Hybrider Schutz vor DDoS-Angriffen

Moderne Schutzmaßnahmen

von - 15.10.2018
Experten zufolge ist es nur eine Frage der Zeit ist, bis ein Unternehmen Opfer eines DDoS-Angriffs wird. Klassische Schutzmaßnahmen im eigenen Rechenzentrum sind jedoch teuer, da auch für die seltenen großvolumigen Attacken ausreichend Kapazitäten vorgehalten werden müssten.
Dauer und Häufigkeit von DDos-Angriffen
Die Anzahl vergleichsweise kurzer DDoS-Angriffe hat vom 4. Quartal 2017 auf das 1. Quartal 2018 spürbar zugenommen.
(Quelle: Kaspersky Lab )
Prinzipiell gibt es drei Möglichkeiten, um sich gegen DDoS-Attacken zu wappnen.
On-Premise-Hardware: Ein Unternehmen kann sich selbst um geeignete Lösungen kümmern und diese On-Premise einrichten und vorhalten. Hersteller wie Arbor Networks, Check Point, Cisco, F5 Networks, Fortinet und viele andere bieten geeignete Appliances an.
Cloud-Anbieter: Alternativ kann der Schutz komplett an einen spezialisierten Cloud-Dienstleister ausgelagert werden. Der gesamte Traffic wird dabei in der Regel mit Hilfe des Border Gateway Protocols (BGP) an den Dienstleister umgeleitet, wo er in einem sogenannten Scrubbing-Center bereinigt wird, bevor er wieder zurückgeschickt wird. Cloud-Lösungen sind günstiger, weil sich die Kosten dafür auf eine größere Zahl von Kunden verteilen. Um aber auch wirklich alle Kunden schützen zu können, müssen die Cloud-Anbieter auf dem ganzen Globus verteilte leistungsfähige Rechenzentren betreiben, die auch die hochvolumigen Angriffe abfangen können.
Cloud Overflow: Bei dieser dritten Schutzvariante werden kleinere Angriffe lokal abgefangen. Nur größere Attacken jenseits der 100-GBit/s-Grenze werden an den externen Dienstleister weitergereicht und von ihm mit geeigneten Mitteln bekämpft. Es handelt sich also um einen hybriden Ansatz.
DDoS-Angriffe: Häufig verwendete Techniken
Angreifern stehen verschiedene Möglichkeiten zur Verfügung, um DDoS-Attacken durchzuführen. Drei der wichtigsten heißen SYN-Flooding, Verstärkungsangriffe und Memcached-Angriffe.
SYN-Flooding: Bei dieser weit verbreiteten Methode sendet der Angreifer zahlreiche Pakete an einen Server, unterschlägt aber beim Verbindungsaufbau jeweils die Bestätigungsmeldung. Das Ziel wartet auf diese Nachricht, die aufgrund von Latenzen im Netzwerk ja auch verspätet eintreffen könnte. Durch die halb offenen Verbindungen werden Ressourcen auf dem betroffenen Server belegt, bis er immer langsamer auf Anfragen reagieren kann oder diese sogar komplett verweigert. Besonders effektiv sind diese Angriffe, weil sie auf der Seite des Angreifers weniger Ressourcen benötigen als auf der Seite des Opfers. Außerdem lassen sie sich mit IP-Spoofing und dem Verwenden zahlreicher unterschiedlicher IP-Adressen weiter verfeinern.
Verstärkungsangriffe: Die sogenannten Verstärkungsangriffe operieren mit Hilfe des Domain Name Systems (DNS). Dabei sendet der Angreifer bestimmte kurze Anfragen an DNS-Server im Internet, die darauf in der Regel mit längeren Antworten reagieren. Der Faktor kann bis zu 1:50 betragen. Aus einem Angriff mit 10 MBit/s werden so beispielsweise bis zu 500 MBit/s. Die Antworten des Verstärkungs-Servers werden auf die IP-Adresse des Opfers umgelenkt, dessen Internetanschluss unter der Last zusammenbricht. Ähnliche Angriffe lassen sich auch durch den Missbrauch von NTP-Servern (Network Time Protocol) im Internet durchführen.
Memcached-Angriffe: Hierbei handelt es sich um eine besonders wirkungsvolle Variante von Verstärkungsangriffen. Memcached-Server sind Cache-Server, die zum Hinterlegen und Abholen von Daten aus dem Arbeitsspeicher dienen. Werden sie nicht durch eine Firewall geschützt, können sie für Verstärkungsangriffe missbraucht werden. Sie sollen den Traffic sogar um das bis zu 51.000-Fache verstärken können. Anfang 2018 sollen Memcached-Server erstmals für eine groß angelegte Attacke genutzt worden sein. Opfer war die Entwicklerplattform GitHub. Angaben des CDN-Spezialisten (Content Delivery Network) Akamai zufolge betrug die Bandbreite dieses Angriffs gigantische 1,35 TBit/s.
Verwandte Themen