DDoS-Angriffe aus der Cloud

Die wachsende Verbreitung von DDoS-Attacken trifft besonders stark diejenigen Unternehmen, die über eine skalierbare Infrastruktur in der Cloud verfügen, ihre Infrastruktur aber unzureichend schützen.

Noch vor einigen Jahren war es üblich, bei DDoS-Angriffen einen Teil der Last in die Cloud auszulagern und so aus der elastischen Skalierbarkeit der IT-Infrastruktur einen Nutzen zu ziehen. Inzwischen sind die Angriffe aber so raffiniert, dass gerade der größte Vorteil der Cloud, die Skalierbarkeit, dem Geschädigten zum Verhängnis werden kann.

Weil zum Beispiel ein cloudbasiertes Content Delivery Network (CDN) skalierbar ist, kann es eigentlich Attacken mit einem hohen Datenvolumen aufnehmen und das Ausschöpfen der Ressourcen so wesentlich erschweren.  Wenn die Angreifer aber stets andere, nicht vorhandene Daten anfragen, können sie das CDN dazu veranlassen, eine immer weiter wachsende Last auf das eigene Rechenzentrum des Opfers loszulassen. 

Diese Last wird von den vorhandenen Sicherheitssystemen nicht unterbunden, weil die bösartigen Anfragen vom CDN kommen und sich deshalb mit einer vertrauenswürdigen IP-Adresse ausweisen. Das Resultat ist eine DDoS-Attacke des eigenen CDNs auf das eigene Rechenzentrum.

Nicht legitime Anfragen lassen sich in diesem Fall nämlich weder anhand der IP-Adresse blocken noch anhand des Datenvolumens identifizieren. Die Lastverteilung eingehender Angriffe auf verschiedene Knoten des CDNs sorgt dafür, dass sie, weil sie sich mit der IP-Adresse des CDNs tarnen, „unter dem Radar“ fliegen, mit legitimen Datenströmen gemischt werden (Multiplexing-Verfahren) und erst dann hochkonzentriert die Zielsysteme bombardieren. Anders als vermutet bietet die Cloud nicht nur keinen Schutz vor DDoS, sondern der Angreifer nutzt die Infrastruktur des Opfers aus, um die IP-basierte Verteidigung auf dem Ziel-Server aufzuheben und so größeren Schaden anzurichten.

Abwehr: Um solche HTTP-DDoS-Angriffe abzuwehren, lassen Sie die HTTP-Header inspizieren. Der X-Forwarded-For-Header (XFF) gibt Aufschluss über den tatsächlichen Ursprung der Anfrage – und ermöglicht das Abblocken der Attacken.

IT-Profis konnten sich bisher auf zwei Phasen einer DDoS-Konfrontation fokussieren: präventive Maßnahmen und nachträgliche Verbesserungen. Die eigentliche DDoS-Attacke ließ sich mehr oder weniger „aussitzen“.

Bei massiven DDoS-Attacken in der Cloud ist das nicht mehr möglich. DDoS-Angriffe in der Cloud dauern typischerweise zwischen mehreren Tagen und mehreren Wochen und finden abwechselnd über mehrere Vektoren statt. Die Zweiphasen-Verteidigung ist daher nutzlos geworden. Das IT-Fachpersonal kommt deshalb nicht mehr umhin, eine DDoS-Attacke aktiv zu kontern.