Abwehr von DDoS-Angriffen aus der eigenen Cloud
Das nun aber durch die Verlagerung von Workloads in das Internet, bzw. in die Cloud, deren Absicherung nicht gerade leichter geworden ist, wird bei der Lösungsfindung leider häufig nachrangig betrachtet. Seit Jahrzehnten ist vielen die Absicherung gegenüber dem Internet ein stetes Anliegen. Hier lauern ganz spezifische Gefahren, die sich im Laufe der Zeit extrem gewandelt haben. Angreifer nutzen natürlich auch Techniken, wie wir sie von den typischen Cloud-Schlagwörtern kennen: Flexibilität, Skalierbarkeit, Automatisierung.
Am konkreten Beispiel einer Angriffsart, den DDoS-Attacken (DDoS – Distributed Denial of Service), wollen wir nun im Folgenden den Aspekt des Monitorings bzw. Security Monitorings beleuchten.
DDoS-Attacken und -Schutz aus der Cloud
Distributed-Denial-of-Service-(DDoS-)Attacken sind eine besonders bekannte Variante der Angriffsvektoren im Internet. Diese Art von Angriffen hat das Ziel, einfach die Verfügbarkeit der Systeme, Dienste oder Prozesse durch die Herbeiführung einer Überlast zu beeinträchtigen. Dies geschieht durch verteilte Systeme (meist ein Botnet), die gemeinsam einen bestimmten Dienst zu überlasten versuchen. Der schematische Aufbau eines DDoS-Angriffs ist in Abbildung 1 dargestellt.
Wenn ein System „nicht mehr erreichbar ist, Netzwerkdienste ausfallen oder kritische Geschäftsprozesse wegen Überlastung blockiert werden“ ist der Grund häufig ein DDoS-Angriff. „Ziele von DDoS-Angriffen sind in der Regel aus dem Internet erreichbare Dienste“ [BSI-Lagebericht2019], hält auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem letzten Lagebericht zur IT-Sicherheit fest.
Dort und an anderer Stelle lässt sich viel über Beispiele von DDoS-Attacken und deren Auswirkungen lesen, die wir nicht alle wiederholen wollen. Tatsachen sind aber: DDoS-Attacken sind täglich präsent im Internet, es entstehen Milliardenschäden, die Gegenmaßnahmen an einem einzelnen Standort sind oftmals wirkungslos und DDoS-Angriffe und Cloud-Infrastrukturen sind ein untrennbares Paar.
Denn kritische Dienste, die in einer Cloud realisiert werden, können natürlich genauso durch DDoS-Angriffe in Mitleidenschaft gezogen werden. Ein Beispiel hierzu ist der Angriff auf den DNS-Dienst „Route 53“ von Amazon Web Services (AWS) im letzten Oktober, der für ca. 8h erheblich gestört war. Der Ausfall des Dienstes hatte zur Folge, dass Namen im AWS-DNS zeitweise nicht aufgelöst werden konnten und so die dahinterliegenden Dienste oftmals nicht erreicht wurden.
Als externe Schutzmaßnahmen gegen DDoS-Attacken werden sogenannte Scrubbing-Center oder DDoS-Mitigation-Dienste eingesetzt. Die hier angewandte Strategie ist die Umkehr der Angriffsmethode: die Lastverteilung von Schutzmaßnahmen. Wo bei DDoS-Angriffen viele Systeme es auf ein Ziel absehen, verteilen die DDoS-Mitigation-Dienste die Last auf viele Systeme und wenden dann dort verteilt lokale Schutzmaßnahmen an. Das bedeutet, der Schutz für Angriffe aus der Cloud (synonym für verteilte Systeme) sind Schutzmaßnahmen in der Cloud. Und das Letztere wird auch von allen großen Cloud-Providern als integrierter Dienst angeboten. Denn was läge näher, als verteilte Cloud-Rechenzentren und Zugangspunkte zu Cloud-Ressourcen nicht direkt mit Schutzmaßnahmen wie einer Anomalie-Erkennung auszustatten?
Weiterhin machen aber auch die einfache Nutzung und die schnelle Skalierbarkeit von Cloud-Services die Cloud als Angriffswerkzeug sehr attraktiv. Man findet natürlich überall fehlkonfigurierte Systeme oder solche mit Schwachstellen. Mit der Verlagerung von Systemen in die Cloud verschwinden nicht die entsprechenden Schwachstellen, die ausgenutzt werden können, um anschließend das System in ein DDoS-Angreifer-Botnet zu integrieren.
Ein Beispiel hierfür waren Schwachstellen in Elasticsearch-Datenbanken, die genutzt wurden, um mit den gekaperten Systemen Krypto-Mining und DDoS-Attacken zu betreiben [TrendMicro_DDoS]. In diesem Fall traf häufig eine Schwachstelle in der Software auf die fehlerhafte Konfiguration, sodass die Übernahme der Systeme möglich war. Insbesondere der letzte Aspekt – die Schwachstelle Mensch – verschwindet genauso wenig mit der Verlagerung von Diensten in die Cloud.
Ein weiterer Aspekt zu der These, dass Clouds und DDoS-Angriffe zusammengehören ist der, dass immer häufiger Cloud-Infrastrukturen wie die von Alibaba, Amazon, Google und Microsoft genutzt werden, um Quelle des Stör-Traffics zu sein. Hier können beispielsweise Cloud-Accounts gehackt werden, um mit dynamisch wachsender Anzahl von Servern Last zu verursachen und über verfügbare Regionen auf ein bestimmtes Ziel zu leiten. Auch ist es möglich, relevante Sicherheitseinstellungen bewusst umzukonfigurieren und so ein Kapern von außen zu ermöglichen. Die Übernahme eines Cloud-Accounts ist darüber hinaus auch nicht zwangsläufig notwendig. Über eigene Accounts der Angreifer lassen sich (automatisiert) Server hochfahren, die nur als Verstärker eines Angriffs dienen (sogenannte Amplification Attacks). Hier wird beispielsweise bei DNS der Umstand genutzt, dass das Volumen der Antwortpakete um ein Vielfaches höher ist als das Volumen der Anfrage.
Monitoring als Notwendigkeit
All diese Umstände verlangen nun, dass dem Schutz gegen DDoS eine konsequente Überwachung der eigenen (Cloud-)Infrastruktur zugrunde liegen muss. Denn:
Man braucht das Wissen, ob die Cloud-Provider ihre Dienste erbringen, um ggf. auf Alternativen umschwenken zu können. Im zuvor genannten Beispiel hätte der Schwenk zu einem alternativen DNS-Provider die Nicht-Verfügbarkeit der eigenen Dienste schnell beheben können. Vertraut man den Informationen der Cloud-Provider selbst, kann es manches Mal zu spät sein, da diese zwar ein originäres Interesse an bestmöglicher Verfügbarkeit haben (der eigene Ruf), aber ebenso eine Motivation, Vorfälle möglichst klein zu reden (Strafzahlungen wegen Bruch der vereinbarten Service Level Agreements – SLAs). Auch das Wissen darum, dass ein DDoS-Mitigation-Dienst erfolgreich den Verkehr umleitet und die Nutzung der dem Internet bereitgestellten Dienste nicht behindert, ist u.a. aus dem Blickwinkel der Leistungserbringung von Dienstleistern relevant.
Man braucht das Wissen, ob die selbst betriebenen Dienste funktionieren und erreichbar sind. Nur auf diese Weise kann man nachvollziehen, wo ggf. ein Fehler in der Leistungserbringung herrscht und ein DDoS-Angriff auf dem Weg zum Dienst die Nutzung unterbindet. Bei dieser Art von Überwachung, dem Application Monitoring, kann man wieder auf die Services der Cloud-Provider zurückgreifen. Diese ermöglichen es, zu jedem Zeitpunkt zu wissen, welche Prozesse eines Systems gerade mit welcher Auslastung laufen, von welchem Dienst diese ausgelöst wurden, wo im Workflow einer Applikation welche Systeme zum Einsatz kommen, ob ein Webserver auf http-Requests antwortet oder der Dummy-User sich erfolgreich anmelden kann. All das ist sehr hilfreich, um herausfinden zu können, ob die eigenen Systeme Teil eines DDoS-Botnets sind oder nicht. Allerdings liefert ein in die Cloud integriertes Application Monitoring keinen Einblick, inwiefern die Nutzung durch einen DDoS-Angriff überhaupt beeinträchtigt ist. Ein DDoS-Angriff, beispielsweise auf ein Unternehmen in den USA, könnte den Zugriff aus den USA auf Systeme in europäischen Cloud-Infrastrukturen erheblich beeinflussen, und aus Europa würde man keine Beeinträchtigung feststellen können. Das wird aber in dem Moment relevant, wenn wichtige Kunden des Dienstes in den USA sitzen.
Weiterhin braucht man zu jeder Zeit das Wissen, ob die Konfiguration der eigenen Systeme den (Sicherheits-)Vorgaben entsprechen. Zur Überwachung dessen gibt es reichlich Lösungen am Markt, die entweder regelmäßig Systeme auf ihre Konfiguration scannen oder sich beispielsweise über die APIs der Cloud-Provider benachrichtigen lassen, wenn ein bestimmtes System seine Konfiguration ändert. Wenn man nun aber den Angaben von Microsoft und Co. nicht genügend Vertrauen entgegenbringt und selbst mit externen Lösungen die Systeme scannen will, muss man die Verteiltheit von Cloud-Infrastrukturen mitbedenken. Hierzu später mehr.
Ein letzter Aspekt, den wir anreißen wollen, ist die Überwachung der Cloud-Nutzung. Klare Empfehlung zum Beispiel in den Bausteinen Cloud-Nutzung und Webanwendungen aus dem BSI-IT-Grundschutz-Kompendium ist es, dass Zugriffe immer authentisiert sein sollen. Wenn dies so umgesetzt wird, kann ein Monitoring dort ansetzen und feststellen, welcher Nutzer sich wann (erfolgreich oder auch nicht) an welchem Dienst angemeldet hat. So kann beispielsweise auch die missbräuchliche Nutzung des Cloud-Accounts auffallen oder die Aktionen des angemeldeten Nutzers auf Rechtmäßigkeit und „normales Verhalten“ analysiert werden.
Spätestens ab dem letzten Punkt sind wir nun in dem Bereich, wo wir das klassische Monitoring verlassen und den Boden der dauerhaften Anomalie-Erkennung zum Schutz gegen zielgerichtete Angriffe betreten – der Welt der SIEM-Systeme.
Einsatz eines Security Information and Event Management (SIEM)
In den vergangenen Jahren haben sich SIEM-Lösungen zunehmend als mächtige und hilfreiche Mittel zur automatisierten Erkennung von Angriffen etabliert. Im Laufe der Zeit haben sie sich kontinuierlich weiterentwickelt und sowohl ihre Analysetechniken als auch ihre Einsatzgebiete erweitert. Die Möglichkeiten eines SIEM gehen dabei weit über die eines gewöhnlichen Monitorings hinaus.
SIEM-Lösungen suchen nach Hinweisen auf Sicherheitsvorfälle (IoCs, Indicators of Compromise) und beziehen dazu Daten von verschiedenen, sicherheitsrelevanten Quellen innerhalb einer IT-Infrastruktur. Diese Daten werden gesammelt, normalisiert und mit einer Reihe von Methoden analysiert. Zudem können sie gespeichert und langfristig archiviert werden. Das SIEM bildet somit auch eine umfassende Quelle für digitale Beweismittel, die man im Rahmen forensischer Analysen sicherstellen kann [Insider-Artikel_ SecOps].
Eine große Stärke von SIEM-Lösungen bildet die Korrelation. Sie ermöglicht es, Zusammenhänge zwischen einzelnen Ereignissen herzustellen und Informationsverbünde ganzheitlich zu überwachen. Werden gesammelte Daten längerfristig gespeichert, kann die Korrelation auch auf zeitlicher Ebene ausgeweitet werden.
Im Zuge paralleler Entwicklungen im Cloud-Umfeld sind SIEM und Cloud auf verschiedene Weise miteinander verschmolzen. SIEM und Datenquellen werden nicht unbedingt am selben Ort betrieben, sondern können in unterschiedlichen Konstellationen in der Cloud oder On-Premises verteilt sein. Einige Cloud-Anbieter haben ihr Portfolio bereits um native SIEM-Cloud-Lösungen erweitert. Zu nennen sind hier unter anderem Azure Sentinel und Amazon GuardDuty.
Neben betrieblichen Aspekten haben sich auch die Anwendungsfälle von SIEM um das Cloud-Umfeld erweitert. In diesem Sinne kann ein Anwendungsfall für ein SIEM durchaus bedeuten, Daten aus der Cloud auf Sicherheitsvorfälle zu untersuchen.
Schwachstellenmanagement
Ein Beispiel für einen solchen Sicherheitsvorfall ist, wie wir ausgeführt haben, ein DDoS-Angriff. Ein SIEM kann eine Schlüsselposition beim Umgang mit einem solchen Sicherheitsvorfall einnehmen. Es bietet dabei sowohl Unterstützung bei der Erkennung des Angriffs als auch bei der Einleitung von Defensivmaßnahmen. Trotz seiner zentralen Rolle ist es jedoch nicht der einzige Faktor bei der Behandlung des Vorfalls. Maßgeblich für den Erfolg ist dabei auch die Zusammenarbeit mit der übrigen Sicherheitsinfrastruktur.
Am Anfang einer effektiven Abwehrstrategie steht allerdings ein funktionierendes Schwachstellenmanagement. Dessen Basis bildet das Wissen über vorhandene Assets in der eigenen Cloud. Hierdurch wird festgelegt, welche Ressourcen es überhaupt zu überwachen und zu schützen gilt.
Davon ausgehend muss betrachtet werden, welche Schwachstellen diese Assets aufweisen. Diese Betrachtung sollte sowohl solche in der Software als auch in der Konfiguration abdecken und zudem keine einmalige Untersuchung sein, sondern ein kontinuierlicher Prozess. Zu diesem Zweck kann ein Schwachstellenscanner eingesetzt werden, der die Assets in regelmäßigen Abständen und mit angemessener Scan-Tiefe auf aktuelle Sicherheitslücken untersucht.
Als grundlegendes Element der Abwehrstrategie ist bereits das Schwachstellenmanagement in die Analysen des SIEM einzubinden, welches so die gewonnenen Erkenntnisse zu den Schwachstellen der Infrastruktur erhält, sie protokollieren und in seine Korrelation einbeziehen kann.
Das SIEM muss hierzu Kenntnisse über die Systeme bekommen. Wichtige Aspekte sind z.B. Art und Version des Betriebssystems und der installierten Anwendungen. Durch die fortlaufende Einbeziehung von Sicherheitsintelligenzen (sicherheitsrelevante Informationen von entsprechenden Dienstleistern) in die Überwachung kann das SIEM prüfen, ob Assets von aktuellen Sicherheitslücken betroffen sind. Ist dies der Fall, fließen diese Informationen in die Risikobewertung und Korrelation des SIEM mit ein.
Werden bereits im Rahmen des Schwachstellenmanagements konkrete Gefährdungen entdeckt, sollten zeitnah Präventivmaßnahmen umgesetzt werden, um Sicherheitsvorfällen vorbeugen zu können. An erster Stelle steht hier das effektive, jedoch oftmals vernachlässigte Patchen von Software.
Was ist ein DDoS Angriff und wie können Sie sich schützen?
Jeder IT-Spezialist oder Managed Service Provider (MSP) hat schon von DDoS Angriffen gehört, oder sie vielleicht sogar schon miterlebt. Diese Distributed Denial of Service (DDoS) Attacken sind Cyberangriffe, die das Ziel haben, ganze Netzwerke oder einzelne Server durch eine totale Überlastung zum Absturz zu bringen.
Im Gegensatz zu normalen Denial of Service (DoS) Angriffen sind DDoS Angriffe äußerst schlagkräftig. Angreifer verwenden zahlreiche gekaperte Computer, Endgeräte im Internet of Things (IoT) oder Server, die von einem Ausgangspunkt ferngesteuert werden, und gleichzeitig als Verbund – häufig auch als Botnetz bezeichnet – ein Ziel (beispielsweise einen Server) angreifen.
Da diese Arten von Angriffen in allen Branchen eingesetzt werden, um Unternehmen zu Schutzgeld Zahlungen zu bewegen, müssen Sie als MSP Bescheid wissen über Fragen wie: Was ist ein DDoS Angriff? Wie kann ich einen DDoS Angriff erkennen? und Wie kann ich DDos Angriffe abwehren?
Dies und vieles mehr zum Thema DDos Angriffe erfahren Sie in diesem Artikel!
Ablauf eines DDoS Angriffes
Je nach Art des Angriffes, können DDoS Angriffe Server oder Netzwerke auf unterschiedliche Weise überlasten. Das hat zur Folge, dass Dienste oder Server abstürzen und damit nicht länger verfügbar sind. Eine Möglichkeit dafür ist, unterschiedliche Rechner mit Schadsoftware zu infizieren und damit unbemerkt diese Computer unter die Kontrolle der Angreifer zu bringen. Mit diesen ferngesteuerten Rechnern – häufig auch als Botnetz bezeichnet – können die Angreifer nun gezielte DDoS Angriffe starten. Mithilfe des zuvor aufgebauten Botnetzes können die Ziele der Angreifer attackiert werden, indem sie alle gleichzeitig das Ziel angreifen und beispielsweise den Server mit Anfragen regelrecht bombardieren.
Je mehr Rechner sich in dem böswilligen Botnetz befinden, desto größer ist auch die Schlagkraft des Angriffes. Server ohne DDoS Schutz können dieser riesigen Anzahl an Anfragen nichts entgegensetzen und sind häufig so überfordert, dass Webseiten sich gar nicht mehr oder nur äußerst langsam aufbauen.
Welche Arten von DDoS Angriffe gibt es?
Es gibt viele unterschiedliche Arten wie ein DDoS Angriff aussehen kann. Viele Experten sprechen sogar von mehr als 20 verschiedenen Möglichkeiten, wie DDos Angriffe gestaltet sein können, also auch 20 Sorten, gegen die Sie als MSP oder IT Dienstleister gewappnet sein sollten. Ganz grob können diese unterschiedlichen Angriffe in drei Arten von DdoS Attacke unterteilt werden:
Volumen: Diese sind die ganz traditionellen DDoS Angriffe, die umgangssprachlich immer gemeint sind. Diese Arten von Angriff funktionieren so: Eine riesige Menge an fake Requests (also scheinbaren Anfragen) werden an einen Server, beispielsweise einer Webseite, gesendet mit dem Ziel, diesen durch diese schiere Flut an Anfragen zu überfordern und dadurch lahm zu legen. Diese Arten von Angriffen können mit BpS (Bits pro Sekunde) gemessen werden.
Protokoll: Im Gegensatz zu den volumensbasierten Angriffen werden Protokoll Angriffe in Paketen pro Sekunde gemessen. Diese Arten von DDoS Angriff senden anstatt massenhaft Anfragen, ganze Pakete an die Netzwerk Infrastruktur, beziehungsweise andere Tools die diese Netzwerk Struktur verwalten. Ein sehr bekanntes Beispiel dafür sind die sogenannten SYN Floods.
Applikation: Diese Art von DDoS Attacke beschreibt Angriffe, die auf Applikations-Ebene ausgeföhrt werden. Sie greifen spezielle Web Applikationen an, was es schwierig macht sie abzuschwächen. Jeder Request wird vom Angreifer in böser Absicht eigens erstellt und werden in Anfragen pro Sekunde gemessen.
Um diese Angriffe möglichst schwer erkennbar zu machen, verwenden die Angreifer oft falsche IP Adressen, damit sie als Quelle des Angriffs nicht identifiziert werden können. Stattdessen lassen sie es häufig so aussehen, als würden die Angriffe vom Opfer selbst ausgehen oder von einem beliebigen Standort in der Welt. Häufig werden die Angriffe sehr groß angelegt indem Online Services dazu verleitet werden, auf diese Fake Requests zu antworten, was sie noch viel mehr überfordert, was dazu führt, dass diese Services irgendwann der Last nicht mehr standhalten können und möglicherweise am Ende einfach abstürzen.
Ziele einer DDoS Attacke
Das Ziel eines DDoS Angriffes ist es, das Ziel beziehungsweise seine Dienste lahm zu legen, oder wenigstens massiv zu verlangsamen. Die Ziele der Angreifer sind dabei vielfältig: Server, Webseiten, Clouds, Netzwerke und so weiter.
Häufig hat die fehlende Verfügbarkeit von Services dramatische Konsequenzen für die Opfer solcher Angriffe, sodass insbesondere Unternehmen daran interessiert sind, diese Arten von Angriffen abzuwehren. Hier können Sie als MSP als Berater und Partner für Ihre Kunden auftreten, um sie vor dieser Art Angriffe zu schützen und ihnen nicht nur den Verlust von möglichem Geschäft, sondern ebenso die häufig enormen Summen an Löse- oder Schutzgeldforderungen zu ersparen.
Gründe für eine DDoS-Attacke
Warum machen die Angreifer das überhaupt? Die Gründe für DDoS Angriffe sind sehr unterschiedlich.
Hacktivism
Politische Motive der angegriffenen Seite entsprechen nicht den Vorstellungen der Angreifer. So wurden in vielen Ländern Europas in den letzten Monaten zahlreiche Versuche gestartet, Wahlkämpfe, Wählerregistrierung oder Wahlen zu stören.
Erpressung
Viele Angriffe sind auch finanziell motiviert. Immer mehr Unternehmen aller Größen und Branchen geraten ins Visier der Angreifer. Wenn sich die Unternehmen weigern Schutzgeld zu bezahlen, drohen die Angreifer damit, die Webseiten der Firmen zu überlasten.
Blockade
Oft werden auch Unternehmen von ihrem direkten Mitbewerb angegriffen, um beispielsweise den Online-Handel oder die Online-Dienste der Mitbewerber zu behindern.
Diebstahl
DDoS Angriffe können auch zur Ablenkung dienen. Die IT Sicherheit ist ganz damit beschäftigt, diese Angriffe abzuwehren, sodass die Angreifer in der Zwischenzeit versuchen können, ungestört durch eine Hintertür ins Netzwerk zu schleichen.
Wer sind the DDoS Angreifer und welche Branchen sind betroffen?
Je nach Motivation können die Angreifer sowohl Hacktivisten als auch Kriminelle Banden oder Mitbewerber sein, und so gut wie alle Branchen und alle Unternehmensgrößen sind davon betroffen.
Wie lange dauert ein DdoS Angriff?
Abhängig von den Angreifern, den Schutzmaßnahmen der Opfer und der Wehrhaftigkeit der Angegriffenen kann die Dauer eines DDoS Angriffes natürlich stark variieren. Dadurch ist eine allgemein gültige Aussage nur schwer zu treffen. Allgemein kann jedoch gesagt werden, dass diese Angriffe in der Regel höchstens einige Tage dauern.
Daher ist es besonders wichtig, dass Sie als IT Dienstleister auf dieses Szenario vorbereitet sind, und sich selbst und Ihre Kunden jederzeit davor schützen können! Gerade für Unternehmen im Online Handel sind schon wenige Stunden wo die Webseite down ist unter Umständen fatal!
Wie erkennt man einen Ddos Angriff?
Je nach Art des Angriffes unterscheiden sich auch die Symptome eines DDoS Angriffes. Aber die ersten sehr eindeutigen Symptome, die jedem normalen User sehr rasch auffallen sind besonders langsame Webseiten, ewig lange Antwortzeiten des Servers oder gar, dass die Dienste nicht länger erreichbar sind.
Schutzmaßnahmen vor DDoS Attacken
Jetzt stellt sich natürlich die Frage, wie können Sie als MSP Ihr Unternehmen und das Ihrer Kunden schützen. Einerseits müssen Sie über diese mögliche Bedrohung Bescheid wissen, also haben Sie bereits den ersten Schritt getan, indem Sie diesen Artikel lesen!
Dann sollten Sie unbedingt Sicherheitskonzepte ausarbeiten, wie Sie Ihre Kunden schützen können. Das bedeutet, Sie müssen genau wissen, wie Sie einen DDoS Angriff als solchen einerseits erkennen, und ihn andererseits auch abwehren können. Wichtig ist im Zuge des Sicherheitskonzeptes auch zu wissen, wie die aktuelle Infrastruktur aufgebaut ist. Welche Geräte hängen im System, und wie sind sie miteinander verbunden? Wie alt oder neu sind sie? Welche Geräte sind nur temporär im System? Dabei kann Ihnen Atera zuverlässig helfen! Mit Atera erkennen Sie dank Netzwork Discovery alle Geräte im Netzwerk des Unternehmens Ihrer Kunden und können darauf aufbauend ein entsprechendes Sicherheitskonzept entwickeln.
Ein wesentlicher Bestandteil sollte in jedem Fall eine Möglichkeit sein, sich möglichst hohe Kapazitäten zu verschaffen, um immense Mengen an Anfragen verarbeiten zu können (beispielsweise mittels Cloud) da DDoS Angriffe darauf abzielen, das Ziel zu überlasten. Damit können Sie am einfachsten mit möglichst hoher Kapazität reagieren.
Wie stoppt man DDos Angriffe?
Das ist die Millionen Euro Frage! Sobald ein DDoS-Angriff begonnen hat, ist es schwierig, ihn sofort zu stoppen, ohne alle HTTP-Anfragen zu blockieren, was gewisse Ausfallzeiten bedeuten würde. Dies kann notwendig sein, um einen kompletten Absturz des Servers zu verhindern. Vorbeugende Maßnahmen sind ein kluger Schachzug zum Schutz vor DDoS-Angriffen, und wenn Sie in Client-Umgebungen arbeiten, sind diese unglaublich wichtig.
Nutzen Sie eine CDN-Lösung: Dies sind globale Scrubbing-Zentren, die ein Portprotokoll verwenden, um Ihren Datenverkehr zu „säubern“, um sicherzustellen, dass volumenbasierte Angriffe nicht durchkommen. Sie können Ihre Last auch gleichmäßig auf verteilte Server verteilen, was es für Angreifer schwieriger macht, sie alle gleichzeitig ins Visier zu nehmen.
Besucheridentifikationstechnologie: Diese Art von Lösung kann den Unterschied zwischen legitimen Website-Besuchern und Botnet-Traffic erkennen. Bösartiger Datenverkehr kann blockiert werden, bevor er die Website erreicht. Denken Sie daran, dass legitime Benutzeranfragen blockiert werden können.
Überwachen Sie das Besucherverhalten: Je mehr Sie über Ihre Besucher wissen, desto besser können Sie sicheres und unsicheres Verkehrsverhalten verstehen. Sie können sogar bestimmte Aufgaben erzwingen, bevor Sie eine verdächtige Anfrage durchlassen, wie z. B. Cookie-Herausforderungen und CAPTCHAs.
Erhöhen Sie Ihre Netzwerksicherheit: Firewalls und IDS können den Datenverkehr scannen, bevor sie ihn in das Netzwerk zulassen, und Web-Sicherheitstools können abnormalen Datenverkehr blockieren und nach Datenverkehr mit bekannten Angriffsmustern suchen. Die Netzwerk Segmentierung kann sicherstellen, dass ein Verstoß nicht das gesamte Unternehmen beeinträchtigt.
Ein Beispiel für einen DDoS Angriff
Eine neue Pizzeria (die Webseite) eröffnet und der zweiten Pizzeria in der gleichen Straße gefällt das nicht. Also versucht sie die Kunden daran zu hindern beim “Neuen” die Pizzen (Content) zu kaufen.
Also greift der Konkurrent die neue Pizzeria an, indem er Menschen anheuert, die in die Pizzeria rennen, sich hinsetzen aber nichts bestellen (fake Anfragen). Irgendwann sind alle Sitzplätze der Pizzeria belegt und keine gewöhnlichen Kunden (echte Anfragen) haben mehr Platz. Selbst, wenn die Pizzeria an einem Tag locker 500 Kunden (Anfragen) bedienen kann, wenn alle gleichzeitig kommen, ist die Pizzeria schlicht überfordert.
Was sind die Folgen eines Angriffes?
Egal, in welcher Form ein Unternehmen angegriffen werden, bei erfolgreichem Angriff wird den Unternehmen immer Schaden zugefügt. Häufig leiden die Opfer dieser Angriffe sogar noch Jahre später an den Folgen!
Diese Schäden können wirtschaftliche Schäden sein, da offline Webseiten innerhalb weniger Minuten viele tausend Euro kosten können, beispielsweise durch entgangene Gewinne.
Oder das Unternehmen erleidet einen irreparablen Imageschaden, der erst nach Jahren wieder behoben werden kann (oder gar nicht mehr).
Fazit
Vorsorgen ist besser als nachsorgen! Je schneller Sie sich und Ihre Kunden vor DDoS Angriffen wirkungsvoll schützen, desto leichter und verlässlicher können Sie diese abwehren.
Damit können Sie Ihren Kunden viel Geld ersparen, indem sie ihnen wirtschaftliche Schäden oder Imageschäden ersparen und können gleichzeitig Ihre Rolle als wertvoller Berater rasch weiter ausbauen!
Sehen Sie Atera in Aktion!
RMM Software, PSA und Remote Access werden Ihr MSP Unternehmen grundlegend verändern!
DDoS Angriffe einfach erklärt + 6 Tipps
Zutat Nummer 2: Der Zusammenhang zwischen DNS-Resolvern und DDoS-Attacken
Die gerade beschriebene Form des "IP-Spoofing", also dem absichtlichen Fälschen der Absender-IP, ist in den letzten Jahren immer mehr in die Richtung gegangen, dass versucht wird mit möglichst wenig Einsatz möglichst viel Bandbreite zu erzeugen.
Großer Hebel per Domain-Auflösung: Einer dieser Wege ist, mit gefälschtem Absender offene DNS-Server nach irgendwas zu fragen, was eine große Antwort erzeugt. Dadurch benötigt der Angreifer selbst vergleichsweise wenig Bandbreite und fällt daher auch weniger auf, das Opfer der Attacke bekommt trotzdem die volle Ladung ab.
Warum ist das so?
Die Anfrage nach einem DNS-Eintrag selbst ist nur etwa 20-60 Bytes groß (in unserem Analog-Beispiel die Postkarte), die Antwort vom DNS-Server hingegen kann problemlos mehrere Kilobytes groß sein! (in unserem Analog-Beispiel der fette Katalog).
Wo findet man besonders große DNS-Zonen ? Sehr beliebt scheint dabei besonders die DNS-Zone des "United States Department Of Commerce" (doc.gov) zu sein, welche tragischerweise über 8 KB groß ist. Das heißt also in konkreten Zahlen: Auf ein Anfragepaket mit 20 Bytes Größe erhalte ich eine Antwort, die 8243 Bytes groß ist - das ist über 412 Mal mehr als die Anfrage!
Nicht leicht rückverfolgbar: Wir denken daran: Die Anfrage wurde mit einer gefälschten Absenderadresse geschickt, ergo erhält auch nicht der Absender die Antworten. Beim eigentlichen Nutzer der IP-Adresse schlagen jetzt 8 KB große DNS-Antworten auf, die nie angefordert wurden!
Ziele unerreichbar machen: Schickt der Angreifer nun nicht nur eine DNS-Anfrage sondern zigtausende gleichzeitig (z.B. mit 10 Mbit/s gesamt - verteilt auf einige wenige hunderte gehackte Systeme), wird das Opfer mit DNS-Antworten (fast 500 Mbit/s) überflutet - und ist in der Folge kaum noch oder nur eingeschränkt erreichbar.
Da hierbei die Bandbreite des Angreifers extrem verstärkt wird, bewahrheitet sich der Name "DNS Amplification Attack" (deutsch "DNS-Verstärkungsangriff") dafür ganz offensichtlich!
Die Angreifer brauchen UDP-Dienste
Damit die Attacken in der Form funktionieren, werden UDP-Basierte Dienste benötigt. Diese arbeiten - im Gegensatz z.B. zu TCP - verbindungslos.
Was ist das nun schon wieder? Das verbindungsorientierte TCP-Protokoll ist darauf ausgelegt, in der rauen Wildnis des Internets mit hin und wieder defekten oder verloren gegangenen Datenpaketen umgehen zu können, ohne dass man am Ende kaputte Daten erhält.
Dazu müssen der Server und der Client der jeweiligen Gegenstelle jedes ausgetauschte Paket bestätigen, um sicherzustellen dass es beim Kommunikationspartner angekommen ist. Dieser Aufwand hat den großen Vorteil dass auch über extrem schlechte Verbindungen noch Daten übertragen werden können, aber natürlich hat dieser ganze Zirkus drumherum den Nachteil dass die effektive Datenübertragungsrate sinkt und die Latenz (Zeitspanne zwischen Anfrage und Antwort) steigt - also am Ende sich etwas langsamer anfühlt. Eine weitere Eigenschaft dieses Verfahrens ist, dass es zwingend eine in beide Richtungen funktionierende Kommunikation voraussetzt, welche bei gefälschten Absenderadressen nicht gegeben ist.
UDP hingegen ist es egal, was mit dem Paket passiert: Es wird gesendet und entweder kommt eine Antwort oder sie kommt nicht. Wenn sie kommt, kommt sie aber deutlich schneller als eine eine TCP-Verbindung ausgehandelt worden wäre, weshalb Dienste wie DNS primär über UDP arbeiten um die Geschwindigkeit der DNS-Auflösung zu erhöhen. Allerdings kann natürlich per UDP nicht mehr gewährleistet werden, dass die Datenpakete auch wirklich vom echten Absender kommen - denn hier ist keine aufwändige Aushandlung der Verbindung vorgesehen.
6 wertvolle Tipps: Was man selbst dagegen tun kann
Im folgenden geben wir sechs wertvolle Tipp's, mit denen Sie den Missbrauch, dass Ihre eigene Infrastruktur an solchen Angriffen teilnimmt, deutlich reduzieren können. Sicherlich sind dies alles Standard-Ratschläge, die aber dadurch nicht weniger gültig sind:
Tipp 1 - Dienste auf interne Netze beschränken: Oftmals werden Dienste auch unbeabsichtigt offen ins Netz gestellt, weil sie auf dem Router laufen ohne dass man es selbst bemerkt. Bei den meisten Routern lassen sich diese Dienste entweder auf bestimmte Netzwerkschnittstellen beschränken (so dass sie nur noch intern erreichbar sind) oder nur bestimmten internen IP-Bereichen zugänglich machen. Oder - wenn man den Dienst nicht benötigt - schaltet man ihn einfach ab ;-)
Tipp 2 - Vorsicht bei VPN-Tunneln: Wenn Sie Tunnelverbindungen mit öffentlichen IP-Adressen direkt von einem PC oder MAC aus aufbauen denken Sie daran, dieser die richtige Netzwerkzone zuzuweisen. Ein "Öffentliches Netzwerk" unter Windows beispielsweise lässt erstmal standardmäßig nichts rein, es sei denn, man konfiguriert dafür Ausnahmeregeln. Diese Ausnahmeregeln in der Firewall sollten aber auch nur jene Ports umfassen, die tatsächlich offen zugänglich sein sollen. Gleiches gilt auch, wenn Sie einen Router den VPN-Tunnel aufbauen lassen - einige Router verwenden für VPN-Tunnel automatisch eine weniger restriktive Firewallkonfiguration, weil sie davon ausgehen dass auf VPN-Tunneln nur private IP-Adressen genutzt werden.
Tipp 3 - Rate-Limits aktivieren: Bevor man einen (UDP-) Dienst mit Absicht offen ins Netz stellt, sollte man sich fragen: Warum will ich das eigentlich? Und muss das wirklich sein? Wenn kein Weg dran vorbei geht, sollte man sich um ein sinnvolles Rate-Limiting bemühen, welches den Dienst weniger "missbrauchsfähig" macht. Bei manchen Serverdiensten können diese Limits direkt konfiguriert werden, manchmal braucht es halbwegs intelligente Firewall-Regeln dafür. Vorsicht bei Rate-Limiting per Firewall: Man kann schnell den Dienst auch für legitime Nutzung unbenutzbar machen, wenn zu agressive Limits eingerichtet werden!
Tipp 4 - Firewall nutzen: Nutzen Sie möglichst eine Firewall, die nur die Ports öffnet, die man auch wirklich von außen erreichen will. So bleiben Dienste geschützt, die man gar nicht weltweit anbieten will und dennoch laufen müssen.
Tipp 5 - Eigen-Check per Portscan: Machen Sie einen Portscan über Ihre IP-Adresse, der bekannte Schwachstellen abklopft. Heise Online bietet einen solchen Dienst kostenlos an, mit dem man seine eigene IP-Adresse schnell und einfach prüfen kann: www.heise.de/security/dienste/Netzwerkcheck-2114.html . Auch wir machen in unregelmäßigen Abständen bei akuten Sicherheitsproblemen Portscans auf gefährdete Ports und Protokolle durch unsere Netzwerke. Sobald wir solche Probleme selbst bemerken oder von Dritten darauf aufmerksam gemacht werden, informieren wir Sie per E-Mail darüber.
Tipp 6 - Kennwörter - Sicherheit auch mit TCP: Wenn Sie etwas ins Netz stellen, welches nur von Ihnen oder ausgewählten Personen genutzt werden soll (z.B. Webcams oder Dateifreigaben), sollten Sie diese natürlich mit Kennwörtern schützen. Denken Sie auch daran, die Standard-Zugangsdaten die in jedem Handbuch zu finden sind abzuändern. Das sicherste Kennwort hilft nicht, wenn gleichzeitig noch der Zugang "admin" mit Passwort "1234" existiert ;-) Beliebt sind auch (gerade bei Virtualisierungsumgebungen) VNC-Zugänge ohne Kennwort, mit denen aus der Ferne die virtuelle Maschine gekapert werden kann.
Zusammenfassung:
Ich hoffe ich konnte den Effekt von DDoS-Angriffen verständlich erklären sowie einige Hilfen geben um eigene Infrastruktur vor einem Missbrauch zu schützen.
Wir haben hier bei uns in der Technik leider immer wieder mit solchen Angriffen oder Hinweisen auf offene Dienste zu tun - und freuen uns von daher über jedes einzelne abgesicherte Gerät...
Gerne freue ich mich auf Ihre Fragen und Kommentare über eigene Erfahrungen !
