DDoS Schutz

Die Komplexität und Kombination der Angriffe hat in letzter Zeit, ebenso wie deren Häufigkeit, stark zugenommen. Seit wenigen Jahren werden unterschiedliche Layer der Datenübertragung für Angriffe genutzt. Das erschwert die Abwehr bzw. den Einsatz probater Gegenmaßnahmen.

Die Klassifizierung von DDoS Angriffen erfolgt zuerst anhand der Art der „Kommunikation“ der Angreifer mit dem Ziel.
Versuchen die Angreifer nach aufgebauter Verbindung zum Ziel über Standard-Protokolle die Ressourcen zu überlasten spricht man von Connection-Based-Angriffen.

Im Gegensatz dazu stehen sogenannte Connectionless-Angriffe bei denen ohne bestehende Verbindung mit möglichst vielen gleichzeitig gesandten Datenpaketen versucht wird die zur Verfügung stehende Bandbreite zu fluten. Diese Art der Attacke wird auch als Flooding oder schlicht Flood bezeichnet.

Die häufigsten DoS und DDoS Angriffe:

Wir haben die am häufigsten auftretenden Attacken und deren Funktionsweise hier für Sie aufgelistet:

ICMP Echo Request Flood: Das Internet Control Message Protocol (ICMP) ist Teil der Internet Protocol Suite. Dieses Protokoll wird im Normalfall für Kontroll- und Diagnose-Anfragen genutzt.
Bei einem Angriff werden große Mengen an Ping Anfragen an das Angriffsziel versandt, die dieses mit identischen Datenpaketen beantwortet. Man spricht hier auch von Ping Flood.

Der SMURF Angriff bedient sich desselben Protokolls, hier werden allerdings Anfragen mit gefälschter Quell-Adresse an viele Systeme abgesetzt, die dann alle ihre Antworten an das Angriffsziel absetzen. Diese Art von Angriff ist auch unter dem Namen ICMP Broadcast bekannt.

IGMP Flood bezeichnet einen Angriff, der durch den Versand großer Mengen an IGMP (Internet Group Management Protocol) Paketen ein Netzwerk beeinträchtigt oder lahmlegt.

Der Ping of Death ist eine Denial of Service Attacke bei der eine Schwachstelle im Betriebssystem des Servers genutzt wird. Durch Absetzen eines manipulierten ICMP-Datenpaketes wird die zulässige Gesamtpaketgröße überschritten, das zur Veränderung interner Variablen des Systems und damit zu dessen Absturz führen kann. Von dieser Bedrohung waren verschiedene Betriebssysteme betroffen. Seit Microsoft 2013 nach einer verheerenden Attacke die Lücke in seinen Systemen geschlossen hat sind keine derartigen Angriffe mehr verzeichnet worden.

Bei einer IP Paket Fragment Attack erzeugt der Angreifer IP-Datenpakete, die auf weitere folgende Datenpakete verweisen. Diese werden jedoch nicht versandt und der Speicher des Angriffsziels wird überlastet.

Darüber hinaus gibt es eine Reihe von Angriffen, die über den Transport Layer oder Layer 4 ausgeführt werden:

Bei der TCP (Transmission Control Protocol) SYN Flood wird eine große Zahl von TCP-Verbindungsanfragen an das Angriffsziel gesandt. Das angegriffene System stellt für die nicht geschlossene Verbindung eigene Ressourcen zur Verfügung und wartet meist vergeblich auf die Vervollständigung des Handshakes via ACK Paket. Je nach Systemgröße sind ab einer gewissen Anzahl solcher halb offenen Verbindungen die Ressourcen des Angriffszieles aufgebraucht und es können keine neuen Verbindungen mehr hergestellt werden. Damit kommt es zu einem Denial of Service.

Die TCP Spoofed SYN Flood Attacke zielt mit dem Versand einer großen Anzahl an TCP Verbindungsanfragen mit gefälschter Quell-Adresse auf dasselbe Ziel ab.

Eine TCP SYN ACK Reflection Flood Attacke nutzt denselben Effekt wie die beiden vorangegangenen Angriffe, also den Drei-Wege-Handshake zum Verbindungsaufbau des TC Protokolls. Hier wird eine große Anzahl an Verbindungsanfragen an eine ebenso große Anzahl an Systemen geschickt und wiederum die Quell-Adresse der Anfrage gefälscht. Als Quell-Adresse wird jene des Angriffszieles verwendet, somit antworten alle Systeme dem eigentlich unbeteiligten Angriffsziel auf eine scheinbar von diesem kommende Verbindungsanfrage. Die schiere Anzahl der Antworten überlastet das Angriffsziel und führt dazu, dass das Ziel für „echte“ Anfragen blockiert und damit nicht erreichbar ist.

In einfacher Ausführung, wenn also große Mengen an TCP-Empfangsbestätigungen mit dem Ziel des Eindämmens der Performance von einem Angreifer an ein Angriffsziel versandt werden spricht man von einer TCP ACK Flood.

Der Angriff via TCP Fragment Attack ist von der funktionsweise mit einer IP Paket Fragment Attack zu vergleichen. Es werden vom Angreifer TCP-Datenpakete erzeugt und an das Angriffsziel übermittelt, die auf weitere, folgende Datenpakete verweisen. Diese werden aber nicht geschickt und der Speicher des Angriffsziels wird überlastet.

Auch UDP wird von Angreifern genutzt um eine Überlastung beim Angriffsziel herbeizuführen.
Das User Datagram Protocol (UDP) ist ebenso wie TCP ein Übertragungsprotokoll der Transportschicht (also des 4. Layers). Es ist eher minimalistisch aufgebaut und ermöglicht Kommunikation ohne vorab einen dezidierten Verbindungsaufbau zu erfordern. Dieses Protokoll ist praktisch für zeitkritische Anwendungen und wird beispielsweise in der Voice over IP Telefonie genutzt.

Das Angriffsszenario bei einem UDP Flood oder auch UDP Fragment Flood Angriff stellt sich wie aus dem Namen bereits abzuleiten ist erneut durch den massiven Versand von Datenpaketen an das Zielsystem dar. Einerseits wird beim UDP Flood Angriff durch den im Protokoll nicht erforderlichen Verbindungsaufbau ein Port des Zielsystems mit Datenpaketen geflutet. Bei der UDP Fragment Flood Attacke erhält das Angriffsziel UDP-Datenpakete, die auf weitere Datenpakete verweisen. Diese folgen aber nicht. Analog zur IP Paket Frament Attacke und der TCP Fragment Attacke wird auf diese Weise der Speicher des Angriffszielsystems überlastet.

Auch die Anwendungsschicht (Layer 7) des Internets wird bisweilen für Distibuted Denial of Service Angriffe genutzt.

Der Distributed DNS Amplification Angriff bedient sich einer großen Zahl von DNS-Servern, an die viele DNS-Anfragen geschickt werden. Die Quell-Adresse der Anfragen wird dabei durch jene des Angriffsziels ersetzt. Antworten die DNS-Server dem vermeintlichen Anfragesteller, so wird dieser durch die Menge der eingehenden Antworten überlastet. Mit diesem Angriff wird ein Multiplikationseffekt erreicht, da die Antworten der DNS Server viel ausführlicher sind als die abgesetzten Anfragen.

Bei einem DNS Flood Angriff ist ein DNS-Server das Angriffsziel. Dieser wird durch den Versand sehr vieler Anfragen attackiert.

Ein DNS DDoS Angriff hat das Überlasten eines DNS-Servers zum Ziel. Der Angreifer befehligt dazu eine Vielzahl an Servern oder PCs über die er möglichst viele Anfragen an den DNS Server absetzt.

Der HTTP(S) GET/POST Flood Angriff zielt auf einen Webserver ab. Das Angriffsziel wird mit einer sehr großen Anzahl an Anfragen geflutet um den angegriffenen Server in die Knie zu zwingen.

DDoS Erpressungsversuche!?

Im Internet liest man in den letzten Monaten immer öfter von Erpressungsversuchen sowie Droh-Mails von Cyber-Banden. Die Erpresser fordern per Mail Bitcoin Zahlungen bis zu einem bestimmten Zeitpunkt. Sollte keine Zahlung angewiesen werden, drohen die Erpresser mit DDoS Angriffen.

Beliebte Ziele für die Erpresser sind alle Unternehmen, die im Internet tätig sind. Zurzeit konzentrieren sich die Erpresser auf E-Commerce Unternehmen.

Die Angreifer haben sich in den letzten Monaten immer besser organisiert und die Häufigkeit derartiger Vorkommnisse ist stark im Steigen.

Die Täter agieren unter verschiedenen Pseudonymen und stellen in Ihren E-Mails Forderungen nach Bitcoins. Die Schutzgeldforderungen belaufen sich auf bis zu 30 Bitcoins – das entspricht je nach Umrechnungskurs 8.000 – 15.000€. Die Bezahlung über Bitcoins ist durch die absolute Anonymität bei den Angreifern sehr beliebt und somit auch üblich. Oftmals wird im Erpressermail auch eine kurzfristige Attacke angekündigt um die Authentizität zu unterstreichen.

Als Motiv kann man meist wirtschaftliche Interessen nennen. Teilweise stehen natürlich auch persönliche oder politische Motive im Hintergrund.

Hausforderungen des DDoS Schutzes:

Um DDoS Schutz auf höchster Stufe anbieten zu können haben sich die internex-Experten auf allen Ebenen mit den Gefahren, Funktionsweisen und den intelligentesten Schutzmaßnahmen beschäftigt. Diese Schutzmaßnahmen beinhalten die Verarbeitung selbst suspekt erscheinender Datenpakete im Nicht-Angriffsfall und sind bei einem Angriff in der Lage, unabhängig von dessen Größe, die Volumina zu verarbeiten und den normalen/gewünschten Traffic weiter zu verarbeiten.

Durch die Dynamik der Bedrohungslage ausgehend von Distributed Denial of Service Angriffen und immer neue Kombinationen von diesen ist internex laufend damit beschäftigt Schutzmechanismen zu evaluieren und entsprechend weiterzuentwickeln.

Ausgangspunkt und Informationsquelle für unsere Abwehrinfrastruktur ist ein äußerst detailliertes 24/7 Trafficmonitoring, welches bei gewissen auftretenden Anomalien in ein „Scharfschalten“ der entsprechenden Abwehrmechanismen und -Strukturen mündet. Die gesamte Logik ist klarerweise mehrfach redundant ausgelegt und sorgt dafür, dass Ihre bei internex gehosteten Server und Applikationen auch bei einem auftretenden Angriff ihre Aufgabe erfüllen und Ihre Mitarbeiter, Kunden und Partner ohne Beeinträchtigung mit Ihrem System interagieren können.