DDoS-Angriff auf die Applikation

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

sysob IT-Distribution GmbH & Co. KG

FTAPI Software GmbH

Check Point Software Technologies GmbH

Um eine Application-basierte Überflutungsattacke abzuwehren, gibt es weitaus bessere Wege. Beispielsweise könnte man ein System nutzen, dass das Verhalten von Nutzeranfragen auf den verschiedenen Wegen zum Server automatisch und kontinuierlich erlernt. Ein solches System wird das Verhalten eines normalen Nutzers erlernen und kann dann zwischen den normalen Nutzern und den Angreifern unterscheiden.

Für die Umleitung wird keine ratenbasierte Einschränkung vorgenommen. Vielmehr kann das System eine Echtzeitsignatur erstellen, die nur zu Anfragen von verdächtigen IP-Adressen passt. Diese werden dann mit verschiedenen Methoden untersucht, um nur die identifizierten Angreifer herauszufiltern. Zur gleichen Zeit werden alle legitimen Nutzeranfragen zugelassen, ohne dass False Positives generiert oder legitime Anfragen geblockt werden. Ebenso wichtig ist es, dass Echtzeit-Signaturen flexibel und schnell angepasst werden können, um Veränderungen der DDoS-Attacke sofort wahrzunehmen.

Ergänzendes zum Thema

Check Point DDoS Protector

Die Check Point Appliance DDoS-Protector blockt DDoS-Attacken in wenigen Sekunden mit einem anpassbaren multi-layer Schutz und mehr als 12 Gbps Performance.

Die Anfragen, die von diesen DDoS-Attacken kreiert werden, werden aus der Perspektive von IPS oder Firewalls als normale Nutzeranfragen gesehen, weil sie keinen gefährlichen Code enthalten. Die Mehrzahl der Attacken zielt auf die Kapazitäten der Anwendungen und auf die Schwachstellen bei der Implementierung der Anwendung ab.

Um sich davor zu schützen, brauchen Unternehmen ein System, das automatisch Abweichungen von normalen Anfragen erkennt und mit dieser Information automatisch Echtzeit Signaturen erstellt, die verdächtige Anfragen umleiten und zur gleichen Zeit legitime Anfragen zulassen.

Das System muss außerdem in der Lage sein, dynamisch die Signaturen anzupassen, wenn sich die Signatur der Attacke ändert. Solche Anforderungen erfüllt der Check Point DDoS-Protector. Die Anwendungen können sowohl als on-premise als auch als integierte off-premise Lösung für den Einsatz gegen volumetrische Attacken genutzt werden.

Alles in allem stellt Check Point eine Familie von sieben Appliances zu Verfügung, die mit den folgenden Eigenschaften charakterisiert werden:

• Low latency (less than 60 micro seconds)

• High performance (up to 12 Gbps of legitimate traffic)

• Port density of up to 16 ports (12x1 4x10 GbE and GbE)

Sie alle lassen sich transparent in bestehende Netzwerke integrieren, ohne dass die Topologie geändert werden muss, entweder in einem inline oder out-of-path Einsatz und kann diese in jeder Größe schützen.

Mit dem Check Point Tool SmartEvent kann sich der Nutzer einen schnellen Überblick über die gesamte Netzwerksicherheit verschaffen und alle DDoS-Attacken und alle Rechenoperationen in Echtzeit und aus der Retrospektive heraus nachvollziehen.

Als Ergänzung steht ein Emergency Response Team von Sicherheitsexperten bereit, um auf alle Attacken sofort reagieren zu können, wenn Unternehmen noch zusätzlichen Support benötigen, um mit der Attacke fertig zu werden.

Kleine und langsame Attacken, unterhalb des Radars von ratenbasierten Sicherheitslösungen

Diese Attacken zielen nicht auf Schwachstellen ab, die sich in der allgemeinen Schwachstellen- und Exploit-Datenbank CVE befinden. Es sind vielmehr Exploits von einer Schwachstelle in der Implementierung. Deshalb laufen Verteidigungsmaßnahmen ins Leere, wenn sie nur darauf setzen, das Verhalten von Nutzeranfragen an den Server zu analysieren.

Das Problem kann nur mit einem System gelöst werden, das granulare vordefinierte Filter aktivieren kann. Diese Filter müssen alle Vorgänge monitoren und entdecken, die versuchen, die bekannte Schwachstelle in der Implementierung zu nutzen. Das System wiederum braucht eine Engine, die es möglich macht nicht nur eine Datenbank von vordefinierten Filtern zu nutzen, sondern die auch in der Lage ist, einen eigenen Filter zu erstellen. Dieser wiederum muss im System angepasst werden können, um die Ausnutzung von neuen Schwachstellen in der Implementierung zu verhindern. Die Engine muss ebenfalls fähig sein, das beschriebene in einer Stresssituation durchzuführen, wenn eine große Anzahl an Anfragen eintrifft, ohne dabei Auswirkungen auf die Performance und den Durchsatz von legitimen Anfragen zu haben.

Organisatorisch: Mit Überflutungen von Anwendungen und kleinen und langsamen Attacken fertig zu werden, ist normalerweise eine Teamaufgabe, die verschiedene Gruppen von Mitarbeitern eines Unternehmens fordern. Die Netzwerktechniker haben in der Regel die Kontrolle über die Lösungen, die DDoS-Attacken umleiten können.

Die Web-Application-Techniker kennen das Verhalten der Anwendung und ob diese in irgendeiner Weise limitiert ist. Deswegen ist es wichtig, für diese beiden Gruppen zusammen in einem Team zu arbeiten, wenn das Unternehmen von einer Application basierten DDoS-Attacke angegriffen wird.

Außerdem ist sehr empfehlenswert, Pläne bereitzuhalten, um die Rohdatenpakete zu speichern und sie später einer forensischen Analyse zu unterziehen. Es sollte außerdem möglich sein, angepasste Filter während der Attacke zu erstellen. Um den Filter anzupassen, ist Erfahrung im Umgang mit DDoS-Attacken nötig und darüber hinaus wichtig dem ERT oder IRT (Emergency/Incident Response)-Team Zugang zu gewähren.

Wenn ein Unternehmen verschiedene Technologien evaluiert, ist es wichtig abzuklären, dass ERT oder IRT Teil der Lösung sind. Natürlich empfehlen sich auch hier Training, Simulation und die Formulierung einer Strategie und eines eventuellen Plans, um sicher zu stellen, dass alle IT-Mitarbeiter im Ernstfall wissen, wie sie ERT oder IRT kontaktieren können.

Anatomie eines DDoS-Angriffs - Teil 1

So gefährlich und erfolgreich sind DDoS-Angriffe

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42285739)