Verkehrschaos durch DoS-Angriffe: Was tun bei zu viel Traffic?

Gezielte Denial-of-Service-Angriffe auf Server, Rechner oder andere Komponenten im Datennetz legen immer wieder Websites und Mailserver lahm. Sich davor zu schützen, ist bislang nicht möglich. Was bleibt, sind verschiedene Möglichkeiten, solchen Angriffen standzuhalten.

foto cc0 pixabay raphaelafotografie schwarzes loch

Als volumetrische Angriffe erzeugen Denial-of-Service-Attacken gigantische Datenmengen und zwingen dadurch regelmäßig Server und Infrastruktur in die Knie. Sie existieren als einfacher Denial of Service (DoS), Distributed Denial of Service (DDoS) oder Distributed Reflection Denial of Service (DRDoS). Erst im Oktober 2016 waren viele bekannte Websites, darunter Airbnb, Twitter und Github, aufgrund einer massiven DDoS-Attacke für Stunden nicht erreichbar. Ein wirksamer Schutz ist bislang nicht in Sicht. Und die Angriffe zu stoppen, ist ebenfalls kaum möglich. Oft halten sie so lange an, bis sie keinen Effekt mehr erzielen. Für Unternehmen stellt sich deshalb vor allem die Frage, wie sie solche Angriffe aushalten und ihre Services währenddessen aufrechterhalten können.

Ressourcen erhöhen

Eine Möglichkeit besteht darin, die Ressourcen zu erhöhen. Sie ist für alle drei Angriffsvarianten relevant und kann entweder vertikal oder horizontal erfolgen. Letzteres umfasst weitere Server mit gleichen Aufgaben. Ein vertikales Erhöhen der Ressourcen bedeutet dagegen mehr Arbeitsspeicher (RAM) oder Prozessoren (CPU). Sinnvoll ist dabei das Einrichten von Loadbalancern zum Verteilen der eingehenden Anfragen auf mehrere Systeme. Vor allem bei gewünschter Hochverfügbarkeit ist eine solche Lastverteilung bereits von Beginn an als Schutz unbedingt zu empfehlen. Je nachdem, wie groß der Angriff ist und wie lange er anhält, müssen Unternehmen gegebenenfalls mehrmals die Ressourcen erhöhen.

Schadhaften Traffic blockieren oder eliminieren

Handelt es sich um einen einfachen DoS-Angriff, erfolgt dieser in der Regel von einer einzigen oder sehr wenigen IP-Adressen aus. Diese sind in der Regel relativ einfach zu identifizieren und anschließend zu blockieren. Für DDoS- und DRDoS-Attacken ist dies aufgrund der immensen Datenmenge oft nicht ausreichend. Außerdem ist der Traffic so intelligent verteilt, dass es teilweise mehrere Tage bis Wochen bis zur Identifizierung dauert. Eine Möglichkeit, solchen Angriffen standzuhalten, ist das Identifizieren und Eliminieren des schadhaften Traffic. Die verschiedenen nachfolgend beschriebenen Möglichkeiten sind mehr oder weniger aufwendig und kostenintensiv. Außerdem bergen sie immer die Gefahr, auch legitimen Traffic mit herauszufiltern:

 

  • Traffic Washing/Scrubbing

Ein Exposed Host analysiert die ankommenden Anfragen, zum Beispiel anhand der Signaturen, Absenderadressen oder Protokolle. Er erkennt die echten Anfragen und leitet diese zur normalen Bearbeitung an den Server weiter. Sollte sich die Menge der Anfragen erhöhen, besteht die Gefahr, dass der Exposed Host an seine Grenzen kommt und weitere Exposed Hosts gebraucht werden.

 

  • Profiling

Auf der Basis eines vorher erstellten Aktivitätsprofils werden die eingehenden Anfragen analysiert. Nur wenn sie die angebotenen Seiten betreffen, werden sie als legitim definiert und verarbeitet. Allerdings können auch Botnets mit legitim aussehenden Anfragen die Dienste überlasten: Das Ausfüllen eines Webformulars wurde beispielsweise als legitim definiert. Wird es jedoch 10.000-mal pro Sekunde ausgefüllt, ist es nicht mehr legitim. In solchen Fällen können Formulare zum Beispiel mit Captchas versehen werden. Der Mechanismus stellt sicher, dass das Formular tatsächlich von einem Menschen ausgefüllt wird. Alternativ bieten Tresholds die Möglichkeit, die Anzahl der Aktionen zu begrenzen oder die Zugriffe pro Sekunde zu beschränken.

 

  • BlackHoling (RTBH, S/RBTH)

Grundlage ist die Tatsache, dass eine Anfrage im Internet immer aus einer Quelle kommt (Angreifer oder legitimer Kunde) und auf ein Ziel (Server) gerichtet ist. Somit kann entweder die Quelle oder das Ziel Gegenstand von BlackHoling sein. Richtet sich das BlackHoling auf das Ziel, werden alle Anfragen an eine bestimmte Domain oder IP-Adresse statt in das eigene Netzwerk ins »Nichts« umgeleitet. So kann schadhafter Traffic andere Systeme und Kunden nicht in Mitleidenschaft ziehen. Stattdessen wird er von einem »Schwarzen Loch« verschlungen. Diese als Remote Triggered BlackHoling (RTBH) bezeichnete Maßnahme spielt allerdings dem Angreifer in die Karten, da weder gewünschter noch unerwünschter Traffic zum Server gelangen. Ist der Angriff auf die IP-Adresse gerichtet, besteht zusätzlich die Möglichkeit, diese zu ändern. Der Angriff läuft dann ins Leere. Zielt die Attacke allerdings auf die Domain ab, ist das Ändern der IP-Adresse keine Lösung. Die Namensauflösung würde schließlich weiterhin stattfinden und der Angriff mit der neuen IP weitergehen.

Vor allem für Webserver, die Webseiten oder -shops zu Verfügung stellen, kommt lediglich ein Filtern anhand der Absender-IP-Adresse in Frage. Das BlackHoling bezieht sich dann auf die Quelle und wird als Source-Based Remote Triggered BlackHoling (S/RTBH) bezeichnet. Dabei werden alle Anfragen von den IP-Adressen eines bestimmten Nutzers oder Kunden nicht verarbeitet. Allerdings sind bei dieser Methode alle Nutzer der entsprechenden IP-Adresse betroffen, sodass auch hier legitimer Traffic weggefiltert wird.

 

grafik adacor rtbh

Remote Triggered BlackHoling (RTBH): Legitimer Datenverkehr und DDoS-Angriff erreichen über das Internet die ADACOR-Router. Sie senden Stichproben (Flows) an die ADACOR-Sensoren (Flow Sensor). Diese beurteilen, ob es sich um einen Angriff handelt. Ist dies der Fall, wird ein Routing Update an die Router und die Carrier gesendet. Das ermöglicht, die angegriffene IP zu blocken und das Netzwerk hinter den Carrier Routern zu schützen.

 

grafik adacor srbth

Source-Based Remote Triggered BlackHoling (S/RBTH): Legitimer Datenverkehr und DDoS-Angriff erreichen über das Internet die ADACOR-Router. Sie senden Stichproben (Flows) an die Sensoren (Flow Sensor). Diese beurteilen, ob es sich um einen Angriff handelt. Ist dies der Fall, wird ein Routing Update an die ADACOR-Router gesendet, um die IPs des oder der Angreifer zu blocken.

 

  • Geoblocking

In manchen Fällen besteht Grund zur Annahme, dass die schadhaften Anfragen aus einer bestimmten geografischen Region kommen. In diesem Fall ist Geoblocking eine Möglichkeit, damit umzugehen. Das heißt, aller Traffic aus einer bestimmten Region wird komplett nicht bearbeitet. Allerdings ist das nur dann empfehlenswert, wenn die Region nicht relevant für den Kunden ist und das Geoblocking auf Firewall-Ebene ausgeführt wird. Muss – beispielsweise aufgrund der Größe des Angriffs – das Geoblocking bereits am Router stattfinden, ist sicherzustellen, dass alle Kunden, die die dahinterliegende Infrastruktur nutzen, den Traffic aus dieser Region nicht brauchen.

 

  • Geografische Verteilung

Die geografische Verteilung von Diensten auf verschiedene Kontinente, ursprünglich zum Gewährleisten kurzer Antwortzeiten gedacht, ist im Falle eines DDoS- oder DRDoS-Angriffs sehr hilfreich. Allerdings ist sie sehr kostenintensiv. Dabei bleiben die Anfragen auf dem Kontinent, auf dem sie gestartet werden – und somit auch die Angriffe.

 

Der Einzelfall entscheidet

Welche Maßnahme im Angriffsfall die beste Wahl ist, entscheidet der Einzelfall. Zu bedenken ist dabei, dass manche Methoden etwas zeitlichen Vorlauf brauchen. So muss beispielsweise beim Profiling die Zeit zum Erstellen der Aktivitätsprofile eingeplant werden. Auch die geografische Verteilung funktioniert nur mit entsprechender Vorbereitung. Beide BlackHoling-Varianten (RTBH/SRBTH) kann ADACOR dagegen sehr zeitnah umsetzen – die entsprechende Infrastruktur ist bereits vorhanden. Das wird in Kürze auch für Traffic Washing/Scrubbing zutreffen. Die dafür benötigten Bandbreiten und Ressourcen werden gerade etabliert. Haben Kunden eine eigene Infrastruktur oder eine eigene Firewall, kann auch Geoblocking recht zügig umgesetzt werden.

Fazit

Ein wirksamer Schutz gegen volumetrische Angriffe, die zu einer Dienstverweigerung führen, ist kaum möglich. Es existieren lediglich verschiedene Methoden, um im Fall einer absichtlich und gezielt herbeigeführten Dienstblockade den schadhaften Traffic herauszufiltern und den Service möglichst aufrechtzuerhalten. Welche Methode am besten geeignet ist, hängt vor allem vom Kunden und seinem Geschäftsmodell sowie den betroffenen Diensten ab. Es ist im Einzelfall zu entscheiden, was das beste Vorgehen ist. Im Sinne einer schnellen Lösung ist es vor allem wichtig, entsprechende Experten an der Seite zu haben. Diese sollten nicht nur über das Know-how über die verschiedenen Angriffsarten verfügen, sondern auch über Beratungs- und Lösungskompetenz sowie über die Ressourcen, um im Notfall angemessen reagieren zu können.

foto autor Patrick Fend - CTO AdacorPatrick Fend

Patrick Fend ist einer der drei Unternehmensgründer der ADACOR Hosting GmbH und der Technikexperte im Unternehmen. Im Web: http://www.adacor.com

 

 

 


 

Hier folgt eine kleine Auswahl an Fachbeiträgen und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

 

Sicherheit 2017: IoT-getriebene DDoS-Angriffe und SCADA-Vorfälle werden 2017 für Schlagzeilen sorgen

Webcams und Router als Cyberwaffen: DDoS-Attacken aus dem Internet der Dinge erfordern strategische Lösung

Unternehmen kämpfen gegen »plötzlichen Tod« durch DDoS-Attacken

Wie Unternehmen sich am besten gegen DDoS-Attacken schützen

IoT-Sicherheit: Vier Lehren aus dem massiven DDoS-Angriff auf DynDNS

Angriff der IoT-Haushaltsgeräte: DDoS-Attacken und was man dagegen tun kann

IoT und DDoS: ein explosives Gemisch

Europa wieder im Fokus von DDoS-Attacken durch Botnetze

Die neuesten Angriffstrends bei DDoS-Attacken

DDoS-Attacken durch das Internet der Dinge

Das Internet der Dinge wird zunehmend für DDoS-Attacken genutzt

DDoS-Attacken über Linux-Server steigen signifikant an

Massiver Anstieg bei DDoS- und Web-Application-Attacken

Weitere Artikel zu