Menü
Ein Beitrag von Adacor

(D)DoS Mitigation – digitale Rohrverstopfung verhindern

Unter (D)DoS Mitigation versteht man Methoden einen (D)DoS-Angriff abzuwehren. DoS (Denial of Service) bezeichnet zunächst nur die Nichtverfügbarkeit eines oder mehrerer Dienste, wie z.B. der Webserver- oder Mailserverprozess eines Servers.

Hacker bei der ArbeitIn meinem Beitrag skizziere ich die Vor- und Nachteile verschiedener Methoden zur (d)DOS Mitigation. Dabei geht es um Anti-Spam Techniken wie Remote Triggerd BlackHoling und Traffic Washing.

Stehen bestimmte Dienste nicht nicht zur Verfügung, muss man im ersten Schritt untersuchen, ob es sich um technische Probleme des jeweiligen Systems handelt oder tatsächlich einen Angriff vorliegt, bei dem der Dienst oder Server durch gezielte Überlastung blockiert werden soll.

Insbesondere bei DDoS, Distributed Denial of Service, bei dem die Dienstblockade von mehreren verschiedenen Rechnern (distributed) ausgeht, ist der Verdacht eines Angriffes sehr naheliegend. Erreicht wird die Dienstblockade dadurch, dass der angegriffene Server mit einer hohen Anzahl von Anfragen überlastet wird. Hierzu verschaffen sich Hacker in der Regel Zugang zu einer größeren Anzahl Rechner, um von diesen dann ab einem bestimmten Zeitpunkt beständig viele Anfragen auf das Angriffsziel zu senden. Der angegriffene Rechner kann die Vielzahl Anfragen nicht hinreichend schnell bearbeiten und es kommt bei legitimen Anfragen zu extrem langen Wartezeiten oder der Dienst/ Server bricht unter der Last vollständig zusammen.

So wurde zum Beispiel in der Vergangenheit die Shellshock-Lücke ausgenutzt, um eine große Anzahl Server zu infiltrieren bevor ein schützendes Sicherheitsupdate zur Verfügung stand. Ziel war dabei von jedem einzelnen infizierten Server aus DDoS Attacken durchzuführen. Eine derartige Dienstblockade könnte beispielsweise auf einen Apache Webserver gerichtet sein, wodurch der jeweilige Webauftritt nicht mehr erreichbar ist. Passiert dies z.B. bei einer großen E-Commerce Plattform, so kann dem Betreiber des Shops durch den Ausfall ein sehr hoher finanzieller Schaden entstehen. Deshalb ist es extrem wichtig entsprechende Methoden zu entwickeln, die derartige Angriffe zuverlässig von harmlosen Kundenanfragen unterscheiden und unterbinden können.

Image

Filoo Cloudeasy

Sie wollen eine sichere Cloud? Dann haben Sie diese mit Cloudeasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können.

Ohne lange Einarbeitungszeit – diese Cloud funktioniert einfach.
Jetzt direkt informieren

Digitale Rohrverstopfung

Durch die hohe Zahl der Anfragen bei einem DDoS Angriff kommt es zusätzlich zu Engpässen bei der Bandbreite, da diese Anfragen die Netzwerkinfrastruktur bildlich gesprochen verstopfen. Deshalb ist es ebenso wichtig, dass dieser Datenstrom gar nicht erst ins interne Netz gelangt. Techniken um diese Angriffe abzuwehren werden unter dem Begriff (D)DoS Mitigation (engl. Entschärfung, Abschwächung) zusammengefasst.

BlackHoling – Welche Methoden sich zur (d)DOS Mitigation eignen

Hacker an TastaturEine Möglichkeit besteht im Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling. Dabei werden die Routingtabellen so konfiguriert, dass jeglicher Netzverkehr basierend auf seiner Ziel-IP-Adresse oder Absende-IP-Adresse (Source-based Remote Triggerd BlackHoling /SRTBH) nicht in das eigene Netzwerk geleitet, sondern ins Nichts umgeleitet wird und der Angriff von einem „Schwarzen Loch“ verschlungen wird.

Wird dabei als Filter die Ziel-IP-Adresse verwendet, so wird der gesamte, an den Zielrechner gerichtete Datenstrom weggeworfen. Somit besteht eine hohe Wahrscheinlichkeit, dass auch erwünschter Traffic ins Nichts umgeleitet wird. Diese Methode ist daher nur geeignet, wenn im Normalfall gar kein Traffic außerhalb des eigenen Netzes zu dem Zielrechner gelangen soll.

Der Vorteil einer leichten Umsetzung mit damit verbundenen minimalem Konfigurationsaufwand gerät zum Nachteil, weil durch Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling (RTBH) der Angriff letztendlich mit der Unterstützung des Hosters gelingt. Denn durch das Filtern sämtlichen Datenverkehrs gelangt auch gewünschter Traffic nicht mehr zum Server. Somit ist der Server genauso wenig erreichbar, als würdeer weiterhin von einer Attacke blockiert werden.

Für Webserver, die Webseiten oder gar Webshops zu Verfügung stellen und somit Kundenanfragen verarbeiten, kommt daher nur eine Filterung anhand der Absende-IP-Adresse, also Source-Based Remote Triggered BlackHoling (SRTBH) in Frage um nur die Angreifer heraus zu filtern. Aber auch diese Methode filtert nicht fehlerfrei, da beispielsweise legale Kundenanfragen hinter einem Proxy oder CGN herausgefiltert werden würden, wenn zeitgleich Angriffe über denselben Proxy bzw. dasselbe Carrier-Grade NAT laufen. (Unter CGN = Carrier-Grade NAT versteht man die Übersetzung (NAT = Network Address Translation) von IP Adressen, welche Provider nutzen, um die hohe Anzahl IP Adressen ihrer Endverbraucher auf eine kleinere Anzahl öffentlicher IP-Adressen zu übersetzen). So würde ein einzelner Angreifer hinter dem Proxy zur Sperrung von dessen IP führen und somit auch alle erwünschten Anfragen von Kunden die sich hinter demselben Proxy befinden nicht mehr zulassen.

Einzig beim sogenannten „Traffic Washing“ wird das Ziel nicht lahmgelegt, denn nur illegitimer Traffic wird gefiltertet und der „normale“ Datenverkehr wird zurück geleitet. Diese Vorgehensweise erfordert jedoch eine hohe Investition in die Hardware und die Konfiguration gestaltet sich vergleichsweise aufwändig. Zudem müssen exposed Hosts vorgeschaltet werden.

, ,


Weitere Artikel zum Thema lesen

Infografik zur Entwicklung der Verschlüsselung

Biz & Trends, IT Security

Infografik zur Entwicklung der Verschlüsselung

Wir haben eine Infografik mit unserem Überblick über die mehr als 5.000 Jahre alte Geschichte der Kryptografie erstellt.

weiter lesen

iks

IT Security

Compliance – Vertrauen ist gut, Kontrolle ist besser

Wir stellen wirksame Instrumente für die erfolgreiche Unternehmenskontrolle im Rahmen der von uns erbrachten IT-Services vor.

weiter lesen

ISO 27001 Zertifizierung – bester Schutz für IT

Biz & Trends, Cloud, Hosting, IT Security

ISO 27001 Zertifizierung – bester Schutz für IT

Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierungen sind in den letzten Jahren zahlreiche Anleitungen, Standards und nationale Normen zur IT-Sicherheit entstanden....

weiter lesen


Neueste Nachrichten von Adacor

DevOps in Unternehmen

Hosting

Wann DevOps für Unternehmen sinnvoll ist

Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.

weiter lesen

Der Schlüssel zum effektiven Domain Management

Domains

Domain Management: Verwalten Sie Ihre Domains (noch) selbst?

Die Anzahl der Domains nimmt verstärkt zu. Deren Management wird zunehmend zur Herausforderung. Wir bieten Ihnen den Schlüssel zum effektiven Domain Management.

weiter lesen

So funktioniert Cloud Hosting

Cloud

So funktioniert Cloud Hosting

Das Modell Cloud Hosting verspricht jederzeit skalierbare, virtualisierte Server, die immer die Leistung zur Verfügung stellen, die gerade benötigt wird.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.