DDoS-Angriffe erfolgreich abwehren

Gezielte Datenmüll- und Smurf-Attacken

von - 31.03.2016
Eine andere Variante der DDoS-Attacke schickt Datenmüll an Geräte, die mit dem Internet verbunden sind, wie Router, Server oder PCs. Durch das Zustellen großer Datenmengen an den UDP-Port 53 (seltener UDP-Port 80) werden diese Geräte lahmgelegt.
Abwehr: Man kann einem solchen Angriff entgehen, indem man die UDP-Ports 53 oder 80 schließt. Falls jedoch ein DNS-Server betrieben wird, ist diese Sperre meist nicht erwünscht.
CloudFlare Anycast
CloudFlare: Der DDoS-Abwehrdienst hat das Prinzip einer DDoS-Attacke umgedreht.
Bewährte Verteidungsstrategie: Anycast
Der DDoS-Abwehrdienst CloudFlare hat das Prinzip einer DDoS-Attacke umgedreht: Mit Hilfe von Anycast, Lastverteilern und dem eigenen Content Delivery Network (CDN) mit Knoten in insgesamt 23 Rechenzentren konnte CloudFlare die Datenflut der DDoS-Attacke auf die gemeinnützige Schweizer Organisation Spamhaus 2013 in der eigenen Cloud abfangen.
Bei Anycast handelt es sich um eine Methode der Weiterleitung von IP-Anfragen, die darauf basiert, dass ein und dieselbe IP-Adresse mehreren Hosts zugewiesen wird. Dadurch gelangen die Datenpakete jeweils auf der kürzesten Strecke zum geografisch nächstgelegenen Cluster.
CloudFlare weist allen seinen Kunden nach außen hin eine einzige IP-Adresse zu. Diese Strategie, die CloudFlare Global Anycast DNS nennt, macht es Angreifern unmöglich, auf ein konkretes Ziel zu fokussieren. Ein Lastverteiler leitet die eingehenden Anfragen an das nächstgelegene Rechenzentrum mit freien Kapazitäten, um die Entstehung von Flaschenhälsen zu verhindern. So kann kein einzelnes Element der Cloud-Infrastruktur zusammenbrechen.
Im Fall von Spamhaus streute CloudFlare die betreffenden IPs über 23 Rechenzentren. Hier wurden die Anfragen erst einmal nach verschiedenen Kriterien gefiltert und dann entweder an Spamhaus-Server weitergeleitet oder verworfen.
Vergleichbare Dienste wie die von CloudFlare haben auch andere CDN-Anbieter im Programm, zum Beispiel Akamai, neuStar, OpenDNS und Prolexic.

Smurf-Attacken

Zugespitzt: Im Dezember 2014 wurden weltweit besonders viele DDoS-Attacken verzeichnet.
Zugespitzt: Im Dezember 2014 wurden weltweit besonders viele DDoS-Attacken verzeichnet.
Bei Smurf-Attacken pingt der Angreifer ICMP-Anfragen (Internet Control Message Protocol) mit einer gefälschten Ursprungs-IP, die auf das Opfer verweist, an Dritte (ICMP-DDoS). Die Angreifer nehmen sich dabei einen Router vor, der für die Weiterleitung solcher Anfragen an andere Geräte verantwortlich ist. Indem die Täter an die zugehörige Broadcast-Adresse (X.X.X.255) senden, können sie auf einen Schlag alle Geräte in dem Netzwerk hinter dem Router er­reichen.
Weil ein Handshake-Verfahren zum Verbindungsaufbau nicht vorgesehen ist, können Empfänger legitime von nicht legitimen Anfragen nicht unterscheiden. Indem die Geräte auf die ICMP-Anfrage vorschriftsmäßig antworten, bombardieren sie mit ihren IP-Paketen den vermeintlichen Absender – das eigene Netzwerk.
Abwehr: Um eine solche Attacke gezielt zu unterbinden, reicht es bereits, die Weiterleitung der ICMP-Anfragen durch die betroffenen Router zu verhindern.
Seite
  1. Teil: DDoS-Angriffe erfolgreich abwehren
  2. Teil: DDoS als politisches Druckmittel
  3. Teil: DNS-Flood-Attacken und ihre Varianten
  4. Teil: Gezielte Datenmüll- und Smurf-Attacken
  5. Teil: ACK-Reflection und Angriffe auf App-Ebene
  6. Teil: DDoS-Angriffe aus der Cloud
Verwandte Themen

Mehr zum Thema