Massiven DDoS-Angriffenauf der Spur DDoS-Attacken mit aktiver Cloud-Verstärkung abwehren

Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska * / Florian Karlstetter

DDoS-Attacken haben im Zuge der Cloud-Revolution an ihrer Intensität und Dauer zugenommen. Nicht nur bietet die Cloud keinen Schutz vor DDoS, sondern stellt vielmehr auf Grund der elastischen Skalierbarkeit ein Instrument zur Amplifizierung von DDoS-Attacken dar.

Firmen zum Thema

DDoS-Attacken auf der Spur: Dieser Bericht geht der Mechanik massiver DDoS-Angriffe auf den Grund und beleuchtet die wirksamsten Ansätze für Unternehmen zur Verteidigung der eigenen Cloud.
DDoS-Attacken auf der Spur: Dieser Bericht geht der Mechanik massiver DDoS-Angriffe auf den Grund und beleuchtet die wirksamsten Ansätze für Unternehmen zur Verteidigung der eigenen Cloud.
(© tashatuvango - Fotolia.com)

Im Januar 2015 standen Webserver des Auswärtigen Amts, des Bundestags und der Kanzlerin unter DDoS-Beschuss seitens einer prorussischen Hackergruppe. Ein Jahr zuvor musste sich der französische Hosting-Anbieter OVH gegen eine bis zu 350 Gbit/s starke, massive DDoS-Attacke verteidigen. Auch die Münchener Direktbank Fidor, wie auch Sony und Microsoft, können von DDoS ein Lied singen.

Beim SaaS-Anbieter Code Spaces führten wiederholte DDoS-Attacken zur Geschäftsaufgabe, und zwar trotz – oder gerade wegen (der unsachgemäßen) – Nutzung der AWS-Cloud (siehe Abschnitt „Eine ganzheitliche Strategie“).

Nach Angaben des Bundestags lagen die Schwierigkeiten der Abwehr darin begründet, dass die Angriffsmethoden sich fortlaufend geändert hätten. Die betroffenen Webseiten werden von der in Köln ansässigen Babiel GmbH gehostet und seien über den ebenfalls renommierten Netzwerksicherheitsanbieter Cloudflare ausgeliefert worden.

Heutige DDoS-Attacken stellen einen Bruch mit der Tradition der 90er Jahre dar: Sie sind massiv, abwechslungsreich und brutal. Konnte man in der Vergangenheit eine DDoS-Episode spätestens nach einigen Stunden Chaos zu den Akten legen, sehen sich die Betroffenen heute gut geplanten und sorgsam orchestrierten Feuerproben über verschiedene Angriffsvektoren ausgesetzt, die mehrere Wochen lange unnachgiebig anhalten.

Multi-Vektor-Angriffe adressieren abwechselnd verschiedene Schwächen der Infrastruktur und sind darauf ausgelegt, Geschäftsabläufe zu unterbrechen, Systeme zu destabilisieren, Firewalls außer Gefecht zu setzen und Sicherheitslücken offen zu legen. Angreifer setzen darauf, dass das IT-Fachpersonal des betroffenen Unternehmens unter DDoS-Beschuss eher Fehler macht als wenn nichts Außergewöhnliches vor sich hin geht. Sind die angegriffenen Systeme von einer Verwundbarkeit wie z.B. FREAK, BREACH oder Heartbleed ohnehin betroffen, ist es auch generell zu spät, um sie zu patchen oder abzuschirmen. Dasselbe betrifft ungesicherten administrativen Zugang zu der eigenen Cloud-Infrastruktur, eine Lektion, die Code Spaces erst auf die harte Tour lernen musste.

Bildergalerie
Bildergalerie mit 5 Bildern

Der Fall von Cloud Spaces auf AWS

Laut dem Anbieter von Sicherheitsdiensten Skyfence erlangten Eindringlinge Zugang zur AWS-Infrastruktur von Code Spaces durch das Ausspähen von Administratorpasswörtern zur AWS-Konsole im Zuge einer Phishing-Attacke mit Lösegeld-Anforderungen in Begleitung von massivem DDoS. Als Code Spaces dann anfing, die eigene Cloud abzusichern, konnten die Angreifer mit administrativen Zugriffen via AWS-APIs wesentliche Teile der AWS-Infrastruktur – laufende Instanzen, Volumes, AMIs und Snapshots – einfach löschen. Cloud Spaces hat sämtliche Daten seiner Kunden verloren und damit seine Existenz beendet.

Eine entscheidende Ursache lag in der groben Fahrlässigkeit seitens der Administratoren: Es wurde auf den Einsatz von MFA-Authentifizierung verzichtet. Dabei hätte ein Tokengenerator – sogar die kostenlose mobile App AWS Virtual MFA – Phishing-Versuche zunichte machen können. Ein Backup der Daten außerhalb von AWS, sei es auf der Google Cloud Platform, auf Microsoft Azure oder in einem Off-site-Datencenter außerhalb der unmittelbaren Reichweite von AWS-Vandalisierungsskripten, sehr gute Aussichten auf eine erfolgreiche Notfallwiederherstellung.

Wie das Beispiel von Code Spaces zeigt, setzt eine effektive DDoS-Abwehr nicht nur ein gutes Verständnis der Anatomie einer amplifizierten DDoS-Attacke voraus, sondern vor allem auch eine durchdachte Vorbereitung.

Die Cloud als ein Instrument zur Amplifizierung

Die Auffassung, dass eine skalierbare Cloud-Architektur massive DDoS-Angriffe eindämmen könne, ist ein fataler Irrtum. Die Cloud bietet nicht nur keinen Schutz vor Ausfallzeiten der betroffenen Dienste sondern stellt sogar durch die bedarfsgerechte Skalierbarkeit der Infrastruktur ein potenzielles Instrument zur DDoS-Amplifizierung dar. Der Schaden beschränkt sich in diesem Fall nicht auf die Downtime, denn die Elastizität einer Cloud-Topologie führt automatisch zur Kostenexplosion.

Bildergalerie
Bildergalerie mit 5 Bildern

Ein CDN (Content Delivery Network) kann DDoS-Attacken mit einem hohen Datenvolumen aufnehmen und abfangen, doch Anfragen nach dynamisch erzeugten Daten leitet das CDN an den Datenursprungsserver (den sog. Origin Server) weiter und eben darin besteht das eigentliche Problem. Indem die Angreifer viele einzelne zufällig generierte Anfragen nach nicht vorhandenen Daten an das CDN richten, können sie es dazu veranlassen, eine richtig hinterhältige DDoS-Attacke auf die eigenen Compute-Ressourcen zu initiieren, die sich durch konventionelle Firewalls auf dem Zielserver nicht abblocken lässt. Ein CDN lässt sich zudem mit Cache-Direktiven in http-Headern umgehen, um vorzugsweise via https bösartige rechenintensive Anfragen mit dem Anschein von Legitimität durch die Firewall an die wesentlich kostspieligeren Compute-Ressourcen zu tunneln.

Anfragen an den Origin-Server im Rahmen einer DDoS-Attacke und solche seitens berechtigter Benutzer lassen sich anhand der Ursprungs-IP nicht mehr auseinander halten. Die IP-Adressen entstammen in beiden Fällen dem vertrauenswürdigen Pool des eigenen CDNs des Opfers. Die einzige Methode zum Filtern der Anfragen besteht im Auswerten des gesamten HTTP-Headers. Der XFF-Header (X-Forwarded-For-Header) gibt Aufschluss über den wirklichen „Werdegang“ der Anfrage und erlaubt das systematische Abblocken der Attacke, sofern sich ihre ursprüngliche Quelle außerhalb des CDNs identifizieren lässt.

DDoS-Blitzableiter

Die EC2-Sicherheitsgruppen auf AWS bieten keinen Ersatz für eine Firewall. Durch EC2-Sicherheitsgruppen lässt sich der Zugriff auf bestimmte Ports freischalten, es ist leider aber nicht möglich, Anfragen an offenen Ports handverlesen abzublocken. Eine WAF-Firewall (Web Application Firewall) wie auch anwendungsspezifische Regeln (z.B. in NGINX) können geringfügigen Missbrauch unterdrücken. Diese Maßnahmen bieten jedoch im Falle einer massiven DDoS-Attacke keinen ausreichenden Schutz. Cloud-Anwender binden daher ihre Cloud-Infrastruktur präventiv an das IT-Äquivalent eines „Blitzableiters“ an: an einen oder mehrere Dienste zur DDoS-Ableitung wie CloudFlare.

Tipp: Unter OpenNTPProject.org können IT-Administratoren ihren eigenen IP-Adressraum auf Möglichkeiten zum DDoS-Missbrauch mittels NTP hin überprüfen (siehe auch die Illustration in der Bildergalerie).

Bei der Verteidigung von Spamhaus im Jahre 2013 konnte CloudFlare mit Hilfe von Anycast-Adressierung unter Verwendung von Lastverteilern und dem eigenen CDN mit Knoten in insgesamt 23 Datencentern die Datenflut der 300Gbps starken DDoS-Attacke abfangen und filtern (heute sind es bereits 29 Edge-Standorte, darunter einer in Frankfurt). Nur diejenigen Datenpakete werden an die geschützten Zielsysteme weitergeleitet, welche sämtliche Tests ihrer Legitimität bestanden hatten. Da sich das rechenzeitintensive Filtern eingehender Anfragen auf ganz viele Cloud-Ressourcen verteilt, gibt es kein Single Point of Failure. Die Zielsysteme erhalten nur säuberlich gefilterte Datenpakete mit einer geringfügigen Verzögerung.

Global Anycast DNS ist bei CoudFlare bereits im Umfang des Gratis-Basisabonnements enthalten. Ähnliche Dienste wie CloudFlare haben auch andere CDN-Anbieter, darunter Akamai, neuStar, OpenDNS und Prolexic, kostenpflichtig im Programm.

* Die Autoren: Filipe Pereira Martins und Anna Kobylinska, IT-Experten von McKinley Denali Inc. (USA) und der Soft1T S.a r.l. Beratungsgesellschaft mbH

(ID:43383666)