DDoS-Angriffe erfolgreich abwehren

ACK-Reflection und Angriffe auf App-Ebene

von - 31.03.2016
Ein ACK-Reflection-Angriff zieht seinen Vorteil aus dem sogenannten TCP-Dreiwege-Handschlag beim Aufbau einer TCP-Verbindung: Ein TCP-Client initiiert den Verbindungsaufbau durch das Abschicken eines SYN-Pakets mit der Ursprungs- und der Ziel-IP (TCP-DDoS/SYN-DDoS).
Häufigkeit verschiedener DDoS-Attacken: Die Grafik zeigt verschiedene Arten von DDoS-Attacken und ihre weltweite Verteilung im letzten Quartal 2014 und im ersten Quartal 2015.
Häufigkeit verschiedener DDoS-Attacken: Die Grafik zeigt verschiedene Arten von DDoS-Attacken und ihre weltweite Verteilung im letzten Quartal 2014 und im ersten Quartal 2015.
Wenn dieses Paket an einem offenen Port ankommt, dann antwortet der Server mit dem SYN/ACK-Paket, um den Verbindungsaufbau zu akzeptieren. Er reserviert Arbeitsspeicher, schreibt in die Logs und wartet auf die abschließende ACK-Antwort des Kommunikationspartners, der den Empfang der Nachricht bestätigen soll.
Bei einer ACK-Reflection-Attacke ist die Ursprungs-IP in der SYN-Anfrage allerdings gefälscht, sodass der Server seine Antwort an den falschen Empfänger sendet. Wenn der Empfänger-Server die unerwünschten ACK-Pakete nicht verwerfen kann, dann kann er vom Angreifer in die Knie gezwungen werden.
Abwehr: Als die effektivste Maßnahme empfiehlt sich ein SYN-Proxy, zum Beispiel conntrack von Netfilter mit dem SYNPROXY-Modul. Im Idealfall sollte der SYN-Proxy über die Fähigkeit verfügen, IP-Adressen vertrauenswürdiger Kommunkationspartner für eine beschränkte Zeit im Cache aufzubewahren, um die Abarbeitung legitimer Anfragen zu beschleunigen („Active Verification“).

Angriffe auf App-Ebene

Neuerdings zielen DDoS-Attacken zunehmend auf ganz konkrete, gut dokumentierte Schwächen bestimmter Server-Dienste. Man spricht von DDoS auf Applikationsebene (Ebene 7 des OSI-Modells), wie sie etwa im Fall der sogenannten Slow-Read-Attacke auf den Webserver Apache statt­findet.
Apache öffnet für jede einzelne Verbindung einen neuen Thread und behält ihn für die Dauer der Kommunikation bei. Angreifer nutzen dieses Verhalten aus, indem sie Apache mit sorgsam dosierten Datenpaketen extrem langsam und aus vielen Quellen gleichzeitig beliefern. So lassen sich die Kapazitäten von Apache am einfachsten ausschöpfen.
Abwehr: Das Apache-Modul mod_evasive schafft Abhilfe. Außerdem sind die Module mod_reqtimeout zur Beschränkung der zulässigen Wartezeit auf den Eingang fehlender Datenpakete, mod_qos zur Priorisierung eingehender Anfragen und mod_security zum Abblocken von Code-Injection-Attacken zur Verteidigung empfehlenswert.
Seite
  1. Teil: DDoS-Angriffe erfolgreich abwehren
  2. Teil: DDoS als politisches Druckmittel
  3. Teil: DNS-Flood-Attacken und ihre Varianten
  4. Teil: Gezielte Datenmüll- und Smurf-Attacken
  5. Teil: ACK-Reflection und Angriffe auf App-Ebene
  6. Teil: DDoS-Angriffe aus der Cloud
Verwandte Themen

Mehr zum Thema