Anatomie eines DDoS-Angriffs - Teil 3: Volumetrische Attacken Angreifer verstopfen das Netzwerk

Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Volumetrische Attacken bestehen aus einem Mix von berechtigten und sogenannten gespooften (also das Vortäuschen einer anderen IP-Adresse) Anfragen. Hacker setzen diese ein, um das Netzwerk des auserwählten Opfers mit gefälschten Anfragen zu überfluten.

Firma zum Thema

Hacker nutzen eine volumetrische DDoS-Attacke, um das Netzwerk und die Bandbreite des ausgewählten Opfers mit gefälschten Anfragen zu verstopfen.
Hacker nutzen eine volumetrische DDoS-Attacke, um das Netzwerk und die Bandbreite des ausgewählten Opfers mit gefälschten Anfragen zu verstopfen.
(Bild: Markus Haack - Fotolia.com)

Bei einer volumetrische Attacke handelt es sich um eine sehr einfache Technik, bei große Datenpakete so lange geschickt werden, bis die vom Provider zur Verfügung gestellte Bandbreite der Internetverbindung aufgezehrt wurde, die Verbindung quasi verstopft.

Die Folge: Legitime Anfragen kommen nicht mehr zum Server durch und können dadurch nicht mehr beantwortet werden und die Webseite bzw. der Webservice ist nicht mehr erreichbar.

Im ersten Quartal 2013 konnte Check Point in Europa vor allem kleinere Angriffe mit weniger als 1 Gbps feststellen. Betroffen waren Unternehmen und Organisationen aus allen Bereichen.

Diese kleinen Attacken sind ebenso einfach wie wirkungsvoll, da sie auf Angreifer-Seite nicht viel Bandbreite benötigen und von relativ unerfahrenen Hackern mit Tools wie PHP booters und einer Handvoll von privaten virtuellen Servern durchgeführt werden können.

Durch die zunehmende Verbreitung von dynamischen webbasierten Anwendungen wie Word Press können Hacker eine ganze Reihe von schlecht gesicherten Webservern infizieren und für ihre Zwecke nutzen.

Dabei wird ein PHP booter eingesetzt. Es handelt sich hier um eine kleine Datei mit einem PHP Script, die auf einem Webserver platziert wird und darauf wartet, dass sie über HTTP gestartet wird. Danach beginnt es mit der Ausführung einer Anwendungsüberflutung wie HTTP GET oder POST auf ein Ziel, dass der Angreifer vorher festlegt.

So verteidigt man sich gegen volumetrische DDoS-Angriffe

Volumetrische Angriffe verstopfen schlicht die Leitung zum Server, so dass keine echten Anfragen mehr verarbeitet werden können.
Volumetrische Angriffe verstopfen schlicht die Leitung zum Server, so dass keine echten Anfragen mehr verarbeitet werden können.
(Bild: Check Point Software Technologies)
Zunächst muss hier zwischen technischen und organisatorischen Abwehrmaßnahmen unterschieden werden.

Technisch: Ein Weg sich gegen diese Art von Attacken zu wehren, besteht in dem Einkauf von mehr Bandbreite beim Internet-Provider. Die andere Variante ist, einen cloudbasierten Service für die Internetverbindung zu nutzen, um die Anfragen an ein Scrubbing Center weiterleiten zu können.

Auf dieser „Mitigation“ (Abschwächung)-Plattform wird dann der gesamte einkommende Verkehr analysiert und nur die legitimen Anfragen werden wieder an das Netzwerk zurückgeleitet.

Organisatorisch: Beides muss allerdings in jedem Fall um organisatorische Maßnahmen ergänzt werden. Ganz allgemein muss eine Strategie, ein Plan entwickelt werden, um die IT-Abteilung für die Abwehr einer DDoS-Attacke gleich welcher Art fit zu machen.

Problematisch dabei ist, dass kein Angriff gleich abläuft und Hacker schnell reagieren können. Wenn sie merken, dass sie mit ihrem Angriff nicht den gewünschten Effekt erreichen, wählen sie einen anderen Weg oder fokussieren sich auf ein anderes Ziel.

Ergänzendes zum Thema
Check Point DDoS Protector

Die Check Point Appliance DDoS-Protector blockt DDoS-Attacken in wenigen Sekunden mit einem anpassbaren multi-layer Schutz und mehr als 12 Gbps Performance.

Die Anfragen, die von diesen DDoS-Attacken kreiert werden, werden aus der Perspektive von IPS oder Firewalls als normale Nutzeranfragen gesehen, weil sie keinen gefährlichen Code enthalten. Die Mehrzahl der Attacken zielt auf die Kapazitäten der Anwendungen und auf die Schwachstellen bei der Implementierung der Anwendung ab.

Um sich davor zu schützen, brauchen Unternehmen ein System, das automatisch Abweichungen von normalen Anfragen erkennt und mit dieser Information automatisch Echtzeit Signaturen erstellt, die verdächtige Anfragen umleiten und zur gleichen Zeit legitime Anfragen zulassen.

Das System muss außerdem in der Lage sein, dynamisch die Signaturen anzupassen, wenn sich die Signatur der Attacke ändert. Solche Anforderungen erfüllt der Check Point DDoS-Protector. Die Anwendungen können sowohl als on-premise als auch als integierte off-premise Lösung für den Einsatz gegen volumetrische Attacken genutzt werden.

Sicherheitssysteme müssen auf verschiedenen Ebenen DDoS-Angriffe erkennen und ausfiltern können, damit am Ende trotz des Angriffs nur der legitime Traffic noch durch kommt.
Sicherheitssysteme müssen auf verschiedenen Ebenen DDoS-Angriffe erkennen und ausfiltern können, damit am Ende trotz des Angriffs nur der legitime Traffic noch durch kommt.
( Bild: Check Point Software Technologies )

Alles in allem stellt Check Point eine Familie von sieben Appliances zu Verfügung, die mit den folgenden Eigenschaften charakterisiert werden:

  • Low latency (less than 60 micro seconds)
  • High performance (up to 12 Gbps of legitimate traffic)
  • Port density of up to 16 ports (12x1 4x10 GbE and GbE)

Sie alle lassen sich transparent in bestehende Netzwerke integrieren, ohne dass die Topologie geändert werden muss, entweder in einem inline oder out-of-path Einsatz und kann diese in jeder Größe schützen.

Mit dem Check Point Tool SmartEvent kann sich der Nutzer einen schnellen Überblick über die gesamte Netzwerksicherheit verschaffen und alle DDoS-Attacken und alle Rechenoperationen in Echtzeit und aus der Retrospektive heraus nachvollziehen.

Als Ergänzung steht ein Emergency Response Team von Sicherheitsexperten bereit, um auf alle Attacken sofort reagieren zu können, wenn Unternehmen noch zusätzlichen Support benötigen, um mit der Attacke fertig zu werden.

Deshalb muss wie bei der Feuerwehr ein Notfallplan entworfen werden, der alle Prozesse und Rollen definiert, so dass jeder weiß, wie er reagieren muss und wer sich um was kümmert.

Wie bei einem Feueralarm ist auch hier Training das A und O. Es ist nicht möglich, bei diesem Angriff einfach alle Anfragen zu blocken, denn die IP-Adressen des Angreifers werden normalerweise gespoofed und können nicht nachverfolgt werden.

Im nächsten Teil dieser Artikelserie über DDoS-Angriffe zeigen wir wie DNS Amplification Attacken funktionieren und wie sich IT-Abteilungen dagegen wehren können.

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42266903)