Denial of Service – Warum eine genauere Betrachtung lohnt

Denial of Service – Warum eine genauere Betrachtung lohnt

Die zunehmende Professionalisierung der Angreifer zwingt zu einer ebensolchen Professionalität im Umgang mit der eigenen IT-Security im Unternehmen. Eine Bestandsaufnahme der Angriffe, die auf die Verfügbarkeit von IT-Ressourcen abzielen.

Security-Unternehmen, -Experten und Marktbeobachter sind sich einig: »Denial-of-Service-Attacken« (DoS) werden zukünftig nicht nur mengenmäßig stark zunehmen, sondern vor allem auch in Bezug auf die Qualität. Nach Angaben von Radware, einem Security-Anbieter, der unter anderem Appliance-basierende DoS-Abwehrtechnik anbietet, dauerten im Jahr 2014 15 % aller DoS-Angriffe durchschnittlich einen Monat und 15 % der DoS-Attacken länger als eine Woche [1]. 2014 zeichnete sich generell ein Trend zu konstanten Angriffen ab, der sich auch 2015 fortsetzen dürfte. Die meisten langanhaltenden DoS-Angriffe werden unter Zuhilfenahme vieler Rechner ausgeführt und sind als »Distributed DoS«-Angriffe (DDoS) bekannt. Sich dagegen zu wehren, ist trotz zunehmender IT-Sicherheitslösungen auf dem Markt nicht einfach, denn jeder – Website-Betreiber, Hoster oder Provider – sieht die jeweils anderen in der Pflicht und eine vollständige Antwort auf alle DoS-Angriffstechniken stellt kein Anbieter wirklich zur Verfügung.

DoS-Attacken und Möglichkeiten, diese abzuwehren, sind grundsätzlich nichts Neues. Das Thema ist allerdings in den vergangenen 18 Monaten stärker in den Vordergrund gerückt. Das ist zum einen in der vermehrten medialen Präsenz prominenter Opfer wie Sipgate (Internet-Telefonie-Anbieter) oder aktuell GitHuB (wichtige Entwicklerplattform für Open-Source-Projekte) begründet. Zum anderen sind immer mehr Firmen auf eine funktionierende und erreichbare Website angewiesen, deren Ausfall im Alltag auch für »Otto Normalverbraucher« spürbar wird.

Unternehmen, die primär auf eine funktionierende Internetanbindung angewiesen sind, werden mittlerweile systematisch einem Scanning durch potenzielle Angreifer unterzogen, denn die Cybercrime-Branche hat die Achillessehne der Unternehmen erkannt und bietet inzwischen günstige DoS-Offerten an – entweder mit dem Hintergrund der konkreten Erpressung oder dem Versuch der wirtschaftlichen Schädigung, beispielsweise durch den Auftragsangriff eines Konkurrenten. Zunehmend treten auch Akteure auf, die keinerlei finanzielle Interessen haben, sondern aus weltanschaulichen oder ideologisch geprägten Gründen Unternehmen oder staatliche Institutionen angreifen.

Nach einer Umfrage der »Allianz für Cyber-Sicherheit«, zu der neben dem BSI auch die Verbände BITKOM und BDI gehören, haben mehr als ein Drittel der befragten 257 Unternehmen angegeben, in den vergangenen drei Jahren Ziel eines DDoS-Angriffs auf ihre Internetseiten gewesen zu sein. Einer von Kaspersky bei B2B International in Auftrag gegebenen Studie zufolge, in deren Rahmen rund 3.900 IT-Entscheider aus 27 Ländern befragt wurden, waren 41 % der aus Banken stammenden Umfrageteilnehmer und 28 % aller deutschen Unternehmen insgesamt im Zeitraum eines Jahres vor der Umfrage DDoS-Attacken ausgesetzt [2]. Ein Angriff der prorussischen Hackergruppe Cyber Berkut hat Anfang Januar 2015 zudem gezeigt, wie anfällig dabei auch Behörden noch sind. Stundenlang waren die Internetseiten des Auswärtigen Amts, des Parlaments und des Kanzleramts nicht erreichbar

Wie das BSI in seinem Bericht zur Sicherheitslage 2014 dargelegt hat, werden jeden Monat in den Behördennetzen bis zu 60.000 verseuchte E-Mails abgefangen. Täglich entdecken die Sicherheitsbehörden etwa 15 bis 20 Angriffe auf das Regierungsnetz, rund 3.500 Zugriffe auf verseuchte Schadserver werden blockiert [3]. Ein Angriff pro Tag kommt von einem ausländischen Nachrichtendienst. Das BSI verzeichnet durchschnittlich einmal im Monat einen Distributed-Denial-of-Service-Angriff auf einzelne Internetseiten der Bundesbehörden. Im Jahr 2014 gab es allein in Deutschland nach Angaben des BSI über 32.000 DDoS-Angriffe.

Veränderung der Dauer von DoS-Angriffen im Zeitraum 2011 bis 2014.

Veränderung der Dauer von DoS-Angriffen im Zeitraum 2011 bis 2014.

DDoS-Angriff ist nicht gleich DDoS-Angriff! Es gibt eine Vielzahl von Möglichkeiten, DDoS-Angriffe durchzuführen. So unterschiedlich die Angriffsvektoren ausfallen, so unterschiedlich müssen notwendigerweise die Abwehrstrategien konzipiert werden. Leider gibt es auch im Bereich der DDoS-Angriffe nicht die eine Silberkugel, die alle Angriffsmuster ins Leere laufen lässt.

Überlastungsangriffe
Inzwischen sind 36 % aller DDoS-Angriffe sogenannte Überlastungsangriffe beziehungsweise Volumenangriffe und zielen auf die Sättigung des Gesamtvolumens der unternehmensinternen Internetanbindung ab, indem ein Netzwerkverkehrsvolumen erzeugt wird, das die verfügbare Bandbreite der Provideranbindung übersteigt. Hierzu werden zunächst vom Angreifer viele kleine Anfragen, die auf dem User Datagram Protocol (UDP) basieren, zu vielen normal im Internet erreichbaren Servern gesendet. Allerdings ist die Antwortadresse in diesem Fall gefälscht und verweist auf die Adresse des Opfers. Die Server antworten aufgrund der Anfragenstruktur mit sehr großen Datenmengen und senden diese an die Adresse des Opfers. Dadurch ist es dem Angreifer möglich, wesentlich höhere Datenvolumina zu erzeugen, als durch von ihm selbst initiierte Angriffe.

Zwei Protokolle sind von dieser Angriffsart besonders betroffen: Das Domain Name System (DNS) und der Network Time Service (NTP) mit den entsprechenden Protokollen [4].

Angriffe auf Programme und Infrastruktur
Durch gezielte Angriffe auf unterschiedliche Anwendungsschichten sollen dedizierte, für das Unternehmen wichtige Services und deren Server, wie Web-Server, Mail-Server, Download-Server, SSL-terminierende Server/Appliances etc., lahmgelegt werden. Die Attacken umfassen schon lange bekannte Smurf und TCP/IP Ack, Sync, ICMP und ARP Floodings sowie IP-Fragmentierungsangriffe. Die Angriffsformen umfassen alle Layer, somit auch http und https und deren SSL-Verschlüsselungsmechanismen. Hierfür werden die Challenge-Response-Verfahren beim Austausch der Verschlüsselungsparameter zum Aufbau einer verschlüsselten Verbindung missbraucht. Vom Angreifer werden immer neue Anfragen für den Aufbau einer verschlüsselten Verbindung angefragt, wodurch immer wieder aufwendige Berechnungen neuer asynchroner
1 kBit oder 2 kBit langer Schüssel auf Serverseite anfallen, ohne dass jemals die eigentliche Session aufgebaut wird.

Eine große Anzahl gleichzeitiger Anfragen für den Aufbau einer SSL-Verbindung legt praktisch jede normale SSL-Serverstruktur lahm.

»Low-and-Slow«-Angriffe wiederum werden von normalen IPS/Next-Gen-Firewalls nicht wahrgenommen, da sich diese RFC-konform verhalten. Die Angriffe zielen durch das Ausnutzen interner Session Timer auf die Lahmlegung eines Dienstes ab. Der Lastaufwand auf Angreifer-Seite ist minimal, die Folgen für den Service sind nach wenigen Stunden dramatisch – denn die Anzahl der offenen Sessions steigt kumulierend an, bis der Server an sein Limit stößt.

Hybridangriffe
Hierbei werden Überlastattacken und spezifische DoS-Angriffe kombiniert. Für viele Unternehmen ohne entsprechende Notfallpläne können Hybridangriffe zum kompletten Ausfall der Geschäftsfähigkeit führen.

Es sollte auch bedacht werden, dass DoS-Attacken häufig genutzt werden, um den eigentlichen unautorisierten Zugriff auf sensible Unternehmensdaten zu verschleiern.

Der Schaden durch DoS-Angriffe beträgt laut einer von Kaspersky in Auftrag gegebenen Umfrage durchschnittlich 41.000 Euro bei mittelständischen Unternehmen und 360.000 Euro bei Großunternehmen [5].

So gesehen rechnet sich die Anschaffung von Security-Lösungen zur Abwehr von Angriffen bereits innerhalb kurzer Zeit, vorausgesetzt, man verfügt über ein Team, das auch damit umzugehen weiß. Alternativ ist es ratsam, sich an Anbieter zu wenden, die DoS-Abwehr als Dienstleistung in Form einer Cloud-Lösung anbieten. Dabei wird der gesamte Datenverkehr des Kunden zunächst in die Cloud des Diensteanbieters, auch Scrubbing Center (SC) genannt, umgeleitet und dort einer Analyse unterzogen.

Diese Angebote der Firmen Prolexic (von Akamai übernommen), Black Lotus, CloudFlare, Incapsula, Verisign, NTT Communication und des deutschen Unternehmens Link11 richten sich vorwiegend an größere Firmen und basieren auf Volumentarifen pro Monat. Generell ist bei den Anbietern zu unterscheiden, ob die Umleitung des Datenverkehrs in die Cloud des Dienstleisters permanent erfolgt oder erst, wenn sich ein Angriff abzeichnet.

Es ergeben sich für den Kunden aber durchaus rechtliche und technische Fragestellungen im Vorfeld, da der gesamte Unternehmensdatenverkehr je nach Standort der SC zunächst gegebenenfalls den deutschen Rechtsraum verlässt. Ferner ist zu klären, wie sich ein abzeichnender DoS-Angriff erkennen lässt, um eine belastbare Entscheidung für ein Re-Routing treffen zu können.

Ein Re-Routing beziehungsweise die Umleitung des gesamten Traffics, entweder via DNS-Forwarding oder mittels Border Gateway Protocol (BGP), bedarf der engen Kooperation mit dem Provider im Vorfeld, sofern die Internet Access Router nicht direkt in der eigenen Verantwortung liegen. Auch die Auswirkungen einer Umleitung müssen im Vorfeld genau bedacht werden, denn je nachdem welches Verfahren verwendet wird, kann es zu zeitlichen Verzögerungen von Routingentscheidungen aufgrund von Caching und Update-Zeiten der beteiligten Komponenten kommen. Auf jeden Fall ist mit Auswirkungen auf den Betrieb zu rechnen. Daher sollten diese schon bei der Planung berücksichtigt werden.

Scrubbing Center sind allerdings nicht die Lösung für alle DoS-Angriffsformen. Sobald Anfragen auftauchen, die nur im eigentlichen Unternehmensnetz beantwortet werden können, wird Traffic von den SC an das Unternehmen weitergereicht. Diese Vorgehensweise ist natürlich auch den Angreifern bekannt. Beispielsweise werden SSL-verschlüsselte Verbindungen meist nicht in einem SC aufgebrochen und somit gibt es bei Angriffen auf SSL und https-Verbindungen dort kaum funktionierende Schutzmechanismen. Darüber hinaus ist die Unterscheidung zwischen legitimem und problematischem Traffic nicht immer einfach zu treffen. 100.000 Anfragen, die von einer Client-IP-Adresse initiiert werden, sind schnell als malicous zu erkennen.

Wird allerdings die gleiche Anfrage über ein Botnetz gesteuert – von 100.000 unterschiedlichen IP-Adressen, deren Adressen sich auch noch fortwährend ändern, ist ein wesentlich komplexeres Agieren gefragt. Hier helfen DoS-Appliances, auch Customer Premise Engines (CPE) genannt, die direkt vor Ort beim Kunden stehen. Positioniert werden die CPEs zwischen dem Internet Access Router und den Perimeter Firewalls. Mit diesen Systemen stehen Verteidigungsmöglichkeiten zur Verfügung, die über die Services eines SC hinausgehen. Anbieter wie Radware und F5 bieten sowohl On-Premise-Systeme als auch SC Services an, wobei die CPEs von Radware direkt mit den Scrubbing-Center-Monitoring-Lösungen kommunizieren.

Das Team des Scrubbing Centers wird über diesen Kommunikationspfad sehr zeitnah über sich abzeichnende Überlastungsangriffe informiert und kann sich entsprechend vorbereiten. Somit bleibt genügend Zeit, um eine koordinierte Vorgehensweise auf Kundenseite mit den Verantwortlichen im SC abzustimmen.

Fazit. Unternehmen stehen ausgereifte Technologien zur Verfügung, den DoS-Bedrohungen effektiv zu begegnen. Die zunehmende Professionalisierung der Angreifer zwingt auf jeden Fall zu einer ebensolchen Professionalität im Umgang mit der eigenen IT-Security im Unternehmen. Die Einführung einer wirkungsvollen DoS-Abwehr – ob in Form reiner Dienstleistung und/oder dedizierter Hardware vor Ort ist immer mit Aufwand verbunden. Die zentrale Fragestellung für die Geschäftsführung lautet, ob die Nichtverfügbarkeit einzelner IT-Dienste beziehungsweise im Worst Case, die Nichtverfügbarkeit der gesamten Internetanbindung über einen längeren Zeitraum nicht weit höhere finanzielle Schäden verursacht, als die Kosten, die der Aufbau einer DoS-Abwehrstrategie mit sich bringt. Es ist auf jeden Fall ratsam, für eine erfolgreiche DoS-Abwehr einen erfahrenen Dienstleister in das Projekt einzubeziehen. Als Systemintegrator und Managed Service Provider mit themenübergreifendem Know-how und langjähriger Erfahrung ist Controlware hier der ideale IT-Partner


autor_rainer_funkRainer Funk,
Solution Manager
Information Security,
Controlware GmbH
www.controlware.de
 
Quellen:
[1] Radware DDOS Selection Criteria 2014
[2] Allianz für Cyber-Sicherheit
[3] BSI, Lagebericht der IT-Sicherheit in Deutschland 2014
[4] Radware DDOS Handbook April 2015
[5] Kaspersky Studie in Zusammenarbeit mit B2B International
Illustration: © vasabii, Violeta Jobanovic/shutterstock.com 

Weitere Artikel zu