slider

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren - Prof. Dr. Norbert Pohlmann

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren gezielte Überlastung von Internet-Diensten

Was ist Distributed Denial of Service (DDoS)?


Distributed Denial of Service (DDoS) Angriffe sind in der Regel von Internet-Aktivisten und/oder kompromittierten IT-Systemen, die von Angreifern dazu genutzt werden, ausgesuchte Ziel-IT-Systeme koordiniert mit einer großen Last spezieller Anfragen durch Erschöpfung der verfügbaren Ressourcen (CPU, RAM, Bandbreite, …) lahmzulegen.

Es gibt Botnetze mit sehr vielen Bots (kompromittierten IT-Systemen mit Malware): 1000, 10.000, 100.000 oder sogar 1.000.000. Wenn ein Angreifer 100.000 Bots nutzen kann, jeder Bot 100 KBit/s upstream hätte (also nur ein Bruchteil der verfügbaren Bandbreite), dann könnte der Angreifer mit 10 G Bit einen DDoS Angriff durchführen. Bei 500.000 Bots und 200 KBit/s Bandbreite hätte der Angreifer 100 GBit/s zur Verfügung. Anti-DDoS-Verfahren haben das Ziel DDoS-Angriffe zu erkennen und zu verhindern. Dazu gibt es unterschiedliche Cyber-Sicherheitsmechanismen.

Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren gezielte Überlastung von Internet-Diensten
Abbildung: Gezielte Überlastung von Internet-Diensten – © Copyright-Vermerk


Gezielte Überlastung von Internet-Diensten

Durch eine Kombination unterschiedlicher DDoS-Angriffsmethoden kann ein Angreifer unterschiedliche Teile eines Internet-Dienstes speziell überlasten sowie flexibel auf unzureichende Abwehrmaßnahmen und deren Schwachstellen reagieren.

Folgende Teile der Dienst-Architektur können Ziel von DDoS Angriffsmethoden werden:

DDoS-Angriff zur Überlastung der verfügbaren Bandbreite

Der Angreifer produziert so viele unsinnige Datenpakete, dass die Bandbreite nicht mehr ausreicht, um die gewünschten Datenpakete zum Server zu transportieren. Bei hoher Last wird die Quality of Service schlecht und bei extremer Last muss der Router die meisten Datenpakete verwerfen, weil die Warteschlangen voll sind. Dadurch sind die eigentliche Anwendung oder der Dienst nicht mehr nutzbar.

DDoS-Angriff zur Überlastung des verfügbaren RAMs

Hier kann ein Crash oder ein Überlastungszustand durch Angreifer aufgrund von Fehlern in der Implementierung oder Eigenarten verschiedener Protokollfamilien, insbesondere auch bei eingesetzten Verschlüsselungsverfahren, hervorgerufen werden. Ebenfalls kann eine Auslastung des RAM durch sehr viele unvollständige Verbindungsanfragen eines Angreifers hervorgerufen werden, was die Verfügbarkeit eines Dienstes schnell stark einschränkt.

DDoS-Angriff zur Überlastung der verfügbaren CPU-Ressourcen

Anwendungsspezifisch erzeugte Anfragen durch Angreifer, die auf Fehler oder wenig performant implementierte Teile einer Anwendung zielen. Dazu gehören auch harmlos anmutende Funktionen wie Hashing und datenbankintensive Suchanfragen, die zum Beispiel die CPU-Ressourcen für reale, gewünschte Anfragen nicht mehr verfügbar machen. Diese Angriffe werden auch „Low and Slow“ genannt, wenn sich die für einen solchen Angriff benötigten Netzwerkpakete hinsichtlich Frequenz und Payload kaum oder gar nicht vom gewöhnlichen Datenverkehr unterscheiden lassen.

Reflection und Amplification

Ein DDoS-Trend der vergangenen Jahre sind Reflection- beziehungsweise Amplification-Angriffe, auch Distributed-Reflected-Denial-of-Service (DRDoS) genannt. Diese Angriffe machen sich in erster Linie fremde Server mit UDP-Netzwerkprotokollen zunutze, die ein relativ kleines Anfragepaket mit sehr großen Paketen beantworten. Die Reflection-Eigenschaft beruht auf IP-Spoofing, womit die Antwort an eine beliebige anzugreifende Ziel-IP gelenkt wird. Der Angreifer muss für so einen Angriff keine Kontrolle über den fremden Server gewinnen. Prominentester Vertreter solcher Angriffe ist der eigentlich veraltete NTP Monlist-Befehl. Dieser sendet als Antwort die Adressen der letzten 600 IT-Geräte, die sich mit dem NTP-Server verbunden haben. Daraus ergibt sich ein Verstärkungsfaktor von über 200, der das Protokoll damit sehr attraktiv für Angreifer macht. Das bedeutet, wenn der Angreifer 1 Byte zu einem Amplification Server sendet, schickt dieser 200 Byte an das Angriffsziel.

Distributed Denial of Service (DDoS)
Abbildung: Prinzip eines Amplification-Angriffs © Copyright-Vermerk


Viele weitere Protokolle sind anfällig für derartigen Missbrauch, darunter DNS, SNMP und sogar P2P-Protokolle verschiedener Botnetze. Ein anderes Beispiel für das Ausnutzen von Software für Amplification ist die Pingback-Funktion der bekannten CMS- beziehungsweise Blogging-Software WordPress. Diese Funktion erlaubt es, Anfragen von einer WordPress-Instanz zu anderen Webseiten zu schicken, um Querverweise zwischen Blogs zu generieren. Diese Funktion lässt sich einfach für Verfügbarkeitsangriffe missbrauchen, kann aber inzwischen mithilfe eines Plug-ins, das gezielt entsprechende Pingback-Funktionen im XML-RPC-Modul von WordPress deaktiviert, verhindert werden. Ein Angreifer schickt hierbei Pingback-Requests mit der anzugreifenden Webseite als Ziel an beliebig viele WordPress-Seiten. Diese kontaktieren daraufhin alle das anzugreifende IT-System. Als Nebeneffekt stehen dem Angreifer mit dieser Methode nahezu beliebig viele verschiedene Source-IP-Adressen für einen DRDoS-Angriff zur Verfügung, der in erster Linie auf eine Überlastung der verfügbaren Anbindung seitens des angegriffenen Dienstbetreibers zielt. Besonders kritisch wird ein derartiger Angriff, wenn ein Botnetz-Betreiber mehrere Amplification-Server von verschiedenen Teilen seines Botnetzes aus parallel ansteuert. Laut Akamai PLXsert Q4 2014 State of the Internet – Security Report liegt der Anteil von Reflection-Angriffen im Vergleich zu allen DDoS-Angriffen inzwischen bei etwa 40 %.


Anti-DDoS-Verfahren (Abwehrstrategien gegen Angriffe auf die Verfügbarkeit)

Auf einen DDoS-Angriff sollte jedes Unternehmen vorbereitet sein, dessen Geschäft von der Verfügbarkeit seiner Internet-Dienste abhängig ist. Aber auch alltäglicher Geschäftsbetrieb kann durch einen DDoS-Angriff stark beeinträchtigt werden, beispielsweise wenn ein VPN-Gateway beziehungsweise dessen Anbindung überlastet wird oder Mailserver nicht mehr erreichbar sind. Eine Abwehrstrategie eines Unternehmens gegen DDoS-Angriffe kann dabei aus drei grundlegenden Kategorien bestehen:

Cyber-Sicherheitsrichtlinien zum Schutz vor Verfügbarkeitsangriffen

  • DDoS-Abwehrstrategie (Risiko, Folgeschäden)
  • Regelmäßiges Überprüfen und Testen der DDoS-Abwehrstrategie

On-Site-Robustheitsmaßnahmen

On-Side-Mechanismen machen IT-Systeme robuster, können aber DDoS-Angriffe nicht gänzlich verhindern.

  • Aufrüsten der Ressourcen (Anbindungsbandbreite und leistungsstärkere Server (CPU, RAM, …)
  • Sofortmaßnahmen bei einem aktiven Angriff (Whitelisting, Log-in-Wall, Captchas, IP-Adressbereiche – Geolocation – blockieren)
  • Anti-DDoS Appliance

Ein schnell installierter Basisschutz gegen Verfügbarkeitsangriffe auf die eigenen Dienste sind DDoS-Appliances. Auch viele Next-Generation-Firewalls bieten inzwischen DDoS-Schutzfunktionen.

Distributed Denial of Service (DDoS)
Abbildung: Anti-DDoS-Appliance © Copyright-Vermerk


Off-Site-Robustheitsmaßnahmen / Nutzung von Dienstleistern

Bei Off-Side-Möglichkeiten wird im Prinzip die Internet-Anbindung anders strukturiert, sodass Redundanzen geschafft werden, mit denen sich eine Ausschöpfung der Ressourcen verhindern lässt.

Traffic-Scrubbing-Netze (Verkehrssäuberungs-Netze – spezielle autonome Systeme)

Robustheitsanbieter betreiben spezielle autonome Systeme, die sehr gut dabei helfen, DDoS-Traffic zu filtern. Bei dieser Methode ist die Infrastruktur speziell für die Filterung von DDoS-Angriffen konzipiert. Mithilfe dieser Abwehr-Technologie kann eine gesamte Infrastruktur mittels eines BGP-Rerouting-Mechanismus vor DDoS-Angriffen geschützt werden.

Distributed Denial of Service (DDoS)
Abbildung: Ein DDoS-Angriff wird im Hot-Standby durch das Modul „DDoS Erkennung“ identifiziert © Copyright-Vermerk


Content-Delivery-Network (CDN)

Ein Content-Delivery-Network (CDN) verteilt statische Inhalte redundant via Caching oder Replikation auf Servern, die an vielen verschiedenen Standorten in verschiedene autonome Systeme eingebunden sind.

Distributed Denial of Service (DDoS)
Abbildung: Content-Abruf in einem CDN mit Clustern in verschiedenen autonomen Systemen © Copyright-Vermerk


Mega-Cloud

Eine weitere Lösung ist eine Mega-Cloud. Hier können Anwendungen, Datenbanken, Webseiten und Inhalte direkt in einer gesicherten Cloud abgelegt werden. Die Cloud-Umgebung bietet viele redundante Ressourcen in einer weltweit verteilten Umgebung.

Distributed Denial of Service (DDoS)
Abbildung: Mega-Cloud mit hoher Redundanz an Ressourcen an vielen verteilten Standorten © Copyright-Vermerk



Cloud-Filter – redundante Kapazitäten mit Filtertechnologie

Dienstleister von Cloud-Filternetzen vereinen alle bisher vorgestellten Konzepte in einer Lösung. Sie bieten unterschiedliche Schutzstufen für Webserver und Infrastrukturen. Die Anbieter agieren hier als Reverse-Proxy über einem weltweiten Content Delivery Network (CDN) mit DNS-Servern, Caching, Blocklisten, BGP Origin Protection, Web-Application-Firewall (WAF), Malware-Scanner, Spam-Schutz und in Bezug auf Schutz vor DDoS-Angriffen verschiedenen modernen Cyber-Schutzmechanismen.

Distributed Denial of Service (DDoS)
Abbildung: Schutz durch die Cloud © Copyright-Vermerk



Zusammenfassung: Distributed Denial of Service (DDoS)

Mit dem Internet-of-Everything kommt – mit Zombie-Armeen (mit Malware infizierte IT-Systeme) aus vielen schlecht gesicherten Embedded-Devices – ein zusätzlicher Schwung von erfolgreichen DDoS-Angriffen. Die Angriffe kommen schnell und meist unvorhergesehen. Verantwortliche in Firmen und Organisationen, deren Umsatz und Geschäftsbetrieb von Internet-Diensten abhängig ist, sollten sich um Robustheitsmaßnahmen mit passender Abwehrstrategie bei DDoS-Angriffen kümmern.

Mit Cyber-Sicherheitsrichtlinien zum Schutz vor Verfügbarkeitsangriffen, sicheren Konfiguration von Diensten sowie On-Site-Robustheitsmaßnahmen kann die Robustheit vergrößert werden.
Aber der eigentliche wirksame Schutz wird über die verschiedenen Off-Site-Dienstleistungsmodelle gewährleistet.


Weitere Informationen zum Begriff “Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren”

Vorlesung: „Cyber-Sicherheitsmaßnahmen gegen DDoS-Angriffe“

Artikel:
„Distributed Denial of Service Attacks (DDoS) – Wie robust sind Dienste im Internet?“

„Von überall her – Internetdienste vor DDoS-Angriffen schützen“

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

It’s all about Trust!

Zurück zur Übersicht




Summary
Distributed Denial of Service (DDoS)
Article Name
Distributed Denial of Service (DDoS)
Description
Ein Distributed Denial of Service (DDoS) Angriff zielt darauf, verfügbare Ressourcen (CPU, RAM, Bandbreite …) eines IT-Systems zu erschöpfen, um dieses lahmzulegen. DDoS-Angriffe werden in der Regel von Internet-Aktivisten und/oder kompromittierten IT-Systemen umgesetzt.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren gezielte Überlastung von Internet-Diensten
Distributed Denial of Service (DDoS) / Anti-DDoS-Verfahren Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten