Unter (D)DoS Mitigation versteht man Methoden einen (D)DoS-Angriff abzuwehren. DoS (Denial of Service) bezeichnet zunächst nur die Nichtverfügbarkeit eines oder mehrerer Dienste, wie z.B. der Webserver- oder Mailserverprozess eines Servers.
In meinem Beitrag skizziere ich die Vor- und Nachteile verschiedener Methoden zur (d)DOS Mitigation. Dabei geht es um Anti-Spam Techniken wie Remote Triggerd BlackHoling und Traffic Washing.
Stehen bestimmte Dienste nicht nicht zur Verfügung, muss man im ersten Schritt untersuchen, ob es sich um technische Probleme des jeweiligen Systems handelt oder tatsächlich einen Angriff vorliegt, bei dem der Dienst oder Server durch gezielte Überlastung blockiert werden soll.
Insbesondere bei DDoS, Distributed Denial of Service, bei dem die Dienstblockade von mehreren verschiedenen Rechnern (distributed) ausgeht, ist der Verdacht eines Angriffes sehr naheliegend. Erreicht wird die Dienstblockade dadurch, dass der angegriffene Server mit einer hohen Anzahl von Anfragen überlastet wird. Hierzu verschaffen sich Hacker in der Regel Zugang zu einer größeren Anzahl Rechner, um von diesen dann ab einem bestimmten Zeitpunkt beständig viele Anfragen auf das Angriffsziel zu senden. Der angegriffene Rechner kann die Vielzahl Anfragen nicht hinreichend schnell bearbeiten und es kommt bei legitimen Anfragen zu extrem langen Wartezeiten oder der Dienst/ Server bricht unter der Last vollständig zusammen.
So wurde zum Beispiel in der Vergangenheit die Shellshock-Lücke ausgenutzt, um eine große Anzahl Server zu infiltrieren bevor ein schützendes Sicherheitsupdate zur Verfügung stand. Ziel war dabei von jedem einzelnen infizierten Server aus DDoS Attacken durchzuführen. Eine derartige Dienstblockade könnte beispielsweise auf einen Apache Webserver gerichtet sein, wodurch der jeweilige Webauftritt nicht mehr erreichbar ist. Passiert dies z.B. bei einer großen E-Commerce Plattform, so kann dem Betreiber des Shops durch den Ausfall ein sehr hoher finanzieller Schaden entstehen. Deshalb ist es extrem wichtig entsprechende Methoden zu entwickeln, die derartige Angriffe zuverlässig von harmlosen Kundenanfragen unterscheiden und unterbinden können.
Digitale Rohrverstopfung
Durch die hohe Zahl der Anfragen bei einem DDoS Angriff kommt es zusätzlich zu Engpässen bei der Bandbreite, da diese Anfragen die Netzwerkinfrastruktur bildlich gesprochen verstopfen. Deshalb ist es ebenso wichtig, dass dieser Datenstrom gar nicht erst ins interne Netz gelangt. Techniken um diese Angriffe abzuwehren werden unter dem Begriff (D)DoS Mitigation (engl. Entschärfung, Abschwächung) zusammengefasst.
BlackHoling – Welche Methoden sich zur (d)DOS Mitigation eignen
Eine Möglichkeit besteht im Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling. Dabei werden die Routingtabellen so konfiguriert, dass jeglicher Netzverkehr basierend auf seiner Ziel-IP-Adresse oder Absende-IP-Adresse (Source-based Remote Triggerd BlackHoling /SRTBH) nicht in das eigene Netzwerk geleitet, sondern ins Nichts umgeleitet wird und der Angriff von einem „Schwarzen Loch“ verschlungen wird.
Wird dabei als Filter die Ziel-IP-Adresse verwendet, so wird der gesamte, an den Zielrechner gerichtete Datenstrom weggeworfen. Somit besteht eine hohe Wahrscheinlichkeit, dass auch erwünschter Traffic ins Nichts umgeleitet wird. Diese Methode ist daher nur geeignet, wenn im Normalfall gar kein Traffic außerhalb des eigenen Netzes zu dem Zielrechner gelangen soll.
Der Vorteil einer leichten Umsetzung mit damit verbundenen minimalem Konfigurationsaufwand gerät zum Nachteil, weil durch Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling (RTBH) der Angriff letztendlich mit der Unterstützung des Hosters gelingt. Denn durch das Filtern sämtlichen Datenverkehrs gelangt auch gewünschter Traffic nicht mehr zum Server. Somit ist der Server genauso wenig erreichbar, als würdeer weiterhin von einer Attacke blockiert werden.
Für Webserver, die Webseiten oder gar Webshops zu Verfügung stellen und somit Kundenanfragen verarbeiten, kommt daher nur eine Filterung anhand der Absende-IP-Adresse, also Source-Based Remote Triggered BlackHoling (SRTBH) in Frage um nur die Angreifer heraus zu filtern. Aber auch diese Methode filtert nicht fehlerfrei, da beispielsweise legale Kundenanfragen hinter einem Proxy oder CGN herausgefiltert werden würden, wenn zeitgleich Angriffe über denselben Proxy bzw. dasselbe Carrier-Grade NAT laufen. (Unter CGN = Carrier-Grade NAT versteht man die Übersetzung (NAT = Network Address Translation) von IP Adressen, welche Provider nutzen, um die hohe Anzahl IP Adressen ihrer Endverbraucher auf eine kleinere Anzahl öffentlicher IP-Adressen zu übersetzen). So würde ein einzelner Angreifer hinter dem Proxy zur Sperrung von dessen IP führen und somit auch alle erwünschten Anfragen von Kunden die sich hinter demselben Proxy befinden nicht mehr zulassen.
Einzig beim sogenannten „Traffic Washing“ wird das Ziel nicht lahmgelegt, denn nur illegitimer Traffic wird gefiltertet und der „normale“ Datenverkehr wird zurück geleitet. Diese Vorgehensweise erfordert jedoch eine hohe Investition in die Hardware und die Konfiguration gestaltet sich vergleichsweise aufwändig. Zudem müssen exposed Hosts vorgeschaltet werden.