Menü
Ein Beitrag von Adacor

(D)DoS Mitigation – digitale Rohrverstopfung verhindern

Unter (D)DoS Mitigation versteht man Methoden einen (D)DoS-Angriff abzuwehren. DoS (Denial of Service) bezeichnet zunächst nur die Nichtverfügbarkeit eines oder mehrerer Dienste, wie z.B. der Webserver- oder Mailserverprozess eines Servers.

Hacker bei der ArbeitIn meinem Beitrag skizziere ich die Vor- und Nachteile verschiedener Methoden zur (d)DOS Mitigation. Dabei geht es um Anti-Spam Techniken wie Remote Triggerd BlackHoling und Traffic Washing.

Stehen bestimmte Dienste nicht nicht zur Verfügung, muss man im ersten Schritt untersuchen, ob es sich um technische Probleme des jeweiligen Systems handelt oder tatsächlich einen Angriff vorliegt, bei dem der Dienst oder Server durch gezielte Überlastung blockiert werden soll.

Insbesondere bei DDoS, Distributed Denial of Service, bei dem die Dienstblockade von mehreren verschiedenen Rechnern (distributed) ausgeht, ist der Verdacht eines Angriffes sehr naheliegend. Erreicht wird die Dienstblockade dadurch, dass der angegriffene Server mit einer hohen Anzahl von Anfragen überlastet wird. Hierzu verschaffen sich Hacker in der Regel Zugang zu einer größeren Anzahl Rechner, um von diesen dann ab einem bestimmten Zeitpunkt beständig viele Anfragen auf das Angriffsziel zu senden. Der angegriffene Rechner kann die Vielzahl Anfragen nicht hinreichend schnell bearbeiten und es kommt bei legitimen Anfragen zu extrem langen Wartezeiten oder der Dienst/ Server bricht unter der Last vollständig zusammen.

So wurde zum Beispiel in der Vergangenheit die Shellshock-Lücke ausgenutzt, um eine große Anzahl Server zu infiltrieren bevor ein schützendes Sicherheitsupdate zur Verfügung stand. Ziel war dabei von jedem einzelnen infizierten Server aus DDoS Attacken durchzuführen. Eine derartige Dienstblockade könnte beispielsweise auf einen Apache Webserver gerichtet sein, wodurch der jeweilige Webauftritt nicht mehr erreichbar ist. Passiert dies z.B. bei einer großen E-Commerce Plattform, so kann dem Betreiber des Shops durch den Ausfall ein sehr hoher finanzieller Schaden entstehen. Deshalb ist es extrem wichtig entsprechende Methoden zu entwickeln, die derartige Angriffe zuverlässig von harmlosen Kundenanfragen unterscheiden und unterbinden können.

Image

Optimale Cloud-Lösungen nach Ihren Vorstellungen

Ob bewährte VMware-Lösungen, leicht zu bedienende Cloudlösung oder zuverlässige vServer...
Bei Filoo finden Sie die richtige Cloud für Ihre Bedürfnisse.

Jetzt direkt informieren

Digitale Rohrverstopfung

Durch die hohe Zahl der Anfragen bei einem DDoS Angriff kommt es zusätzlich zu Engpässen bei der Bandbreite, da diese Anfragen die Netzwerkinfrastruktur bildlich gesprochen verstopfen. Deshalb ist es ebenso wichtig, dass dieser Datenstrom gar nicht erst ins interne Netz gelangt. Techniken um diese Angriffe abzuwehren werden unter dem Begriff (D)DoS Mitigation (engl. Entschärfung, Abschwächung) zusammengefasst.

BlackHoling – Welche Methoden sich zur (d)DOS Mitigation eignen

Hacker an TastaturEine Möglichkeit besteht im Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling. Dabei werden die Routingtabellen so konfiguriert, dass jeglicher Netzverkehr basierend auf seiner Ziel-IP-Adresse oder Absende-IP-Adresse (Source-based Remote Triggerd BlackHoling /SRTBH) nicht in das eigene Netzwerk geleitet, sondern ins Nichts umgeleitet wird und der Angriff von einem „Schwarzen Loch“ verschlungen wird.

Wird dabei als Filter die Ziel-IP-Adresse verwendet, so wird der gesamte, an den Zielrechner gerichtete Datenstrom weggeworfen. Somit besteht eine hohe Wahrscheinlichkeit, dass auch erwünschter Traffic ins Nichts umgeleitet wird. Diese Methode ist daher nur geeignet, wenn im Normalfall gar kein Traffic außerhalb des eigenen Netzes zu dem Zielrechner gelangen soll.

Der Vorteil einer leichten Umsetzung mit damit verbundenen minimalem Konfigurationsaufwand gerät zum Nachteil, weil durch Filtern der angegriffenen IP mittels Remote Triggerd BlackHoling (RTBH) der Angriff letztendlich mit der Unterstützung des Hosters gelingt. Denn durch das Filtern sämtlichen Datenverkehrs gelangt auch gewünschter Traffic nicht mehr zum Server. Somit ist der Server genauso wenig erreichbar, als würdeer weiterhin von einer Attacke blockiert werden.

Für Webserver, die Webseiten oder gar Webshops zu Verfügung stellen und somit Kundenanfragen verarbeiten, kommt daher nur eine Filterung anhand der Absende-IP-Adresse, also Source-Based Remote Triggered BlackHoling (SRTBH) in Frage um nur die Angreifer heraus zu filtern. Aber auch diese Methode filtert nicht fehlerfrei, da beispielsweise legale Kundenanfragen hinter einem Proxy oder CGN herausgefiltert werden würden, wenn zeitgleich Angriffe über denselben Proxy bzw. dasselbe Carrier-Grade NAT laufen. (Unter CGN = Carrier-Grade NAT versteht man die Übersetzung (NAT = Network Address Translation) von IP Adressen, welche Provider nutzen, um die hohe Anzahl IP Adressen ihrer Endverbraucher auf eine kleinere Anzahl öffentlicher IP-Adressen zu übersetzen). So würde ein einzelner Angreifer hinter dem Proxy zur Sperrung von dessen IP führen und somit auch alle erwünschten Anfragen von Kunden die sich hinter demselben Proxy befinden nicht mehr zulassen.

Einzig beim sogenannten „Traffic Washing“ wird das Ziel nicht lahmgelegt, denn nur illegitimer Traffic wird gefiltertet und der „normale“ Datenverkehr wird zurück geleitet. Diese Vorgehensweise erfordert jedoch eine hohe Investition in die Hardware und die Konfiguration gestaltet sich vergleichsweise aufwändig. Zudem müssen exposed Hosts vorgeschaltet werden.

, ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Unter den Augen des Gesetzes – Unternehmen handeln nach Bundesdatenschutzgesetz

Cloud, Hosting, IT Security

Unter den Augen des Gesetzes

Bundesdatenschutzgesetz und IT-Compliance am Beispiel der ADACOR.

weiter lesen

Schutz vor Trojanern

IT Security

Ransomware – Wie kann man sich schützen?

So funktioniert das lukrative Geschäft mit der Erpressung in der digitalen Welt.

weiter lesen

Arbeiten im Homeoffice

IT-News

Arbeiten im Homeoffice in die Unternehmenskultur integrieren

Adacor sammelt seit vielen Jahren Erfahrung mit dem Homeoffice. Und wir haben mit Homeoffice „on demand“ unsere eigene Regelung gefunden.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends, IT-News

IT-Branche im stetigen Wandel

Mutige Experimente, neue Ideen und viel Innovationskraft machen die IT-Branche aus, wir haben die aktuellsten Trends zusammengestellt.

weiter lesen

Domains

Steht der Domainbranche ein Umbruch durch neue Top-Level-Domains bevor?

Mit den neuen nTLDs lassen sich individuelle Webprojekte erstellen, um sich von der Konkurrenz abzuheben. Wir zeigen, wer welches Adresskürzel registrieren darf.

weiter lesen

Confluence ANbieter finden

Cloud

Managed Jira und Confluence – den richtigen Anbieter finden

Eine erfolgreiche Teamarbeit mit Jira und Atlassian funktioniert nur mit dem richtigen Managed Hoster. Wir haben eine Checkliste zur Auswahl eines Anbieters erstellt.

weiter lesen