Foto: TenPixels - shutterstock.com
DDoS-Attacken sind ein beliebtes Mittel für Cyber-Kriminelle, um Unternehmen zu erpressen. Besonders ärgerlich ist dies, wenn es sich um Services wie Online-Dienste handelt.
Doch was genau sind Distributed-Denial-of-Service (DDoS) Angriffe, wie werden sie durchgeführt und wie lassen sie sich verhindern bzw. bekämpfen?
Hiermit haben sich die Experten von Cloudflare beschäftigt. Das US-amerikanische Unternehmen offeriert Netzwerkdienste und Sicherheitslösungen.
Immer größere und stärkere Angriffe
Das Unternehmen gibt an, seit Anfang September über hundert große Layer-3/4- (L 3/4) DDoS-Angriffe abgewehrt zu haben. Viele dieser Angriffe waren demnach über zwei Milliarden Pakete und drei Terabit pro Sekunde (Tbps) schnell. Der stärkste Angriff erreichte sogar 3,8 Tbps, der größte jemals öffentlich gemeldete Angriff.
Das Ziel eines solchen DDoS-Angriffs ist es, legitimen Benutzern den Zugang zu einem Dienst zu verwehren. Dies geschieht in der Regel, indem die Aggressoren die erforderlichen Ressourcen, um den Service bereitzustellen, erschöpfen. Im Zusammenhang mit den jüngsten DDoS-Angriffen auf L 3/4 handelt es sich bei diesen Ressourcen um CPU-Zyklen und Netzwerkbandbreite.
Insgesamt gibt es zwei Arten, um DDoS-Angriffe durchzuführen und sich gegen sie zu wappnen:
Ein faules Paket
Im ersten Fall senden die Angreifer viele Pakete, die die CPU-Ressourcen eines Systems überlasten. Dies liegt daran, dass jedes Paket CPU-Zyklen benötigt, um es zu verarbeiten. Dadurch können legitime Benutzer nicht mehr auf die Dienste zugreifen.
Um sich gegen solche Angriffe zu schützen, gilt es, schlechte Pakete mit minimalem CPU-Aufwand zu untersuchen und zu verwerfen, damit genügend Ressourcen für legitimen Traffic bleiben. Eine mögliche Abwehrstrategie ist, schnellere oder zusätzliche CPUs einzusetzen, was jedoch kostspielig und zeitaufwendig sein kann.
Auf der Leitung stehen
Netzwerkbandbreite zu überlasten ist die zweite Art, DDoS-Angriffe durchzuführen. Bandbreite lässt sich mit einem Rohr verglichen, durch das Daten fließen. Wenn ein Angreifer mehr Datenmüll sendet, als das Netzwerk verarbeiten kann, werden sowohl legitime als auch schädliche Daten verworfen, wodurch der Angriff erfolgreich ist.
Solche Angriffe abzuwehren, ist schwierig, da auf der nachgelagerten Seite der überlasteten Leitung nur begrenzte Optionen bestehen: Man kann allerdings
eine größere Leitung verwenden,
legitimen Datenverkehr auf andere Leitungen umleiten oder
die vorgelagerte Seite bitten, weniger Daten zu senden.
Ressourcen brauchen beide Seiten
Es zeigt sich, dass die Verteidiger schwierige und teure Aufgaben vor sich haben. Die Experten weisen allerdings auch darauf hin, dass die Angreifer ebenfalls CPU-Ressourcen benötigen, um Pakete zu erstellen. Oft benötigen sie aber weniger als die Verteidiger, um Pakete zu empfangen und abzuwehren. Dennoch ist es nicht kostenlos, Angriffe zu starten, und es erfordert erhebliche CPU-Leistung.
Angreifer müssen außerdem mehr Netzwerkbandbreite verbrauchen, als dem Ziel zur Verfügung steht. Deshalb nutzen sie oft Verstärkungsangriffe wie DNS-Verstärkung, bei denen kleine Pakete über einen Zwischendienst zu großen Paketen werden. Um solche Angriffe durchzuführen, nutzen Angreifer oft Botnets, bestehend aus kompromittierten Geräten wie DVRs, Routern oder Webcams.
Geteilte Last ist halbe Last
Ein globales Anycast-Netzwerk einzusetzen, um DDoS-Angriffe abzuwehren, ist hier laut den Experten vielversprechend. Denn diese Adressierungsart ermöglicht es, dass eine einzelne IP-Adresse von mehreren Servern weltweit genutzt wird. Dies verteilt Angriffe auf verschiedene digitale Schultern, je nachdem, woher die Attacke kommt.
Infizierte Geräte senden ihre Pakete an den jeweils nächstgelegenen Server, wodurch der schädliche Traffic auf viele Standorte verteilt wird. Hiermit lassen sich Ressourcen effizient an die Regionen mit dem höchsten legitimen Datenverkehr anpassen.
Die Rechenzentren sind damit in der Lage, in stark frequentierten Gebieten mehr Bandbreite und CPU-Ressourcen bereitzustellen.
Blinde Passagiere erkennen und unschädlich machen
Dieses Netzwerkdesign erlaubt es, Angriffe mit hoher Bandbreite besser zu bewältigen. Eingehender Angriffsverkehr lässt sich auf symmetrische Weise verarbeiten.
Obwohl die Bandbreite des Angriffs verteilt ist, müssen die schädlichen Pakete noch identifiziert und verworfen werden. Dafür können Komponenten eingesetzt werden, die XDP (eXpress Data Path) und eBPF (extended Berkeley Packet Filter) nutzen.
Diese Technologien ermöglichen es laut Expertenmeinung, benutzerdefinierten Code im Kernel auszuführen und Pakete direkt auf der Netzwerkkarte zu verarbeiten. Hierdurch werden schädliche Pakete effizient verworfen, ohne die CPU stark zu belasten.
Den Dämon entfesseln
Damit die korrekten Pakete bekämpft werden können, müssen sie zuerst identifiziert werden. Hierfür sollten sie auf verdächtige Attribute überprüfen werden, die auf einen DDoS-Angriff hindeuten. Diese Analyse kann zum Beispiel durch einen Denial-of-Service-Daemon (dosd) erfolgen.
Dieser erkennt mithilfe von Heuristiken, wann Maßnahmen ergriffen werden müssen. Dosd filtert zudem den Verkehr basierend auf Angriffsvektoren, erstellt Fingerabdrücke von verdächtigen Mustern und identifiziert die besten Fingerabdrücke, um den Angriff zu bekämpfen.
Sobald ein Angriff erkannt wird, setzt der Daemon eine Entschärfungsregel in Form eines eBPF-Programms ein, um den schädlichen Verkehr gezielt zu blockieren.
Einer für alles, alles für einen
Anstatt separate "Scrubbing Center" zu nutzen, um den Traffic zu säubern, sollte zudem auf jedem Server, einschließlich der DDoS-Abwehr, eine entsprechende Sicherheitsproduktsuite autonom laufen, so die Experten. Jeder Server kommuniziert hierbei Anweisungen an andere Server und Rechenzentren, um die Attacke abzuwehren.
Dies stellt sicher, dass Angriffe schnell und effektiv, unabhängig von ihrer Größe oder Verteilung, abgewehrt werden. Dadurch ist das Netzwerk widerstandsfähig und ermöglicht, sofort auf Bedrohungen zu reagieren.
Autonome Sicherheit und verbesserte Protokolle
Zusätzlich sollten DDoS-Abwehrsysteme sowohl softwaredefiniert als auch autonom sein sowie über das gesamte Netzwerk verteilt arbeiten, so die Experten. Der Fokus liegt hierbei auf dynamischen Fingerprinting-Techniken.
Diese Techniken gilt es, durch zusätzliche Schutzsysteme wie Advanced Transmission Control Protocol (TCP) Protection und Advanced (Domain Name System) DNS Protection zu ergänzen.
Diese Systeme müssen zudem in der Lage sein, komplexe DDoS-Angriffe, die auf TCP- und DNS-Protokollen basieren, zu erkennen und zu blockieren. Zusätzlich sollten sie statistische Analysen nutzen. Weitere Verteidigungsmaßnahmen umfassen Echtzeit-Bedrohungsdaten, Traffic-Profiling und maschinelles Lernen.