Anatomie eines DDoS-Angriffs - Teil 2: SYN Flood

Anfragen überfluten Server

Seite: 2/2

Firma zum Thema

Ein TCP-SYN-Flood-Angriff ist ein typischer verteilter (distributed) Denial of Service Angriff. Dabei werden Handshake-Anfragen vom Angreifer halboffen gehalten und verbrauchen so Firewall- oder Server-Ressourcen.
Ein TCP-SYN-Flood-Angriff ist ein typischer verteilter (distributed) Denial of Service Angriff. Dabei werden Handshake-Anfragen vom Angreifer halboffen gehalten und verbrauchen so Firewall- oder Server-Ressourcen.
(Bild: Check Point Software Technologies)
Organisatorisch: Wie bei allen DoS- und DDoS-Attacken sollte jedes Unternehmen einen Plan und eine Strategie entwickeln, um entsprechend reagieren zu können, wenn sie als Ziele anvisiert werden. Die Mitarbeiter der IT-Abteilung sollten außerdem nach diesem Plan trainieren und Maßnahmen austesten, um Mängel festzustellen, damit sie wissen, was verbessert werden muss.

Da die Angreifer bei einer SYN Flood Attacke für gewöhnlich - oder sollte man besser sagen immer - ihre IP-Adresse spoofen, kann es kompliziert werden, die Angreifer mit forensischen Methoden ausfindig zu machen.

Durch die Abwehr unwissend zum Angreifer

Zusätzlich müssen Unternehmen, die sich vor SYN Flood Attacken schützen wollen, sich darüber im Klaren sein, welche Abwehrmechanismen sie einsetzen. Damit soll verhindert werden, dass sie Methoden und Maßnahmen einsetzen, die dann von Angreifern für eine SYN Reflection Attacke genutzt werden können.

Hier wird die ursprüngliche IP-Adresse gespoofed, so dass die SYN Anfragen an einen unschuldigen Server gesendet werden und die SYN Protection diese Flut von SYN Anfragen erkennt und startet diese zu authentifizieren.

Wenn dieser Schutz nicht die Menge an Authentifizierungen einschränkt, die zurückgesendet werden, wird das Unternehmen plötzlich unwissentlich an einer SYN Reflection Attacke beteiligt, obwohl die dortigen IT-Mitarbeiter eigentlich glauben, dass sie eine SYN Attacke von einer anderen Quelle blocken.

Ergänzendes zum Thema
Check Point DDoS Protector

Die Check Point Appliance DDoS-Protector blockt DDoS-Attacken in wenigen Sekunden mit einem anpassbaren multi-layer Schutz und mehr als 12 Gbps Performance.

Die Anfragen, die von diesen DDoS-Attacken kreiert werden, werden aus der Perspektive von IPS oder Firewalls als normale Nutzeranfragen gesehen, weil sie keinen gefährlichen Code enthalten. Die Mehrzahl der Attacken zielt auf die Kapazitäten der Anwendungen und auf die Schwachstellen bei der Implementierung der Anwendung ab.

Um sich davor zu schützen, brauchen Unternehmen ein System, das automatisch Abweichungen von normalen Anfragen erkennt und mit dieser Information automatisch Echtzeit Signaturen erstellt, die verdächtige Anfragen umleiten und zur gleichen Zeit legitime Anfragen zulassen.

Das System muss außerdem in der Lage sein, dynamisch die Signaturen anzupassen, wenn sich die Signatur der Attacke ändert. Solche Anforderungen erfüllt der Check Point DDoS-Protector. Die Anwendungen können sowohl als on-premise als auch als integierte off-premise Lösung für den Einsatz gegen volumetrische Attacken genutzt werden.

Sicherheitssysteme müssen auf verschiedenen Ebenen DDoS-Angriffe erkennen und ausfiltern können, damit am Ende trotz des Angriffs nur der legitime Traffic noch durch kommt.
Sicherheitssysteme müssen auf verschiedenen Ebenen DDoS-Angriffe erkennen und ausfiltern können, damit am Ende trotz des Angriffs nur der legitime Traffic noch durch kommt.
( Bild: Check Point Software Technologies )

Alles in allem stellt Check Point eine Familie von sieben Appliances zu Verfügung, die mit den folgenden Eigenschaften charakterisiert werden:

  • Low latency (less than 60 micro seconds)
  • High performance (up to 12 Gbps of legitimate traffic)
  • Port density of up to 16 ports (12x1 4x10 GbE and GbE)

Sie alle lassen sich transparent in bestehende Netzwerke integrieren, ohne dass die Topologie geändert werden muss, entweder in einem inline oder out-of-path Einsatz und kann diese in jeder Größe schützen.

Mit dem Check Point Tool SmartEvent kann sich der Nutzer einen schnellen Überblick über die gesamte Netzwerksicherheit verschaffen und alle DDoS-Attacken und alle Rechenoperationen in Echtzeit und aus der Retrospektive heraus nachvollziehen.

Als Ergänzung steht ein Emergency Response Team von Sicherheitsexperten bereit, um auf alle Attacken sofort reagieren zu können, wenn Unternehmen noch zusätzlichen Support benötigen, um mit der Attacke fertig zu werden.

Im nächsten Teil dieser Artikelserie über DDoS-Angriffe zeigen wir wie volumetrische Attacken funktionieren und wie sich IT-Abteilungen dagegen wehren können.

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42267746)