Menü
Ein Beitrag von Adacor

(D)DoS Mitigation – digitale Rohrverstopfung verhindern

Unter (D)DoS Mitigation versteht man Methoden einen (D)DoS-Angriff abzuwehren. DoS (Denial of Service) bezeichnet zunächst nur die Nichtverfügbarkeit eines oder mehrerer Dienste, wie z.B. der Webserver- oder Mailserverprozess eines Servers.

Hacker bei der ArbeitIn meinem Beitrag skizziere ich die Vor- und Nachteile verschiedener Methoden zur (d)DOS Mitigation. Dabei geht es um Anti-Spam Techniken wie Remote Triggerd BlackHoling und Traffic Washing.

Stehen bestimmte Dienste nicht nicht zur Verfügung, muss man im ersten Schritt untersuchen, ob es sich um technische Probleme des jeweiligen Systems handelt oder tatsächlich einen Angriff vorliegt, bei dem der Dienst oder Server durch gezielte Überlastung blockiert werden soll.

Insbesondere bei DDoS, Distributed Denial of Service, bei dem die Dienstblockade von mehreren verschiedenen Rechnern (distributed) ausgeht, ist der Verdacht eines Angriffes sehr naheliegend. Erreicht wird die Dienstblockade dadurch, dass der angegriffene Server mit einer hohen Anzahl von Anfragen überlastet wird. Hierzu verschaffen sich Hacker in der Regel Zugang zu einer größeren Anzahl Rechner, um von diesen dann ab einem bestimmten Zeitpunkt beständig viele Anfragen auf das Angriffsziel zu senden. Der angegriffene Rechner kann die Vielzahl Anfragen nicht hinreichend schnell bearbeiten und es kommt bei legitimen Anfragen zu extrem langen Wartezeiten oder der Dienst/ Server bricht unter der Last vollständig zusammen.

So wurde zum Beispiel in der Vergangenheit die Shellshock-Lücke ausgenutzt, um eine große Anzahl Server zu infiltrieren bevor ein schützendes Sicherheitsupdate zur Verfügung stand. Ziel war dabei von jedem einzelnen infizierten Server aus DDoS Attacken durchzuführen. Eine derartige Dienstblockade könnte beispielsweise auf einen Apache Webserver gerichtet sein, wodurch der jeweilige Webauftritt nicht mehr erreichbar ist. Passiert dies z.B. bei einer großen E-Commerce Plattform, so kann dem Betreiber des Shops durch den Ausfall ein sehr hoher finanzieller Schaden entstehen. Deshalb ist es extrem wichtig entsprechende Methoden zu entwickeln, die derartige Angriffe zuverlässig von harmlosen Kundenanfragen unterscheiden und unterbinden können.

Image

Optimale Cloud-Lösungen nach Ihren Vorstellungen

Ob bewährte VMware-Lösungen, leicht zu bedienende Cloudlösung oder zuverlässige vServer...
Bei Filoo finden Sie die richtige Cloud für Ihre Bedürfnisse.

Jetzt direkt informieren

Digitale Rohrverstopfung

Durch die hohe Zahl der Anfragen bei einem DDoS Angriff kommt es zusätzlich zu Engpässen bei der Bandbreite, da diese Anfragen die Netzwerkinfrastruktur bildlich gesprochen verstopfen. Deshalb ist es ebenso wichtig, dass dieser Datenstrom gar nicht erst ins interne Netz gelangt. Techniken um diese Angriffe abzuwehren werden unter dem Begriff (D)DoS Mitigation (engl. Entschärfung, Abschwächung) zusammengefasst.

BlackHoling – Welche Methoden sich zur (d)DOS Mitigation eignen

Hacker an TastaturEine Möglichkeit besteht im Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling. Dabei werden die Routingtabellen so konfiguriert, dass jeglicher Netzverkehr basierend auf seiner Ziel-IP-Adresse oder Absende-IP-Adresse (Source-based Remote Triggerd BlackHoling /SRTBH) nicht in das eigene Netzwerk geleitet, sondern ins Nichts umgeleitet wird und der Angriff von einem „Schwarzen Loch“ verschlungen wird.

Wird dabei als Filter die Ziel-IP-Adresse verwendet, so wird der gesamte, an den Zielrechner gerichtete Datenstrom weggeworfen. Somit besteht eine hohe Wahrscheinlichkeit, dass auch erwünschter Traffic ins Nichts umgeleitet wird. Diese Methode ist daher nur geeignet, wenn im Normalfall gar kein Traffic außerhalb des eigenen Netzes zu dem Zielrechner gelangen soll.

Der Vorteil einer leichten Umsetzung mit damit verbundenen minimalem Konfigurationsaufwand gerät zum Nachteil, weil durch Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling (RTBH) der Angriff letztendlich mit der Unterstützung des Hosters gelingt. Denn durch das Filtern sämtlichen Datenverkehrs gelangt auch gewünschter Traffic nicht mehr zum Server. Somit ist der Server genauso wenig erreichbar, als würdeer weiterhin von einer Attacke blockiert werden.

Für Webserver, die Webseiten oder gar Webshops zu Verfügung stellen und somit Kundenanfragen verarbeiten, kommt daher nur eine Filterung anhand der Absende-IP-Adresse, also Source-Based Remote Triggered BlackHoling (SRTBH) in Frage um nur die Angreifer heraus zu filtern. Aber auch diese Methode filtert nicht fehlerfrei, da beispielsweise legale Kundenanfragen hinter einem Proxy oder CGN herausgefiltert werden würden, wenn zeitgleich Angriffe über denselben Proxy bzw. dasselbe Carrier-Grade NAT laufen. (Unter CGN = Carrier-Grade NAT versteht man die Übersetzung (NAT = Network Address Translation) von IP Adressen, welche Provider nutzen, um die hohe Anzahl IP Adressen ihrer Endverbraucher auf eine kleinere Anzahl öffentlicher IP-Adressen zu übersetzen). So würde ein einzelner Angreifer hinter dem Proxy zur Sperrung von dessen IP führen und somit auch alle erwünschten Anfragen von Kunden die sich hinter demselben Proxy befinden nicht mehr zulassen.

Einzig beim sogenannten „Traffic Washing“ wird das Ziel nicht lahmgelegt, denn nur illegitimer Traffic wird gefiltertet und der „normale“ Datenverkehr wird zurück geleitet. Diese Vorgehensweise erfordert jedoch eine hohe Investition in die Hardware und die Konfiguration gestaltet sich vergleichsweise aufwändig. Zudem müssen exposed Hosts vorgeschaltet werden.

, ,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

IT-Sicherheitsgesetz – Das sind die wichtigsten Neuerungen im Überblick

IT Security

Durchblick bei der EU Datenschutz-Grundverordnung

Die Zeit drängt: Was Unternehmen jetzt über die EU Datenschutz-Grundverordnung wissen müssen.

weiter lesen

Denial of Service

IT Security

Staugefahr im Netz

Denial-of-Service-Angriffe lösen gigantischen Traffic aus.

weiter lesen

Erfahrungsbericht zu Frauen in der IT

IT-News

Beste Aussichten für IT-Fachfrauen

Aus Liebe zur IT – Wie Frauen eine Männerdomäne erobern.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

Apps im Test: So gelingt das perfekte Workout

Mit Fitness-Apps trainieren Sie nach einem stressigen Tag im Büro wann und wo Sie wollen.

weiter lesen

Hosting

Storage Migration: Wenn Daten umziehen müssen

Der Austausch von Storage Solutions kann zu einer echten Herausforderung werden. So gelingt sie optimal.

weiter lesen

Biz & Trends

Mit Growth Hacking durchstarten

Mehr Mindset als Prozess: Growth Hacking unterstützt Unternehmen dabei Aufmerksamkeit zu generieren.

weiter lesen