von bösartigem Traffic. Als Unterscheidungsparameter dienen beispielsweise die Menge der Datenpakete pro Zeiteinheit , die Bitlänge der Header oder ein fehlendes Bestätigungssignal. Der gefilterte, saubere Verkehr wird anschliessend zum Kunden weitergeleitet.
Die Filterfunktion im TMS wird durch den Kunden aktiviert, entweder über eine geschützte Internetseite, eine Mobile-Unlimited-Verbindung, einen dedizierten xDSL-Anschluss oder telefonisch. Die Kombination aller Massnahmen verschafft dem Kunden einen guten Schutz.