Anatomie eines DDoS-Angriffs - Teil 2: SYN Flood Anfragen überfluten Server

Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

SYN Flood Attacken gehören durch ihr Alter zur Standardausrüstung eines Hackers und sind Teil eines jeden DDoS-Angriffs. Die Attacken richten sich gegen die Firewall und den Server, um diese mit Anfragen zu belasten, bis sie nicht mehr erreichbar sind.

Firma zum Thema

Bei einer SYN Flood Attacke senden Hacker eine große Menge an Anfragen pro Sekunde, ohne die Antwort des Server abzuwarten und brauchen so die Rechenleistung von Servern und Firewalls auf.
Bei einer SYN Flood Attacke senden Hacker eine große Menge an Anfragen pro Sekunde, ohne die Antwort des Server abzuwarten und brauchen so die Rechenleistung von Servern und Firewalls auf.
(Bild: Igor S. - Fotolia.com)

Bei einer SYN Flood Attacke verwendet der Hacker den Verbindungsaufbau des TCP-Protokolls mit einem Server, um entweder Dienste oder PCs aus dem Netzwerk auszuschließen.

Dabei wird nach dem zweiten der Dreiwege-Kommunikation die Antwort unterschlagen, die Firewall und der Server warten hier einige Zeit auf die Antwort, während der Hacker die Zeit nutzt, um noch weitere halb offene Verbindungen aufzubauen, bis beide überlastet und keine weiteren Zugriffe mehr möglich sind. So überladen werden die Firewall und der Server aufhören, ihren Dienst für ihre eigentlichen Nutzer zu leisten.

So verteidigt man sich gegen eine SYN Flood Attacke

Technisch: SYN Flood Attacken werden normalerweise als kleine Datenpakete generiert, die aber eine große Menge an SYN Anfragen pro Sekunde senden, um so Rechenleistung von Servern und Sicherheitssoftware wie Firewalls aufzubrauchen. Man kann sich gegen eine verteilte SYN Flood Attacke mit einer Firewall verteidigen, wenn diese so dimensioniert ist, dass sie mit mehreren Millionen Datenpaketen pro Sekunde fertig wird.

Allerdings ist ein solches Device üblicherweise sehr teuer und es ist vielleicht eine bessere Herangehensweise, ein speziell für diesen Fall gebautes Device zu nutzen. Solche Geräte werden extra mit einem Chipset dafür eingerichtet, um diese großen Mengen an SYN Anfragen zu bearbeiten.

Die Hardware ist so ausgelegt, dass bei der Authentifizierung von legitimen Clients in einer SYN Flood Attacke keine Performance Verluste auftreten, wenn die Attacken umgelenkt werden.

Ein TCP-SYN-Flood-Angriff ist ein typischer verteilter (distributed) Denial of Service Angriff. Dabei werden Handshake-Anfragen vom Angreifer halboffen gehalten und verbrauchen so Firewall- oder Server-Ressourcen.
Ein TCP-SYN-Flood-Angriff ist ein typischer verteilter (distributed) Denial of Service Angriff. Dabei werden Handshake-Anfragen vom Angreifer halboffen gehalten und verbrauchen so Firewall- oder Server-Ressourcen.
(Bild: Check Point Software Technologies)
Organisatorisch: Wie bei allen DoS- und DDoS-Attacken sollte jedes Unternehmen einen Plan und eine Strategie entwickeln, um entsprechend reagieren zu können, wenn sie als Ziele anvisiert werden. Die Mitarbeiter der IT-Abteilung sollten außerdem nach diesem Plan trainieren und Maßnahmen austesten, um Mängel festzustellen, damit sie wissen, was verbessert werden muss.

Da die Angreifer bei einer SYN Flood Attacke für gewöhnlich - oder sollte man besser sagen immer - ihre IP-Adresse spoofen, kann es kompliziert werden, die Angreifer mit forensischen Methoden ausfindig zu machen.

Durch die Abwehr unwissend zum Angreifer

Zusätzlich müssen Unternehmen, die sich vor SYN Flood Attacken schützen wollen, sich darüber im Klaren sein, welche Abwehrmechanismen sie einsetzen. Damit soll verhindert werden, dass sie Methoden und Maßnahmen einsetzen, die dann von Angreifern für eine SYN Reflection Attacke genutzt werden können.

Hier wird die ursprüngliche IP-Adresse gespoofed, so dass die SYN Anfragen an einen unschuldigen Server gesendet werden und die SYN Protection diese Flut von SYN Anfragen erkennt und startet diese zu authentifizieren.

Wenn dieser Schutz nicht die Menge an Authentifizierungen einschränkt, die zurückgesendet werden, wird das Unternehmen plötzlich unwissentlich an einer SYN Reflection Attacke beteiligt, obwohl die dortigen IT-Mitarbeiter eigentlich glauben, dass sie eine SYN Attacke von einer anderen Quelle blocken.

Ergänzendes zum Thema
Check Point DDoS Protector

Die Check Point Appliance DDoS-Protector blockt DDoS-Attacken in wenigen Sekunden mit einem anpassbaren multi-layer Schutz und mehr als 12 Gbps Performance.

Die Anfragen, die von diesen DDoS-Attacken kreiert werden, werden aus der Perspektive von IPS oder Firewalls als normale Nutzeranfragen gesehen, weil sie keinen gefährlichen Code enthalten. Die Mehrzahl der Attacken zielt auf die Kapazitäten der Anwendungen und auf die Schwachstellen bei der Implementierung der Anwendung ab.

Um sich davor zu schützen, brauchen Unternehmen ein System, das automatisch Abweichungen von normalen Anfragen erkennt und mit dieser Information automatisch Echtzeit Signaturen erstellt, die verdächtige Anfragen umleiten und zur gleichen Zeit legitime Anfragen zulassen.

Das System muss außerdem in der Lage sein, dynamisch die Signaturen anzupassen, wenn sich die Signatur der Attacke ändert. Solche Anforderungen erfüllt der Check Point DDoS-Protector. Die Anwendungen können sowohl als on-premise als auch als integierte off-premise Lösung für den Einsatz gegen volumetrische Attacken genutzt werden.

Sicherheitssysteme müssen auf verschiedenen Ebenen DDoS-Angriffe erkennen und ausfiltern können, damit am Ende trotz des Angriffs nur der legitime Traffic noch durch kommt.
Sicherheitssysteme müssen auf verschiedenen Ebenen DDoS-Angriffe erkennen und ausfiltern können, damit am Ende trotz des Angriffs nur der legitime Traffic noch durch kommt.
( Bild: Check Point Software Technologies )

Alles in allem stellt Check Point eine Familie von sieben Appliances zu Verfügung, die mit den folgenden Eigenschaften charakterisiert werden:

  • Low latency (less than 60 micro seconds)
  • High performance (up to 12 Gbps of legitimate traffic)
  • Port density of up to 16 ports (12x1 4x10 GbE and GbE)

Sie alle lassen sich transparent in bestehende Netzwerke integrieren, ohne dass die Topologie geändert werden muss, entweder in einem inline oder out-of-path Einsatz und kann diese in jeder Größe schützen.

Mit dem Check Point Tool SmartEvent kann sich der Nutzer einen schnellen Überblick über die gesamte Netzwerksicherheit verschaffen und alle DDoS-Attacken und alle Rechenoperationen in Echtzeit und aus der Retrospektive heraus nachvollziehen.

Als Ergänzung steht ein Emergency Response Team von Sicherheitsexperten bereit, um auf alle Attacken sofort reagieren zu können, wenn Unternehmen noch zusätzlichen Support benötigen, um mit der Attacke fertig zu werden.

Im nächsten Teil dieser Artikelserie über DDoS-Angriffe zeigen wir wie volumetrische Attacken funktionieren und wie sich IT-Abteilungen dagegen wehren können.

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42267746)