Menü
Ein Beitrag von Adacor

(D)DoS Mitigation – digitale Rohrverstopfung verhindern

Unter (D)DoS Mitigation versteht man Methoden einen (D)DoS-Angriff abzuwehren. DoS (Denial of Service) bezeichnet zunächst nur die Nichtverfügbarkeit eines oder mehrerer Dienste, wie z.B. der Webserver- oder Mailserverprozess eines Servers.

Hacker bei der ArbeitIn meinem Beitrag skizziere ich die Vor- und Nachteile verschiedener Methoden zur (d)DOS Mitigation. Dabei geht es um Anti-Spam Techniken wie Remote Triggerd BlackHoling und Traffic Washing.

Stehen bestimmte Dienste nicht nicht zur Verfügung, muss man im ersten Schritt untersuchen, ob es sich um technische Probleme des jeweiligen Systems handelt oder tatsächlich einen Angriff vorliegt, bei dem der Dienst oder Server durch gezielte Überlastung blockiert werden soll.

Insbesondere bei DDoS, Distributed Denial of Service, bei dem die Dienstblockade von mehreren verschiedenen Rechnern (distributed) ausgeht, ist der Verdacht eines Angriffes sehr naheliegend. Erreicht wird die Dienstblockade dadurch, dass der angegriffene Server mit einer hohen Anzahl von Anfragen überlastet wird. Hierzu verschaffen sich Hacker in der Regel Zugang zu einer größeren Anzahl Rechner, um von diesen dann ab einem bestimmten Zeitpunkt beständig viele Anfragen auf das Angriffsziel zu senden. Der angegriffene Rechner kann die Vielzahl Anfragen nicht hinreichend schnell bearbeiten und es kommt bei legitimen Anfragen zu extrem langen Wartezeiten oder der Dienst/ Server bricht unter der Last vollständig zusammen.

So wurde zum Beispiel in der Vergangenheit die Shellshock-Lücke ausgenutzt, um eine große Anzahl Server zu infiltrieren bevor ein schützendes Sicherheitsupdate zur Verfügung stand. Ziel war dabei von jedem einzelnen infizierten Server aus DDoS Attacken durchzuführen. Eine derartige Dienstblockade könnte beispielsweise auf einen Apache Webserver gerichtet sein, wodurch der jeweilige Webauftritt nicht mehr erreichbar ist. Passiert dies z.B. bei einer großen E-Commerce Plattform, so kann dem Betreiber des Shops durch den Ausfall ein sehr hoher finanzieller Schaden entstehen. Deshalb ist es extrem wichtig entsprechende Methoden zu entwickeln, die derartige Angriffe zuverlässig von harmlosen Kundenanfragen unterscheiden und unterbinden können.

Image

Sie wollen eine sichere Cloud?

Dann haben Sie diese mit CloudEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können.
Es gibt keine lange Einarbeitungszeit – diese Cloud funktioniert einfach.
Jetzt direkt informieren

Digitale Rohrverstopfung

Durch die hohe Zahl der Anfragen bei einem DDoS Angriff kommt es zusätzlich zu Engpässen bei der Bandbreite, da diese Anfragen die Netzwerkinfrastruktur bildlich gesprochen verstopfen. Deshalb ist es ebenso wichtig, dass dieser Datenstrom gar nicht erst ins interne Netz gelangt. Techniken um diese Angriffe abzuwehren werden unter dem Begriff (D)DoS Mitigation (engl. Entschärfung, Abschwächung) zusammengefasst.

BlackHoling – Welche Methoden sich zur (d)DOS Mitigation eignen

Hacker an TastaturEine Möglichkeit besteht im Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling. Dabei werden die Routingtabellen so konfiguriert, dass jeglicher Netzverkehr basierend auf seiner Ziel-IP-Adresse oder Absende-IP-Adresse (Source-based Remote Triggerd BlackHoling /SRTBH) nicht in das eigene Netzwerk geleitet, sondern ins Nichts umgeleitet wird und der Angriff von einem „Schwarzen Loch“ verschlungen wird.

Wird dabei als Filter die Ziel-IP-Adresse verwendet, so wird der gesamte, an den Zielrechner gerichtete Datenstrom weggeworfen. Somit besteht eine hohe Wahrscheinlichkeit, dass auch erwünschter Traffic ins Nichts umgeleitet wird. Diese Methode ist daher nur geeignet, wenn im Normalfall gar kein Traffic außerhalb des eigenen Netzes zu dem Zielrechner gelangen soll.

Der Vorteil einer leichten Umsetzung mit damit verbundenen minimalem Konfigurationsaufwand gerät zum Nachteil, weil durch Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling (RTBH) der Angriff letztendlich mit der Unterstützung des Hosters gelingt. Denn durch das Filtern sämtlichen Datenverkehrs gelangt auch gewünschter Traffic nicht mehr zum Server. Somit ist der Server genauso wenig erreichbar, als würdeer weiterhin von einer Attacke blockiert werden.

Für Webserver, die Webseiten oder gar Webshops zu Verfügung stellen und somit Kundenanfragen verarbeiten, kommt daher nur eine Filterung anhand der Absende-IP-Adresse, also Source-Based Remote Triggered BlackHoling (SRTBH) in Frage um nur die Angreifer heraus zu filtern. Aber auch diese Methode filtert nicht fehlerfrei, da beispielsweise legale Kundenanfragen hinter einem Proxy oder CGN herausgefiltert werden würden, wenn zeitgleich Angriffe über denselben Proxy bzw. dasselbe Carrier-Grade NAT laufen. (Unter CGN = Carrier-Grade NAT versteht man die Übersetzung (NAT = Network Address Translation) von IP Adressen, welche Provider nutzen, um die hohe Anzahl IP Adressen ihrer Endverbraucher auf eine kleinere Anzahl öffentlicher IP-Adressen zu übersetzen). So würde ein einzelner Angreifer hinter dem Proxy zur Sperrung von dessen IP führen und somit auch alle erwünschten Anfragen von Kunden die sich hinter demselben Proxy befinden nicht mehr zulassen.

Einzig beim sogenannten „Traffic Washing“ wird das Ziel nicht lahmgelegt, denn nur illegitimer Traffic wird gefiltertet und der „normale“ Datenverkehr wird zurück geleitet. Diese Vorgehensweise erfordert jedoch eine hohe Investition in die Hardware und die Konfiguration gestaltet sich vergleichsweise aufwändig. Zudem müssen exposed Hosts vorgeschaltet werden.

, ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Phishing kann jeden treffen

Biz & Trends, IT Security

Phishing kann jeden treffen

Phishing ist nur eine Gefahr der zunehmenden Computer- und Internetkriminalität. Die häufigsten Attacken in einer Infografik symbolisiert.

weiter lesen

PXE Boot im Einsatz bei der ADACOR

IT-News

PXE Boot im Einsatz bei der ADACOR

PXE Boot ist die Abkürzung für Preboot Execution Environment. Dies bezeichnet eine Umgebung mit dem sich Rechner booten lassen, ohne Festplatten oder andere Speichermedien...

weiter lesen

CryptoPHP infiziert Joomla, WordPress und Co

IT Security

CryptoPHP infiziert Joomla, WordPress und Co

Was ist an dem Schadcode besonders gefährlich und welche Maßnahmen werden dagegen ergriffen?

weiter lesen


Neueste Nachrichten von Adacor

Cloud

Was macht Cloud-Dienste sexy?

Die reflexartige Antwort ist häufig mit dem Thema “Kostenersparnis“ verbunden. Doch dies sollte nicht einziges Ziel sein.

weiter lesen

IT-Compliance

IT Security

IT-Compliance mit System

Wie sich Gesetze und Regeln in der IT einhalten lassen. Ein Drei-Punkte-Programm zur Einhaltung von IT-Compliance.

weiter lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

Neue Serverkonfiguration schützt einfach und effektiv beim Phishing von Reset-Links.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.