Anatomie eines DDoS-Angriffs - Teil 3: Volumetrische Attacken Angreifer verstopfen das Netzwerk

Volumetrische Attacken bestehen aus einem Mix von berechtigten und sogenannten gespooften (also das Vortäuschen einer anderen IP-Adresse) Anfragen. Hacker setzen diese ein, um das Netzwerk des auserwählten Opfers mit gefälschten Anfragen zu überfluten.

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Rubrik Germany GmbH

Specops Software GmbH

Check Point Software Technologies GmbH

Bei einer volumetrische Attacke handelt es sich um eine sehr einfache Technik, bei große Datenpakete so lange geschickt werden, bis die vom Provider zur Verfügung gestellte Bandbreite der Internetverbindung aufgezehrt wurde, die Verbindung quasi verstopft.

Die Folge: Legitime Anfragen kommen nicht mehr zum Server durch und können dadurch nicht mehr beantwortet werden und die Webseite bzw. der Webservice ist nicht mehr erreichbar.

Im ersten Quartal 2013 konnte Check Point in Europa vor allem kleinere Angriffe mit weniger als 1 Gbps feststellen. Betroffen waren Unternehmen und Organisationen aus allen Bereichen.

Diese kleinen Attacken sind ebenso einfach wie wirkungsvoll, da sie auf Angreifer-Seite nicht viel Bandbreite benötigen und von relativ unerfahrenen Hackern mit Tools wie PHP booters und einer Handvoll von privaten virtuellen Servern durchgeführt werden können.

Durch die zunehmende Verbreitung von dynamischen webbasierten Anwendungen wie Word Press können Hacker eine ganze Reihe von schlecht gesicherten Webservern infizieren und für ihre Zwecke nutzen.

Dabei wird ein PHP booter eingesetzt. Es handelt sich hier um eine kleine Datei mit einem PHP Script, die auf einem Webserver platziert wird und darauf wartet, dass sie über HTTP gestartet wird. Danach beginnt es mit der Ausführung einer Anwendungsüberflutung wie HTTP GET oder POST auf ein Ziel, dass der Angreifer vorher festlegt.

Anatomie eines DDoS-Angriffs - Teil 1

So gefährlich und erfolgreich sind DDoS-Angriffe

So verteidigt man sich gegen volumetrische DDoS-Angriffe

Technisch: Ein Weg sich gegen diese Art von Attacken zu wehren, besteht in dem Einkauf von mehr Bandbreite beim Internet-Provider. Die andere Variante ist, einen cloudbasierten Service für die Internetverbindung zu nutzen, um die Anfragen an ein Scrubbing Center weiterleiten zu können.

Auf dieser „Mitigation“ (Abschwächung)-Plattform wird dann der gesamte einkommende Verkehr analysiert und nur die legitimen Anfragen werden wieder an das Netzwerk zurückgeleitet.

Organisatorisch: Beides muss allerdings in jedem Fall um organisatorische Maßnahmen ergänzt werden. Ganz allgemein muss eine Strategie, ein Plan entwickelt werden, um die IT-Abteilung für die Abwehr einer DDoS-Attacke gleich welcher Art fit zu machen.

Problematisch dabei ist, dass kein Angriff gleich abläuft und Hacker schnell reagieren können. Wenn sie merken, dass sie mit ihrem Angriff nicht den gewünschten Effekt erreichen, wählen sie einen anderen Weg oder fokussieren sich auf ein anderes Ziel.

Ergänzendes zum Thema

Check Point DDoS Protector

Die Check Point Appliance DDoS-Protector blockt DDoS-Attacken in wenigen Sekunden mit einem anpassbaren multi-layer Schutz und mehr als 12 Gbps Performance.

Die Anfragen, die von diesen DDoS-Attacken kreiert werden, werden aus der Perspektive von IPS oder Firewalls als normale Nutzeranfragen gesehen, weil sie keinen gefährlichen Code enthalten. Die Mehrzahl der Attacken zielt auf die Kapazitäten der Anwendungen und auf die Schwachstellen bei der Implementierung der Anwendung ab.

Um sich davor zu schützen, brauchen Unternehmen ein System, das automatisch Abweichungen von normalen Anfragen erkennt und mit dieser Information automatisch Echtzeit Signaturen erstellt, die verdächtige Anfragen umleiten und zur gleichen Zeit legitime Anfragen zulassen.

Das System muss außerdem in der Lage sein, dynamisch die Signaturen anzupassen, wenn sich die Signatur der Attacke ändert. Solche Anforderungen erfüllt der Check Point DDoS-Protector. Die Anwendungen können sowohl als on-premise als auch als integierte off-premise Lösung für den Einsatz gegen volumetrische Attacken genutzt werden.

Alles in allem stellt Check Point eine Familie von sieben Appliances zu Verfügung, die mit den folgenden Eigenschaften charakterisiert werden:

• Low latency (less than 60 micro seconds)

• High performance (up to 12 Gbps of legitimate traffic)

• Port density of up to 16 ports (12x1 4x10 GbE and GbE)

Sie alle lassen sich transparent in bestehende Netzwerke integrieren, ohne dass die Topologie geändert werden muss, entweder in einem inline oder out-of-path Einsatz und kann diese in jeder Größe schützen.

Mit dem Check Point Tool SmartEvent kann sich der Nutzer einen schnellen Überblick über die gesamte Netzwerksicherheit verschaffen und alle DDoS-Attacken und alle Rechenoperationen in Echtzeit und aus der Retrospektive heraus nachvollziehen.

Als Ergänzung steht ein Emergency Response Team von Sicherheitsexperten bereit, um auf alle Attacken sofort reagieren zu können, wenn Unternehmen noch zusätzlichen Support benötigen, um mit der Attacke fertig zu werden.

Deshalb muss wie bei der Feuerwehr ein Notfallplan entworfen werden, der alle Prozesse und Rollen definiert, so dass jeder weiß, wie er reagieren muss und wer sich um was kümmert.

Wie bei einem Feueralarm ist auch hier Training das A und O. Es ist nicht möglich, bei diesem Angriff einfach alle Anfragen zu blocken, denn die IP-Adressen des Angreifers werden normalerweise gespoofed und können nicht nachverfolgt werden.

Im nächsten Teil dieser Artikelserie über DDoS-Angriffe zeigen wir wie DNS Amplification Attacken funktionieren und wie sich IT-Abteilungen dagegen wehren können.

Anatomie eines DDoS-Angriffs - Teil 4: DNS Amplification Attacken

DDoS durch DNS-Anfragen

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42266903)