Distributed Denial of Service bekämpfen

Hybride DDoS-Abwehr

25. September 2018, 07:00 Uhr   |  Guido Schaffner

Hybride DDoS-Abwehr

DDoS-Angriffe (Distributed Denial of Service) nehmen in ihrer Komplexität und in ihrem Volumen zu. So erreichten DDoS-Angriffe durch offene Memcached-Server im März Rekordspitzenwerte von 1,7 TBit/s. Vor diesem Hintergrund sind sich unabhängige Sicherheitsexperten einig, dass Unternehmen hochvolumige Attacken nicht mehr alleine oder über lokal installierte Lösungen abwehren können. Es empfiehlt sich ein hybrider Ansatz aus lokalen und Cloud-Komponenten.

Das Risiko, DDoS-Opfer zu werden, nimmt für Unternehmen wie auch für Service-Provider zu. So sahen sich Unternehmen in der DACH-Region letztes Jahr mit 22 DDoS-Angriffen pro Stunde konfrontiert. Der Angriff durch offene Memcached-Server auf Github Ende Februar stellte erstmals einen Rekord mit 1,3 TBit/s Angriffsvolumen auf, nur wenige Tage später übertroffen durch 1,7 TBit/s, gerichtet gegen einen US-amerikanischen Provider. Dies ist die größte bis dato gemessene DDoS-Bandbreite.

Da Memcached-Server typischerweise über relativ breitbandige Zugriffsverbindungen verfügen und sich in IDCs (Internet-Datacenter) mit Hochgeschwindigkeits-Transitnetzwerken befinden, eignen sie sich sehr gut für Missbrauch durch DDoS mit hoher Bandbreite: Ende Februar gab es rund 50.000 ungesicherte Memcached-Installationen im Internet, die als DDoS-Reflektoren (Verstärkungsfaktor bis zu 500.000) zum Einsatz kamen.

LL10S02a
©

Unternehmen befürchten vor allem, Opfer von Ransomware und APT-Angriffen zu werden, sowie Betriebsunterbrechungen durch DDoS. Bild: Netscout Arbor

In den Wochen nach den beiden großen Angriffen sank die Zahl der offenen Installationen schnell auf 20.000, seitdem ist sie sukzessive auf rund 3.500 zurückgegangen. Doch Beobachtungen haben gezeigt, dass die Angriffsfrequenz im April wieder stieg und Mitte Mai fast das gleiche Niveau wie im Februar erreichte: Zwar wurden viele offene Memcached-Server abgeschaltet, doch wissen Hacker diese weiterhin als Angriffswerkzeuge zu nutzen. Denn um nicht darauf angewiesen zu sein, unsichere Installationen zu finden, setzt die Booter/Stresser-Community eigene, leicht zu kompromittierende Server weltweit bei verschiedenen Hosting-Providern ein. Diese verwenden die Übeltäter als Memcached-DDoS-Reflektoren, bis der Hosting-Provider den Missbrauch erkennt und die Server abschaltet.

Memcached hat sich somit als weiterer DDoS-Angriffsvektor etabliert, ebenso wie DNS, NTP, SSDP und zahlreiche andere Dienste und Protokolle. Angriffe im TBit/s-Bereich, die eine IT-Infrastruktur über Tage lahmlegen können, bleiben somit weiterhin eine große Gefahr für Unternehmen und Provider. Bei mehr als jedem zweiten Unternehmen in Deutschland steht der Betrieb im Falle eines Cyberangriffs ohne funktionierende IT-Systeme tatsächlich still, so eine Umfrage der Anwaltskanzlei Bird & Bird unter 250 Entscheidungsträgern.

IoT befeuert volumetrische DDoS-Angriffe

Neben offenen Memcached-Server bietet auch die Verbreitung von IoT-Gerätschaft (Internet of Things) Angreifern großes Potenzial, um hochvolumige Angriffe zu generieren: Das Mirai-Botnet hat es mit 500.000 missbräuchlich genutzten IP-basierten Endgeräten vorgemacht. Und seit der Veröffentlichung des Quellcodes von Mirai haben Kriminelle das IoT-Botnet als Framework für die Entwicklung neuer und verbesserter Malware verwendet.

LL10S02b
©

Die Auswirkungen von DDoS-Angriffen reichen von Reputations- und Kundenverlust bis zu Strafzahlungen wegen Regularienverstößen. Bild: Netscout Arbor

IBM geht davon aus, dass es 2020 rund 30 Milliarden IoT-Geräte geben wird, bis 2025 sollen es bereits 75 Milliarden Geräte sein. Da vernetzte IP-basierte Geräte in ihrer Mehrheit nach wie vor hardware- und softwareseitig ungenügend gesichert sind, steigt die Wahrscheinlichkeit, dass IoT-Botnets und hochvolumige Angriffe weiter zunehmen. Der Provider-Verband Eco hat festgestellt, dass von etwa 175.000 untersuchten Rechnern in Deutschland 38 Prozent mit Bots infiziert waren. Und im April 2018 lag Deutschland laut Botnet-Tracker auf dem vierten Platz in der Liste der Botnet-Länder hinter China, den USA und Frankreich. Bedenklich ist vor diesem Hintergrund auch, dass jedes dritte Unternehmen in Deutschland laut Bird & Bird keine regelmäßigen umfassenden Sicherheitstests wie etwa Penetrationstests durchführt. Und nur 63 Prozent setzen überhaupt Lösungen zur Erkennung von Cyberangriffen ein.

Hybride Sicherheitslösungen

Weil DDoS an Komplexität und Volumen zunimmt, empfehlen Sicherheitsexperten den Einsatz hybrider DDoS-Abwehrlösungen. Diese kombinieren lokale Schutzkomponenten mit Cloud-basierten Abwehrmechanismen. Die Vor-Ort-Komponente bietet Funktionen, mit denen sie einen Großteil der Angriffe erkennen und abwehren kann, seien es Attacken auf Applikationsebene oder Überlastungsangriffe (State Exhaustion) gegen Firewalls, Intrusion-Protection-Geräte, Load Balancer und andere Infrastrukturkomponenten. Auf der Applikationsebene sind vor allem sogenannte "Low and Slow"-Angriffe äußerst schwierig zu identifizieren. Cloud-Komponenten übersehen sie aufgrund ihres geringen Datenvolumens meist. Angriffe auf Applikationsebene sehen zunächst harmlos aus, führen aber ganz allmählich zur Überlastung der Ressourcen von Applikations-Servern: Über scheinbar legitime und harmlose Anfragen versucht der Angreifer, Web- oder DNS-Server lahmzulegen. Er ruft zum Beispiel häufig hintereinander eine Webpage auf, die viele und aufwendige Datenbankabfragen ausführt, etwa eine Suchfunktion. Irgendwann ist der Dienst überlastet und kann nicht mehr auf diese Anfragen reagieren.

Die Cloud-Komponente wiederum ist für die Abwehr volumetrischer Angriffe erforderlich, wie die durch offene Memcached-Server oder Botnets verursachten Offensiven. Bei einer hybriden DDoS-Lösung sind beide Komponenten über einen intelligenten Mechanismus so integriert, dass die Abwehr in der Cloud automatisch aktiviert wird, wenn die Größe eines Angriffs den vorgegebenen Schwellenwert überschreitet und die lokale Komponente oder die Anbindung nicht mehr über ausreichend Abwehrkapazität verfügt.

Derartige hybride Lösungen müssen in der Lage sein, in Echtzeit mit der Cloud-Komponente des Service-Providers zu kommunizieren, um Abwehraktionen zu synchronisieren. Außerdem müssen sie Angriffe automatisch - also ohne zeitraubenden manuellen Eingriff - in die Cloud leiten, wenn die Größe eines Angriffs einen vorgegebenen Schwellenwert überschreitet. Denn bereits einige Sekunden können den Unterschied zwischen erfolgreicher Abwehr und extrem kostspieligem Ausfall des Netzwerks ausmachen. Alle Maßnahmen, mit denen sich die Zeitspanne zwischen dem Erkennen einer Bedrohung und der Reaktion darauf verkürzen lässt, sind daher essenziell. Pro Ausfall durch einen erfolgreichen Angriff müssen Unternehmen mit einem Schaden von durchschnittlich 8.000 bis 80.000 Euro rechnen.

LL10S02c
©

DDoS-Angriffe in Deutschland. Bild: Netscout Arbor

Kriminelle nutzen heute oft einen dynamischen Mix aus den oben genannten Angriffsarten, also volumetrischen und State-Exhaustion-Angriffen sowie Offensiven auf Applikationsebene. Solche Multivektor-Vorgehensweisen richten sich gleichzeitig gegen die Verbindungsbandbreite, Applikationen, Infrastrukturen und Dienste. Hacker setzen also einen volumetrischen Angriff ein, um eine Attacke gegen einen bestimmten Aspekt einer Anwendung oder eines Diensts auf Layer 7 zu tarnen. Für Unternehmen sind solche kombinierten Angriffe schwer zu erkennen und kompliziert abzuwehren. 59 Prozent der Service-Provider und 48 Prozent der weltweit befragten Unternehmen haben im letzten Jahr Multivektor-Angriffe verzeichnet. Gegenüber dem Vorjahr haben diese komplexen Angriffe damit weltweit um 20 Prozent zugenommen.

Um sich adäquat verteidigen zu können, benötigen Unternehmen eine Lösung, die vor sämtlichen Arten von DDoS-Angriffen schützt. Firewalls oder Intrusion-Prevention-Systeme, die den Datenverkehr aktiv auf Sicherheitsereignisse überwachen, sind dazu nicht in der Lage. Beim richtigen DDoS-Schutz sollten Unternehmen deshalb den Aspekt der Automation beachten. Eine intelligente Lösung, die Angriffe früh erkennt und Abwehrmaßnahmen automatisch einleitet, bevor Sicherheits- oder Netzwerkteams überhaupt darauf aufmerksam werden, kann den entscheidenden Zeitvorteil verschaffen. Allerdings muss sichergestellt sein, dass die Automation nur den Angriffsverkehr und nicht auch den legitimen Datenverkehr blockiert.

Mirai und seine Ableger
Ableger und Weiterentwicklungen von Mirai wie Satori, JenX, OMG und Wicked nutzen die gleichen Angriffstypen, die der ursprüngliche Mirai-Quellcode unterstützt. Die folgenden DDoS-Fähigkeiten existieren in Mirai und OMG: TCP-Flooding, UDP-Flooding, VSE Request Flooding (Valve Source Engine), GRE-Flooding, pseudozufällige DNS-Label-Prepending-Angriffe sowie HTTP GET-, POST- und HEAD-Angriffe. Satori, JenX und Wicked unterstützen ebenfalls diese DDoS-Funktionen, mit Ausnahme der HTTP-Angriffe.

Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor, www.netscout.com/arbor.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Automatisierte Abwehr von DDoS-Angriffen
Link11-Bericht: 160 DDoS-Angriffe pro Tag
DDoS-Angriff mit 1,7 TBit/s gemessen

Verwandte Artikel

DDoS

DDoS-Abwehr